Livre de la jungle - Aie confiance.MP3
Image may be NSFW.Clik here to view.
Microsoft a publié récemment un rapport sur une campagne visant des personnalités politiques aux États-Unis. Objectif, dérober des informations sur les comptes WhatsApp des victimes, ce qui est une première. La technique se base notamment sur l’ingénierie sociale.
La campagne a été menée par le groupe Star Blizzard, connu également sous une multitude d’autres noms : SEABORGIUM, Blue Callisto, BlueCharlie, Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 ou UNC4057. Le groupe est d’affiliation russe et opère depuis au moins 2012, selon Microsoft.
La dernière campagne de Star Blizzard s’est déroulée aux États-Unis jusqu’en novembre. Elle a visé pendant plusieurs mois des personnalités politiques, particulièrement des personnes liées au gouvernement américain ou à sa diplomatie. Les pirates s’en sont pris aussi à celles effectuant des recherches en relations internationales, tout particulièrement celles portant sur la Russie et à tout ce qui touche aux sources d’assistance à l’Ukraine.
Cette campagne, détectée par Microsoft mi-novembre, a fait l’objet d’un rapport chez l’éditeur sur les activités de Star Blizzard.
De faux fonctionnaires américains
Dans la ligne de mire des pirates, les comptes WhatsApp de personnalités sélectionnées. Il s’agit d’un harponnage (spearphishing, ou hameçonnage ciblé), plus qu’un simple hameçonnage (phishing). Selon Microsoft, c’est la première fois qu’une campagne de piratage cible spécifiquement un lot de comptes WhatsApp.
La technique commence par envoyer des e-mails personnalisés aux futures victimes. Ces courriels paraissaient avoir été écrits par un fonctionnaire du gouvernement américain, avec une adresse d’expédition crédible. Selon Microsoft, il s’agit d’une tactique courante de Star Blizzard pour mieux tromper ses victimes.
Le courriel avertissait a priori les contacts qu’un groupe WhatsApp avait été créé pour évoquer la situation de l’Ukraine et faire le point sur les « dernières initiatives non gouvernementales » de soutien au pays. Il était également question de coordonner la distribution des fonds alloués par le gouvernement dans cet objectif.
Le message, relativement personnalisé, contenait un code QR permettant de rejoindre le fameux groupe. Cependant, quand le code était scanné, il renvoyait une erreur. La victime, si elle signalait le problème en réponse au courriel d’origine, recevait un nouveau message, cette fois avec un lien raccourci t[.]ly de type Safe Links. Celui-ci renvoyait à ce qui s’apparentait à une page de présentation officielle du groupe, reprenant les codes graphiques de WhatsApp.
Prise de contrôle
À ce stade cependant, la victime peut voir que quelque chose cloche : l’URL n’a rien à voir avec WhatsApp. Dans une capture fournie par Microsoft, on peut voir que le domaine est en effet aerofluidthermo.org. Sur la page, un nouveau code QR. Mais cette fois, il s’agit d’un vrai code, dont la mission n’est pas de permettre l’entrée sur le groupe, mais de connecter un appareil. Si la victime scanne le code, elle lie donc son appareil et son compte à une version web de WhatsApp contrôlée par les pirates.
Clik here to view.
Du côté des pirates, on obtient ainsi une copie complète des messages du compte. Étant donné le profil type des personnes visées, les informations peuvent être particulièrement sensibles. En outre, les pirates se servent d’extensions spécifiques dans leur navigateur pour réaliser une extraction des données depuis les messages chargés sur la version web. L’opération permet de garder une copie locale dans laquelle on peut effectuer plus simplement des recherches et autres opérations.
Chez la victime, le seul moyen de s’en apercevoir est de consulter la liste des appareils liés au compte. Ce que l’on n’a malheureusement aucune raison de faire en dehors d’une suspicion d’activité malveillante.
La vigilance comme seule barrière
Le rapport de Microsoft Threat Intelligence signale que la campagne semble s’être arrêtée à la fin de novembre. Il n’existe pas vraiment de solution efficace pour contrer la manœuvre. L’entreprise recommande donc d’être vigilant, car l’observation du lien dans le navigateur une fois la page malveillante ouverte renseigne de manière claire sur l’intention : il ne s’agit pas d’un lien WhatsApp.
Dans le cadre des solutions proposées par Microsoft, il est recommandé tout de même un certain nombre d’étapes comme l’installation de Defender for Endpoint sur les appareils mobiles, l’activation de la protection contre le sabotage, la détection en mode blocage ou encore le mode Smart Screen dans Edge. Rien de très original donc.
Plus intéressant, Microsoft donne aussi une liste d’évènements pouvant avoir un lien avec Star Blizzard. Ces informations sont à destination des administrateurs. En outre, un conseil prime sur les autres : dans le cas d’un e-mail provenant a priori d’une personne connue et contenant une demande importante, mieux vaut s’assurer de son identité en passant par un autre canal.
Pour Microsoft, cette campagne de Star Blizzard a été couronnée de succès. Les pirates ont réussi à obtenir des informations, même si leur ampleur et leur sensibilité ne sont pas abordées.
C’est en tout cas la première fois qu’une telle opération vise spécifiquement WhatsApp. Elle est d’autant plus visible – et peut-être victorieuse – que le gouvernement américain communique depuis quelques mois sur l’importance du chiffrement de bout en bout dans les communications. Dans certains messages, WhatsApp faisait justement partie des possibles applications listées. Dans le cas présent, le réseau chiffré de Meta n’est cependant pas en cause, puisqu’il s’agit d’un problème d’ingénierie sociale.