Microsoft : Un groupe de pirate iraniens vise les participants de deux conférences

Spread the love
  • Yum

Microsoft : Un groupe de pirate iraniens vise les participants de deux conférences

Microsoft affirme avoir déjoué une série de cyberattaques attribuées au groupe de piratage iranien Phosphorus. Celles ci visaient les participants à deux conférences internationales de haut niveau.

Le Centre d’information sur les menaces de Microsoft (MSITC) affirme avoir détecté et intercepté des tentatives de la part du groupe. Ces attaques visaient à voler les identifiants de plus de 100 “individus très en vue” qui participent à la prochaine conférence sur la sécurité de Munich, ainsi qu’au sommet Think 20 (T20) en Arabie Saoudite.

publicité

Selon Microsoft, le groupe s’est fait passer pour un organisateur d’événements et a envoyé des invitations falsifiées aux victimes par courrier électronique, dans l’intention de les tromper et de leur soutirer des informations.

Les courriels ont été rédigés dans un “anglais quasi parfait” et ont été envoyés à d’anciens fonctionnaires, à des experts politiques, à des universitaires et à des dirigeants d’organisations non gouvernementales selon Microsoft

On ne sait pas si des informations compromettantes ont été données au groupe, bien que Microsoft ait déclaré que les organisateurs de l’événement avaient été mis au courant de la tentative de piratage et avaient à leur tour averti les participants.

phosph-microsoft.png

Evolution d’une campagne du groupe Phosphorus ciblant les participants à la conférence.

Image : Microsoft

“Nous pensons que Phosphorus se livre à ces attaques à des fins de collecte de renseignements. Les attaques ont réussi à compromettre plusieurs victimes, dont d’anciens ambassadeurs et d’autres experts politiques de haut niveau qui contribuent à l’élaboration des programmes mondiaux et des politiques étrangères dans leurs pays respectifs”, a déclaré Microsoft.

“Nous recommandons aux gens d’évaluer l’authenticité des courriels qu’ils reçoivent au sujet de grandes conférences en s’assurant que l’adresse de l’expéditeur semble légitime et que tout lien intégré redirige vers le domaine officiel de la conférence.

Microsoft a partagé les indicateurs de compromission (IOC) observés, afin d’aider les équipes informatiques à identifier les campagnes précédentes et à protéger les futures – voir ci-dessous.

 INDICATOR 
 TYPE 
 DESCRIPTION 
 t20saudiarabia[@]outlook.sa
 Email Adresse se faisant passer pour l’organisateur de la conférence Think 20 (T20)
 t20saudiarabia[@]hotmail.com  Email Adresse se faisant passer pour l’organisateur de la conférence Think 20 (T20)
 t20saudiarabia[@]gmail.com
 Email Adresse se faisant passer pour l’organisateur de la conférence Think 20 (T20)
 munichconference[@]outlook.com 
 Email Adresse se faisant passer pour l’organisateur de la conférence de Munich
 munichconference[@]outlook.de 
 Email Adresse se faisant passer pour l’organisateur de la conférence de Munich
 munichconference1962[@]gmail.com
 Email Adresse se faisant passer pour l’organisateur de la conférence de Munich
 de-ma[.]online  Domain Domaine utilisé pour le vol d’identifiants
 g20saudi.000webhostapp[.]com  Subdomain Domaine utilisé pour le vol d’identifiants
 ksat20.000webhostapp[.]com  Subdomain Domaine utilisé pour le vol d’identifiants

 

Les mesures de sécurité informatique de base, comme l’activation de l’authentification à plusieurs facteurs et le renforcement des règles de transmission du courrier électronique, peuvent contribuer à atténuer les dangers des attaques de phishing et autres attaques de ce type.

Comme Microsoft l’a noté dans son récent rapport sur la défense numérique, les groupes proches des Etats ciblent fréquemment les groupes de réflexion, politiques et d’autres organisations gouvernementales et non gouvernementales considérées comme détentrices d’informations précieuses.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: