Posté le juin 19, 2021 à 18:46
LE GOUVERNEMENT IRANIEN EXPLOITERAIT LE VPN CONTRE SES CITOYENS
Un récent rapport révèle que les hackers exploitent désormais le VPN Psiphon et l’application Telegram pour installer un cheval de Troie d’accès à distance (RAT) Windows qui peut voler des données importantes sur les appareils de la victime.
Le système de contournement Psiphon utilise à la fois des technologies d’obscurcissement et de sécurisation pour permettre aux internautes de contourner en toute sécurité les systèmes de filtrage de contenu. Le système de contournement est généralement utilisé par les utilisateurs pour contourner les systèmes de filtrage de contenu utilisés par les gouvernements qui appliquent une censure extralégale. Mais le récent rapport des chercheurs en sécurité de Kaspersky montre que les hackers profitent désormais de ce système.
Les acteurs de la menace sont jugés provenir de Ferocious Kitten, un groupe de cyber-espionnage iranien qui opère secrètement depuis 2015.
Le code malveillant a une capacité d’enregistrement de frappes
Selon les chercheurs de Kaspersky, le groupe déploie plusieurs méthodes d’obscurcissement pour implanter des logiciels malveillants qui restent indétectés sur les appareils ciblés.
Les chercheurs de Kaspersky Paul Rascagneres, Mark Lechtik et Aseel Kayal ont déclaré que le code malveillant des hackers est capable d’enregistrer les frappes et de faire des captures d’écran.
Selon les chercheurs, ces deux fonctionnalités peuvent être utilisées pour surveiller les conversations et les messages électroniques de la victime.
Les résultats des recherches sont conformes à deux documents armés qui pourraient déployer de nouvelles charges utiles connues sous le nom de MarkiRat.
La porte dérobée permet aux acteurs de la menace d’avoir accès à des données ciblées, notamment le téléchargement et l’envoi de fichiers, la capture du contenu du presse-papiers, ainsi que l’enregistrement des frappes de clavier.
Le groupe développe des logiciels malveillants pour cibler les appareils Android
Les acteurs de la menace ont également travaillé sur la variante MarkiRat qui intercepte l’exécution d’applications comme Telegram et Chrome. À partir de là, ils lancent le logiciel malveillant et le gardent constamment caché dans l’appareil. Cela le rend très difficile à détecter ou à supprimer.
L’infrastructure de commande et de contrôle des acteurs de la menace serait l’hôte de types de fichiers d’applications Android comme les fichiers APK et DEX. Sur la base de ces éléments, les chercheurs sont également amenés à penser que le groupe pourrait être en train de développer des logiciels malveillants destinés aux utilisateurs d’Android.
Bien que Ferocious Kitten ait largement limité ses activités à l’intérieur du pays, Kaspersky a découvert que la cyber-surveillance du public iranien est désormais plus intrusive et plus étendue que prévu.
Les acteurs de la menace ciblent les utilisateurs du VPN Psiphon
La popularité du service Psiphon en Iran a donné l’occasion aux hackers de cibler constamment le service VPN. Cela montre également que les charges utiles ont été conçues pour lancer des attaques contre les utilisateurs iraniens.
Les hackers utilisent des outils d’espionnage pour traquer les résidents iraniens depuis 6 ans. Selon Kaspersky, ces outils d’espionnage imitent les logiciels que les opposants utilisent pour protéger leurs communications.
Les entreprises de sécurité, en collaboration avec d’autres chercheurs en sécurité, n’ont découvert cette activité que récemment. Les résultats montrent que la communauté de la cybersécurité ne dispose que de connaissances limitées en ce qui concerne les activités de piratage liées à Téhéran.
Les acteurs de la menace pourraient être affiliés à Téhéran
Les chercheurs de Kaspersky n’ont pas établi de lien entre l’activité de piratage et le gouvernement iranien. Cependant, une autre société de sécurité, FireEye, a déclaré qu’elle soupçonnait les acteurs de la menace d’avoir des liens avec Téhéran. Téhéran est réputé pour l’utilisation présumée de ses capacités cybernétiques sur ses citoyens.
Selon les chercheurs, les résultats reflètent les processus de surveillance utilisés par le gouvernement iranien pour emprisonner les dissidents qui protestent contre le régime.
En septembre dernier, le département du Trésor américain a sanctionné des dizaines d’Iraniens pour avoir ciblé des journalistes et des manifestants iraniens. Certains membres du tristement célèbre groupe de hackers APT39 ont également été concernés par cette sanction.
Amnesty International a révélé que 304 personnes ont été tuées par les services de sécurité iraniens lors de la répression en 2019.
Les hackers ont envoyé des images infestées de logiciels malveillants
Les chercheurs de Kaspersky ont déclaré que les acteurs de la menace ont envoyé des images et des vidéos infestées de logiciels malveillants à leurs cibles. Dans le courrier, ils prétendaient que les images et les vidéos provenaient de prisonniers en Iran. Cependant, lorsque la cible ouvre le document, celui-ci détourne les navigateurs Telegram et Google Chrome des utilisateurs dans le but de voler des données.
Les chercheurs ont déclaré qu’ils ne savent pas exactement combien de personnes ont été victimes de la campagne de piratage, mais ils pensent que beaucoup de personnes infectées ne savent pas que leur appareil a été infiltré.
