Charming Kitten, une organisation de hackers associée à l’Iran, a ajouté une nouvelle porte dérobée Android à son arsenal. Elle a réussi à compromettre des individus associés au mouvement de réforme iranien. Et ce, selon les chercheurs en sécurité de l’équipe IBM X-Force
Charming Kitten, actif depuis 2011 :
Lors de la conférence Black Hat USA 2021, deux chercheurs d’IBM X-Force ont décrit les détails de l’acteur de la menace parrainé par l’État ITG18. Charming Kitten, également connu sous le nom de Phosphorus, TA435 et ITG18, est actif depuis au moins 2011. Il cible les organisations gouvernementales, les journalistes, les militants et diverses autres entités. Notamment l’Organisation mondiale de la santé (OMS) et les campagnes présidentielles.
L’année dernière, l’organisation a accidentellement exposé environ 40 Go de vidéo et d’autres contenus liés à ses opérations. Notamment des vidéos d’entraînement sur la façon d’exfiltrer des données de comptes en ligne. Mais aussi des clips détaillant la compromission réussie de certaines cibles.
Richard Emerson a expliqué que l’ITG18 a tendance à garder des répertoires ouverts. Cela aide les chercheurs à en apprendre davantage sur les outils et les techniques utilisés par l’équipe. Parfois, cela devient un trésor.
Elle a attaqué avec succès des cibles compatibles avec le mouvement de réforme de l’Iran. Cela s’est produit entre août 2020 et mai 2021. Emerson a révélé qu’elle a également continué à commettre diverses erreurs de sécurité opérationnelle.
La porte dérobée Android récemment découverte semble être unique à cette organisation :
Elle fournit un large éventail de fonctions de vol d’informations pour les acteurs de la menace. Y compris l’enregistrement de vidéos et d’écrans en temps réel, les numéros d’appel. Ainsi que le téléchargement de fichiers et l’enregistrement d’appels vocaux. Il existe également la collecte de données GPS, la collecte d’informations sur l’appareil, le vol d’informations de contact. Mais aussi la prise de photos et la récupération d’informations détaillées sur les SMS et les listes d’appels.
« Les informations sur les activités de l’ITG18 collectées par X-Force et les vidéos de formation découvertes par X-Force à l’été de 2020 continuent de dresser le portrait d’un acteur menaçant. Il peut s’appuyer sur pas mal de personnes. Il s’avère que le fonctionnement de ITG18 semble être manuel et laborieux. Et ce, depuis l’accès initial aux comptes des victimes individuelles à l’examen des données divulguées », a souligné Emerson.
Les chercheurs en sécurité ont souligné que l’organisation n’envoie généralement pas seulement des messages de phishing aux victimes. Mais essaie également de discuter, de passer des appels téléphoniques et même des vidéoconférences avec elles. Ce qui montre que de nombreux opérateurs travaillent dans ce domaine.
Selon les rapports, ils enverront des SMS et des e-mails aux victimes potentielles. Et ce, avant d’essayer de les inciter à télécharger des logiciels malveillants ou à visiter des pages de phishing.
Cette année, IBM a découvert que plus de 60 serveurs utilisés par l’organisation hébergeaient plus de 100 domaines de phishing. Indiquant un grand nombre de victimes. Cependant, ce que les chercheurs ne peuvent pas estimer, c’est le nombre d’opérateurs dans ce groupe.
« Depuis 2018, X-Force a observé près de 2 téraoctets de fuites de données compressées sur des serveurs ITG18 accessibles au public. Cela peut ne représenter qu’une petite partie des données réellement volées par l’adversaire », a souligné Emerson.