Discussion :

[Patrick Ruiz]

L’équipe de campagne de Donald Trump déclare que ses systèmes informatiques ont fait l’objet de piratage par des acteurs étrangers, d’après des rapports
Qui pointent l’Iran comme responsable

Des documents internes à la campagne du candidat à l’élection présidentielle américaine, Donald Trump, ont fait l’objet de divulgation publique. À demi-mot, son équipe désigne l’Iran comme l’instigateur de ce piratage.

L'équipe de campagne de Donald Trump a déclaré que des pirates informatiques étrangers se sont introduits dans ses systèmes et ont eu accès à des communications internes. Politico a commencé à recevoir des documents de campagne divulgués par une source anonyme le 22 juillet, selon un rapport de l'organe de presse. C’est le même organe de presse qui a rapporté la reconnaissance du piratage par l’équipe de campagne de Donald Trump.

« Ces documents ont été obtenus de façon illégale auprès de sources étrangères hostiles aux États-Unis, dans le but d'interférer avec l'élection de 2024 et de semer le chaos dans notre processus démocratique », a déclaré Steven Cheung, porte-parole de la campagne Trump, dans un communiqué.
La déclaration de l'équipe de campagne de Donald Trump laisse entendre que des pirates iraniens sont à l'origine du piratage.

Le porte-parole de la campagne de Donald Trump cite un rapport de Microsoft pour étayer ses déclarations

Aujourd'hui, nous partageons des informations sur des activités que nous avons suivies et qui indiquent de plus en plus que l'Iran a l'intention d'influencer l'élection présidentielle américaine de cette année. Ces dernières semaines, des groupes liés au gouvernement iranien ont intensifié deux types d'activités. Premièrement, ils ont jeté les bases de campagnes d'influence sur des thèmes électoraux en vogue et ont commencé à activer ces campagnes dans le but apparent de susciter la controverse ou d'influencer les électeurs, en particulier dans les États en transition. Deuxièmement, ils ont lancé des opérations qui, selon Microsoft, sont conçues pour obtenir des renseignements sur les campagnes politiques et leur permettre d'influencer les élections à l'avenir.

Nous examinons ces activités dans un nouveau rapport publié aujourd'hui, qui les détaille. Quatre exemples illustrent ce que nous pouvons attendre de plus en plus de l'Iran à l'approche du mois de novembre.

Un groupe iranien a lancé des sites d'information clandestins ciblant des groupes d'électeurs américains aux extrémités opposées de l'échiquier politique. L'un de ces sites, appelé Nio Thinker, s'adresse à un public de gauche et insulte l'ancien président Donald Trump, le qualifiant d'"éléphant opioïde dans le magasin de porcelaine des MAGA" et de "litigiosaure fou furieux". Un autre site, appelé Savannah Time, prétend être une "source fiable d'informations conservatrices dans la ville dynamique de Savannah" et se concentre sur des sujets tels que les questions LGBTQ+ et le changement de sexe. Les preuves que nous avons trouvées suggèrent que ces sites utilisent des services basés sur l'IA pour plagier au moins une partie de leur contenu à partir de publications américaines.

Depuis le mois de mars, un autre groupe iranien prépare le terrain pour des opérations d'influence centrées sur les États-Unis. Nous pensons que ce groupe pourrait se préparer à des activités encore plus extrêmes, y compris l'intimidation ou l'incitation à la violence contre des personnalités ou des groupes politiques, dans le but ultime d'inciter au chaos, de saper les autorités et de semer le doute quant à l'intégrité des élections.

Un autre groupe iranien, lié au Corps des gardiens de la révolution islamique (CGRI), a envoyé en juin un courriel de spear phishing à un haut responsable d'une campagne présidentielle, à partir du compte de messagerie compromis d'un ancien conseiller principal. Le courriel contenait un lien qui dirigeait le trafic vers un domaine contrôlé par le groupe avant de l'acheminer vers le site web du lien fourni. Quelques jours plus tard, le même groupe a tenté en vain de se connecter à un compte appartenant à un ancien candidat à la présidence. Nous avons depuis informé les personnes visées.

Un quatrième groupe iranien a compromis le compte d'un employé du gouvernement d'un comté dans un État en pleine mutation. La compromission faisait partie d'une opération plus large de pulvérisation de mots de passe et Microsoft Threat Intelligence n'a pas observé l'acteur obtenir un accès supplémentaire au-delà du compte unique, ce qui rend difficile de discerner les objectifs ultimes du groupe. Depuis le début de l'année 2023, les opérations du groupe se sont concentrées sur la collecte de renseignements stratégiques, en particulier dans les secteurs des satellites, de la défense et de la santé, avec un certain ciblage d'organisations gouvernementales américaines, souvent dans des États en pleine mutation.

Le rapport Microsoft Threat Intelligence Report que nous publions aujourd'hui provient du Microsoft Threat Analysis Center, ou MTAC, qui suit les opérations d'influence menées par des groupes d'États-nations spécifiques dans le monde entier. Le MTAC suit régulièrement les menaces qui pèsent sur les élections dans le cadre du travail plus large de Microsoft intitulé Democracy Forward. Ce rapport s'appuie sur le travail effectué par l'équipe pour suivre les menaces qui pèsent sur les récentes élections en Inde, au Royaume-Uni et en France. La mise à jour d'aujourd'hui inclut également les activités que nous avons observées de la part d'acteurs défendant les objectifs géopolitiques de la Russie et de la Chine, chacun à des degrés divers d'efficacité.

Nous partageons ce type de renseignements afin que les électeurs, les institutions gouvernementales, les candidats, les partis et d'autres puissent être conscients des campagnes d'influence et se protéger contre les menaces. Nous avons également formé les candidats et les partis impliqués dans les élections cette année, en nous appuyant sur nos offres de longue date, comme AccountGuard. Enfin, Microsoft ne soutiendra pas un candidat ou un parti politique. Notre objectif en publiant ces rapports est de souligner l'importance de la lutte contre les "deepfakes" électoraux et de la promotion de l'éducation et de l'apprentissage sur l'ingérence étrangère possible.

De multiples voix se lèvent néanmoins pour indiquer que ces déclarations de l’équipe de campagne de Donald Trump sont à prendre avec des pincettes

« Si le piratage de Trump avait été divulgué à un autre média, j'y croirais peut-être tout de suite, mais @Politico est tellement en faveur de Trump qu'il pourrait être de connivence avec la campagne de Trump. Mais ce ne sont là que mes petites réflexions », commente un internaute.

« Il y a huit ans, Trump a demandé à la Russie de pirater les courriels d'Hillary Clinton. Aujourd'hui, il affirme que sa campagne a été piratée par des Iraniens. Il pourrait s'agir d'un karma. Il pourrait s'agir d'un autre mensonge de Trump », commente un autre.

Sources : POLITICO, CNN, MICROSOFT

Et vous ?

Partagez-vous les avis selon lesquels ce signalement pourrait être celui d’un faux piratage orchestré pour profiter à Donald Trump ?
La piste du piratage iranien est-elle crédible ?

Voir aussi :

Cybercriminalité : la France découvre une vaste campagne de désinformation russe en Europe, 193 sites Web, dirigé depuis la Russie, diffusent de fausses nouvelles

La guerre de l'information à l'ère de l'IA : le FBI annonce la perquisition de 968 comptes automatisés sur X en provenance de Russie, qui diffusaient de la propagande aux États-Unis et dans d'autres pays

Microsoft veut que le Congrès interdise les fraudes par deepfake générées par l'IA, avec une "loi sur la fraude par deepfake" qui donnera aux autorités un cadre juridique pour poursuivre les fraudes par l'IA

[Jade Emy]

L'équipe chargée des menaces de Google confirme que l'Iran cible les campagnes de Trump, Biden et Harris pour les élections américaines, ainsi qu'Israël, avec des courriels d'hameçonnage et des malwares.

L'équipe chargée des menaces de Google (Threat Analysis Group) confirme que l'Iran cible les États-Unis et Israël, avec des courriels d'hameçonnage, des malwares et des redirections malveillantes. Au cours des six derniers mois, les États-Unis et Israël ont représenté environ 60 % des cibles géographiques connues d'APT42, y compris d'anciens hauts responsables militaires israéliens et des personnes affiliées aux deux campagnes présidentielles américaines.

Des documents internes à la campagne du candidat à l’élection présidentielle américaine, Donald Trump, ont fait l’objet de divulgation publique. L'équipe de campagne de Donald Trump a déclaré que des pirates informatiques étrangers se sont introduits dans ses systèmes et ont eu accès à des communications internes, dans le but "d'interférer avec l'élection de 2024 et de semer le chaos". La déclaration de l'équipe de campagne de Donald Trump laisse entendre que des pirates iraniens sont à l'origine du piratage.

Mais de multiples voix se sont levé pour indiquer que ces déclarations sont à prendre avec des pincettes. "Il y a huit ans, Trump a demandé à la Russie de pirater les courriels d'Hillary Clinton. Aujourd'hui, il affirme que sa campagne a été piratée par des Iraniens. Il pourrait s'agir d'un karma. Il pourrait s'agir d'un autre mensonge de Trump", selon des commentaires.

Récemment, l'équipe chargée des menaces de Google (Threat Analysis Group ou TAG) a confirmé que l'Iran ciblait les campagnes de Trump, Biden et Harris pour les élections américaines. Le groupe d'analyse des menaces de Google a confirmé avoir observé un acteur de la menace soutenu par le gouvernement iranien (dénommé APT42) ciblant les comptes Google associés aux campagnes présidentielles américaines, en plus d'une intensification des attaques contre des cibles israéliennes.

Le TAG de Google ajoute qu'il a réinitialisé des comptes, envoyé des avertissements aux utilisateurs et mis sur liste noire des domaines associés aux tentatives d'hameçonnage d'APT42.

APT42, associé au Corps des gardiens de la révolution islamique d'Iran, "cible régulièrement des utilisateurs de premier plan en Israël et aux États-Unis", déclare le Threat Analysis Group (TAG). Le groupe iranien utilise des logiciels malveillants hébergés, des pages d'hameçonnage, des redirections malveillantes et d'autres tactiques pour accéder aux comptes Google, Dropbox, OneDrive et autres comptes basés sur le cloud.

Parmi les outils d'APT42 figuraient des pages Google Sites qui semblaient être une pétition émanant d'activistes juifs légitimes, demandant à Israël de jouer un rôle de médiateur dans le conflit qui l'oppose au Hamas. La page était créée à partir de fichiers images, et non HTML, et une redirection renvoyait les utilisateurs vers des pages de phishing lorsqu'ils signaient la pétition.

Aux États-Unis, le TAG de Google note que, comme pour les élections de 2020, APT42 cible activement les courriels personnels d' "environ une douzaine de personnes affiliées au président Biden et à l'ancien président Trump". Le TAG confirme qu'APT42 "a réussi à accéder au compte Gmail personnel d'un consultant politique de premier plan", qui pourrait être l'agent républicain de longue date Roger Stone, selon plusieurs rapports. Microsoft a indiqué séparément qu'un "ancien conseiller principal" de la campagne Trump avait vu son compte Microsoft compromis, ce que Stone a également confirmé.

Voici les détails du rapport de l'équipe chargée des menaces de Google (TAG) :

Rapport du TAG : des acteurs de la menace de l'Iran ciblent les États-Unis et Israël

Le groupe d'analyse des menaces (TAG) de Google vient de partager des informations sur APT42, un acteur de la menace soutenu par le gouvernement iranien, et sur ses campagnes de phishing ciblées contre Israël et des cibles israéliennes. Le rapport du TAG confirme également les récents rapports concernant le ciblage par APT42 de comptes associés à l'élection présidentielle américaine.

Associé au Corps des gardiens de la révolution islamique d'Iran (IRGC), APT42 cible régulièrement des utilisateurs de premier plan en Israël et aux États-Unis, notamment d'anciens et d'actuels responsables gouvernementaux, des campagnes politiques, des diplomates, des personnes travaillant dans des groupes de réflexion, ainsi que des ONG et des établissements universitaires qui contribuent aux discussions sur la politique étrangère.

Au cours des six derniers mois, les États-Unis et Israël ont représenté environ 60 % des cibles géographiques connues d'APT42, y compris d'anciens hauts responsables militaires israéliens et des personnes affiliées aux deux campagnes présidentielles américaines. Ces activités témoignent des efforts agressifs et multidimensionnels déployés par le groupe pour modifier rapidement son orientation opérationnelle afin de soutenir les priorités politiques et militaires de l'Iran.

Pics de ciblage d'APT42 contre Israël

En avril 2024, APT42 a intensifié son ciblage des utilisateurs basés en Israël. Il a recherché des personnes ayant des liens avec l'armée israélienne et le secteur de la défense, ainsi que des diplomates, des universitaires et des ONG.

APT42 utilise une variété de tactiques différentes dans le cadre de ses campagnes d'hameçonnage par courriel : y compris l'hébergement de logiciels malveillants, de pages d'hameçonnage et de redirections malveillantes. Ils essaient généralement d'abuser de services tels que Google (Sites, Drive, Gmail et autres), Dropbox, OneDrive et autres à ces fins.

Pour perturber APT42, le TAG a réinitialisé tous les comptes compromis, envoyé des avertissements d'attaquants soutenus par le gouvernement aux utilisateurs ciblés, mis à jour les détections, perturbé les pages Google Sites malveillantes et ajouté des domaines et URL malveillants à la liste de blocage Safe Browsing - démantelant ainsi l'infrastructure du groupe.

• Hameçonnage sur Google Sites : Le TAG annonce avoir supprimé plusieurs pages Google Sites créées par APT42 qui se faisaient passer pour une pétition de l'Agence juive légitime pour Israël appelant le gouvernement israélien à entamer une médiation pour mettre fin au conflit.
  
  Le texte de la pétition était intégré dans des fichiers images au lieu de HTML. La page Sites comprenait une URL de redirection ngrok, un service gratuit pour les développeurs qu'APT42 a déjà utilisé pour rediriger les utilisateurs vers des pages d'hameçonnage.
  
  
  
  
  
• Cibler les militaires, la défense, les diplomates, les universitaires et la société civile : selon le TAG, APT42 a tenté d'utiliser l'ingénierie sociale pour cibler d'anciens hauts responsables de l'armée israélienne et un cadre de l'aérospatiale en envoyant des courriels se faisant passer pour un journaliste demandant des commentaires sur les récentes frappes aériennes. Ils ont également envoyé des courriels d'ingénierie sociale à des diplomates israéliens, des universitaires, des ONG et des entités politiques.
  
  Les courriels ont été envoyés à partir de comptes hébergés par divers fournisseurs de services de messagerie et ne contenaient pas de contenu malveillant. Ces courriels étaient probablement destinés à susciter l'engagement des destinataires avant qu'APT42 ne tente de compromettre les cibles. Google a suspendu les comptes Gmail associés à APT42.
  
  Une campagne menée en juin 2024 auprès d'ONG israéliennes a utilisé une pièce jointe PDF bénigne usurpant l'identité du Project Aladdin, qui contenait un lien URL raccourci redirigeant vers une page d'atterrissage d'un kit d'hameçonnage conçu pour recueillir les identifiants de connexion à Google.
  
  
  
• Hameçonnage ciblé d'informations d'identification : le succès d'APT42 en matière d'hameçonnage d'informations d'identification est le résultat d'une persévérance et d'un recours massif à l'ingénierie sociale pour paraître plus crédible aux yeux de ses cibles. Ils créent régulièrement des comptes ou des domaines qui usurpent l'identité d'organisations susceptibles d'intéresser la cible. Par exemple :
  
  
  • APT42 s'est fait passer pour le légitime Washington Institute for Near East Policy dans de multiples campagnes depuis avril 2024, ciblant des diplomates et des journalistes israéliens, des chercheurs de groupes de réflexion américains et d'autres personnes. Dans ces campagnes, les attaquants ont défini le nom d'affichage de l'email comme étant celui d'un chercheur légitime affilié à l'Institut de Washington, mais l'adresse email sous-jacente ne provenait pas du domaine officiel .org.
    
  • APT42 enregistre des domaines typosquat très proches des domaines légitimes des organisations dont ils usurpent l'identité. Par exemple, APT42 a utilisé le domaine understandingthewar[.]org pour cibler des membres de l'armée américaine en se faisant passer pour l'Institut pour l'étude de la guerre. De même, APT42 a enregistré brookings[.]email pour usurper l'identité de la Brookings Institution et l'a utilisé dans de multiples campagnes visant Israël.

Ciblage de personnes en rapport avec l'élection présidentielle américaine

Selon des rapports antérieurs, Google s'efforce d'identifier et de perturber les activités malveillantes dans le contexte des élections démocratiques. Par exemple, au cours du cycle des élections présidentielles américaines de 2020, ils ont perturbé les tentatives d'APT42 visant à cibler des comptes associés aux campagnes présidentielles de Biden et de Trump.

Au cours du cycle actuel des élections présidentielles américaines, le TAG a détecté et perturbé une cadence faible mais régulière de l'activité d'hameçonnage d'informations d'identification du groupe C d'APT42. En mai et juin, les cibles d'APT42 comprenaient les comptes de messagerie personnels d'une douzaine de personnes affiliées au président Biden et à l'ancien président Trump, y compris des fonctionnaires actuels et anciens du gouvernement américain et des personnes associées aux campagnes respectives. Le TAG affirme avoir bloqué de nombreuses tentatives d'APT42 de se connecter aux comptes de messagerie personnels des personnes ciblées.

Des rapports publics récents montrent qu'APT42 a réussi à pénétrer dans des comptes de plusieurs fournisseurs de messagerie. Les travaux du TAG ont confirmé que le groupe avait réussi à accéder au compte Gmail personnel d'un consultant politique de premier plan. En plus des actions habituelles consistant à sécuriser rapidement tout compte compromis et à envoyer aux comptes ciblés des avertissements aux attaquants soutenus par le gouvernement, le TAG a également transmis cette activité malveillante aux forces de l'ordre début juillet et continue à coopérer avec elles.

Dans le même temps, ils ont également informé les responsables de la campagne que Google constatait une augmentation des activités malveillantes provenant d'acteurs étatiques étrangers et souligné l'importance de renforcer les protections de sécurité des comptes de courrier électronique personnels. Le TAG poursuit son observation des tentatives infructueuses d'APT42 pour compromettre les comptes personnels de personnes affiliées au président Biden, à la vice-présidente Harris et à l'ancien président Trump, y compris des fonctionnaires actuels et anciens et des personnes associées aux campagnes.

Comprendre l'hameçonnage d'informations d'identification sur mesure d'APT42

Dans les campagnes de phishing que TAG a perturbées, APT42 utilise souvent des tactiques telles que l'envoi de liens de phishing soit directement dans le corps du courriel, soit sous la forme d'un lien dans une pièce jointe PDF par ailleurs inoffensive. Dans ces cas-là, APT42 attire la cible avec un leurre d'ingénierie sociale pour organiser une réunion vidéo, puis envoie un lien vers une page d'atterrissage où la cible est invitée à se connecter et envoyée vers une page d'hameçonnage.

Une campagne comportait un leurre de phishing avec un lien Google Sites contrôlé par l'attaquant qui dirigeait la cible vers une fausse page d'atterrissage Google Meet. D'autres leurres concernaient OneDrive, Dropbox et Skype. Au cours des six derniers mois, le TAG A systématiquement perturbé la capacité de ces attaquants à abuser de Google Sites dans plus de 50 campagnes similaires.

Un autre modèle de campagne d'APT42 consiste à envoyer des pièces jointes PDF légitimes dans le cadre d'un leurre d'ingénierie sociale afin d'instaurer la confiance et d'encourager la cible à s'engager sur d'autres plateformes telles que Signal, Telegram ou WhatsApp. Le TAG prévoit que les attaquants utiliseront ensuite ces plateformes pour envoyer un kit d'hameçonnage afin de collecter des informations d'identification.

APT42 dispose d'un certain nombre de kits d'hameçonnage qui ciblent diverses pages de connexion, notamment :

• GCollection/LCollection/YCollection : un outil sophistiqué de collecte d'informations d'identification observé par TAG, capable de collecter les informations d'identification des utilisateurs de Google, Hotmail et Yahoo respectivement. Ce kit a connu une évolution constante depuis qu'il a été observé pour la première fois par APT42 en janvier 2023. La version actuelle met en œuvre un flux transparent qui prend en charge l'authentification multifactorielle, les codes PIN des appareils et les codes de récupération à usage unique sur les trois plateformes. Une série d'URL de pages d'atterrissage est incluse dans les indicateurs de compromission.
  
• DWP : un kit d'hameçonnage à l'intérieur du navigateur, souvent diffusé via un raccourcisseur d'URL, moins complet que GCollection.

Ce spear phishing s'appuie sur la reconnaissance, en utilisant des outils de marketing open-source et de recherche sur les médias sociaux pour identifier les adresses électroniques personnelles qui pourraient ne pas avoir d'authentification multifactorielle par défaut ou d'autres mesures de protection que l'on voit généralement sur les comptes d'entreprise.

APT42 a également développé une forte compréhension des fournisseurs de messagerie qu'ils ciblent, recherchant souvent les paramètres de sécurité des comptes qu'ils ciblent en utilisant des flux de travail de connexion ou de récupération échoués pour déterminer le deuxième facteur d'authentification configuré afin de mieux cibler leurs tentatives de phishing initiales.

Par exemple, dans certains cas, ils ont identifié qu'un compte était configuré pour utiliser des invites de périphériques comme second facteur accepté et ont ajouté leur support dans leur kit d'hameçonnage GCollection. APT42 combine ensuite cette approche avec la connaissance de l'emplacement géographique actuel de la cible, basée sur des recherches publiques ou sur l'ingénierie sociale. Par conséquent, les tentatives de connexion et de récupération d'APT42 proviennent souvent du bon emplacement géographique, avec les bonnes informations d'identification et le bon deuxième facteur d'authentification de l'utilisateur.

Une fois qu'APT42 a accédé à un compte, il ajoute souvent des mécanismes d'accès supplémentaires, notamment en modifiant les adresses électroniques de récupération et en utilisant des fonctions qui permettent d'utiliser des applications qui ne prennent pas en charge l'authentification multifactorielle, comme les mots de passe spécifiques à une application dans Gmail et les mots de passe d'applications tierces dans Yahoo. Le programme de protection avancée de Google révoque et désactive ces mots de passe spécifiques aux applications dans Gmail, protégeant ainsi les utilisateurs de cette tactique.

Conclusion

APT42 est un acteur sophistiqué et persistant qui ne montre aucun signe d'arrêt dans ses tentatives de cibler les utilisateurs et de déployer de nouvelles tactiques. Ce printemps et cet été, il a démontré sa capacité à mener de nombreuses campagnes d'hameçonnage simultanées, particulièrement axées sur Israël et les États-Unis. À mesure que les hostilités entre l'Iran et Israël s'intensifient, il faut prévoir une augmentation des campagnes d'APT42 dans ces pays. Il faut également rester vigilants quant au ciblage des élections américaines. Le TAG encourage toutes les personnes à haut risque, y compris les élus, les candidats, les travailleurs de campagne, les journalistes, les travailleurs électoraux, les fonctionnaires et autres, de renforcer les protections contre de telles tactiques.

Source : L'équipe chargée des menaces de Google (Threat Analysis Group)

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les fichiers PDF chiffrés constituent la dernière astuce des pirates informatiques pour vous transmettre des logiciels malveillants, qui exfiltrent ensuite vos informations personnelles

Microsoft : « activez l'authentification multifactorielle ou perdez l'accès aux portails d'administration en octobre ». L'entreprise veut réduire la surface d'attaque des utilisateurs de sa plateforme Azure

Des pirates informatiques participants à la DEF CON ont identifié des vulnérabilités dans les machines à voter qui seront utilisées lors des élections américaines de 2024, mais manque de temps pour les corriger

[Patrick Ruiz]

Un groupe de renseignement iranien est pointé comme responsable du piratage de l’équipe de campagne de Donald Trump
Selon un récent rapport du groupe d’analyse de menaces de Google

Un récent rapport de Google pointe le groupe de pirates dénommé APT42 comme responsable du récent piratage de l’équipe de campagne de Donald Trump. APT42, dont des rapports soulignent qu’il est lié au Corps des gardiens de la révolution iranienne, a ciblé une douzaine de personnes associées aux équipes de campagnes de Trump et de Biden, selon le groupe d'analyse des menaces de Google.

APT42, qui travaillerait pour le Corps des gardiens de la révolution iranienne, a ciblé une douzaine de personnes associées aux équipes de campagnes de Trump et de Biden, selon le groupe d'analyse des menaces de Google. Le groupe d'analyse des menaces de Google a publié un rapport sur APT42, un groupe qui, selon lui, multiplie les actions dans le but de compromettre les campagnes présidentielles démocrate et républicaine aux USA, ainsi que des organisations militaires, gouvernementales et diplomatiques israéliennes.

En mai et juin, APT42 a ciblé une douzaine de personnes associées à Trump et à Joe Biden, y compris d'anciens et d'actuels responsables gouvernementaux et des personnes associées aux deux campagnes politiques. Selon Google, APT42 continue de cibler les responsables des campagnes républicaines et démocrates.

« En termes de collecte, ils frappent tous les côtés », déclare John Hultquist, qui dirige le renseignement sur les menaces chez Mandiant, la société de cybersécurité appartenant à Google, qui travaille en étroite collaboration avec son groupe d'analyse des menaces. « Ils s'intéressent aux deux candidats parce que ce sont eux qui tracent l'avenir de la politique américaine au Moyen-Orient », explique Hultquist.

Une seule équipe de campagne, cependant, semble avoir vu ses systèmes pénétrés avec succès, mais aussi des fichiers sensibles divulgués aux médias – celle de Donald Trump.

Dans son rapport, Google décrit les opérations de phishing typiques d'APT42, qui vont de l'orientation des victimes vers une fausse page Google Meet qui tente de les inciter à saisir leur nom d'utilisateur et leur mot de passe, à l'incitation à la conversation sur une plateforme de messagerie telle que Telegram, WhatsApp ou Signal, où les pirates envoient ensuite à la victime une boîte à outils de phishing conçue pour intercepter ses identifiants, ainsi que des codes d'authentification à deux facteurs ou des codes de récupération de compte.

Au-delà de son ciblage de la campagne présidentielle, Google indique qu'APT42 a également ciblé des organisations israéliennes avec des sites de phishing qui se font passer pour des groupes israéliens ou liés à Israël, tels que le Washington Institute for Near East Policy, la Brookings Institution, l'Agence juive et le Project Aladdin.

Google affirme avoir bloqué de nombreuses tentatives de connexion aux comptes des responsables des deux campagnes, avoir envoyé des avertissements aux personnes concernées et avoir collaboré avec les services de police enquêtant sur les tentatives d'intrusion. Le FBI a lancé son enquête sur les attaques de phishing en juin, selon des rapports.

Un précédent rapport de Microsoft met en avant les actions présumées de plusieurs groupes iraniens dans le but d’interférer sur les élections présidentielles américaines via des attaques par phishing

Aujourd'hui, nous partageons des informations sur des activités que nous avons suivies et qui indiquent de plus en plus que l'Iran a l'intention d'influencer l'élection présidentielle américaine de cette année. Ces dernières semaines, des groupes liés au gouvernement iranien ont intensifié deux types d'activités. Premièrement, ils ont jeté les bases de campagnes d'influence sur des thèmes électoraux en vogue et ont commencé à activer ces campagnes dans le but apparent de susciter la controverse ou d'influencer les électeurs, en particulier dans les États en transition. Deuxièmement, ils ont lancé des opérations qui, selon Microsoft, sont conçues pour obtenir des renseignements sur les campagnes politiques et leur permettre d'influencer les élections à l'avenir.

Nous examinons ces activités dans un nouveau rapport publié aujourd'hui, qui les détaille. Quatre exemples illustrent ce que nous pouvons attendre de plus en plus de l'Iran à l'approche du mois de novembre.

Un groupe iranien a lancé des sites d'information clandestins ciblant des groupes d'électeurs américains aux extrémités opposées de l'échiquier politique. L'un de ces sites, appelé Nio Thinker, s'adresse à un public de gauche et insulte l'ancien président Donald Trump, le qualifiant d'"éléphant opioïde dans le magasin de porcelaine des MAGA" et de "litigiosaure fou furieux". Un autre site, appelé Savannah Time, prétend être une "source fiable d'informations conservatrices dans la ville dynamique de Savannah" et se concentre sur des sujets tels que les questions LGBTQ+ et le changement de sexe. Les preuves que nous avons trouvées suggèrent que ces sites utilisent des services basés sur l'IA pour plagier au moins une partie de leur contenu à partir de publications américaines.

Depuis le mois de mars, un autre groupe iranien prépare le terrain pour des opérations d'influence centrées sur les États-Unis. Nous pensons que ce groupe pourrait se préparer à des activités encore plus extrêmes, y compris l'intimidation ou l'incitation à la violence contre des personnalités ou des groupes politiques, dans le but ultime d'inciter au chaos, de saper les autorités et de semer le doute quant à l'intégrité des élections.

Un autre groupe iranien, lié au Corps des gardiens de la révolution islamique (CGRI), a envoyé en juin un courriel de spear phishing à un haut responsable d'une campagne présidentielle, à partir du compte de messagerie compromis d'un ancien conseiller principal. Le courriel contenait un lien qui dirigeait le trafic vers un domaine contrôlé par le groupe avant de l'acheminer vers le site web du lien fourni. Quelques jours plus tard, le même groupe a tenté en vain de se connecter à un compte appartenant à un ancien candidat à la présidence. Nous avons depuis informé les personnes visées.

Un quatrième groupe iranien a compromis le compte d'un employé du gouvernement d'un comté dans un État en pleine mutation. La compromission faisait partie d'une opération plus large de pulvérisation de mots de passe et Microsoft Threat Intelligence n'a pas observé l'acteur obtenir un accès supplémentaire au-delà du compte unique, ce qui rend difficile de discerner les objectifs ultimes du groupe. Depuis le début de l'année 2023, les opérations du groupe se sont concentrées sur la collecte de renseignements stratégiques, en particulier dans les secteurs des satellites, de la défense et de la santé, avec un certain ciblage d'organisations gouvernementales américaines, souvent dans des États en pleine mutation.

Le rapport Microsoft Threat Intelligence Report que nous publions aujourd'hui provient du Microsoft Threat Analysis Center, ou MTAC, qui suit les opérations d'influence menées par des groupes d'États-nations spécifiques dans le monde entier. Le MTAC suit régulièrement les menaces qui pèsent sur les élections dans le cadre du travail plus large de Microsoft intitulé Democracy Forward. Ce rapport s'appuie sur le travail effectué par l'équipe pour suivre les menaces qui pèsent sur les récentes élections en Inde, au Royaume-Uni et en France. La mise à jour d'aujourd'hui inclut également les activités que nous avons observées de la part d'acteurs défendant les objectifs géopolitiques de la Russie et de la Chine, chacun à des degrés divers d'efficacité.

Nous partageons ce type de renseignements afin que les électeurs, les institutions gouvernementales, les candidats, les partis et d'autres puissent être conscients des campagnes d'influence et se protéger contre les menaces. Nous avons également formé les candidats et les partis impliqués dans les élections cette année, en nous appuyant sur nos offres de longue date, comme AccountGuard. Enfin, Microsoft ne soutiendra pas un candidat ou un parti politique. Notre objectif en publiant ces rapports est de souligner l'importance de la lutte contre les "deepfakes" électoraux et de la promotion de l'éducation et de l'apprentissage sur l'ingérence étrangère possible.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Cybercriminalité : la France découvre une vaste campagne de désinformation russe en Europe, 193 sites Web, dirigé depuis la Russie, diffusent de fausses nouvelles

La guerre de l'information à l'ère de l'IA : le FBI annonce la perquisition de 968 comptes automatisés sur X en provenance de Russie, qui diffusaient de la propagande aux États-Unis et dans d'autres pays

Microsoft veut que le Congrès interdise les fraudes par deepfake générées par l'IA, avec une "loi sur la fraude par deepfake" qui donnera aux autorités un cadre juridique pour poursuivre les fraudes par l'IA

[Anselme45]

Et s'il s'avérait qu'en réalité les hackers sont des membres du parti démocrate, est-ce que Google le dirait? Je ne pense pas

[noremorse]

Mouais Google quoi. L’empire occidental et ses mensonges permanents