Google alerte sur l’existence d’un outil pirate, que les chercheurs ont baptisé HYPERSCRAPE. Le programme apparait souvent sous d’autres noms comme APT35, Cobalt Illusion, ITG18, Phosphorus, TA453, ou encore Yellow Garuda – et serait directement lié au Corps des Gardiens de la Révolution iranienne, aussi connus sous le nom Pasdaran.
Ecrit en .NET, le programme est conçu pour être utilisé depuis la machine du pirate (qui doit être un PC Windows). Il contient des fonctions pour télécharger et exfiltrer le contenu de la boîte mail de la victime, tout en supprimant automatiquement les alertes de sécurité qui surviennent en cas de connexions suspectes.
Gmail, Yahoo, Outlook : l’Iran dispose d’un outil pour faciliter le piratage d’emails à l’insu des victimes
De ce que l’on comprend en lisant l’analyse reprise par TheHackerNews, HYPERSCRAPE aurait servi à cibler seulement une vingtaine de cibles en Iran. Aucune cible à l’étranger n’a été pour l’heure documentée. En soit le programme n’est pas aussi sophistiqué qu’on ne pourrait le penser. Mais il parvient à ses objectifs – rendre le piratage et l’espionnage d’emails invisibles – avec une facilité déconcertante.
Les chercheurs expliquent : “HYPERSCRAPE nécessite les données de connexion de la victime pour ouvrir une session authentifiée valide sur l’ordinateur de l’attaquant, données que l’attaquant a potentiellement déjà obtenues par d’autres moyens”. Autrement dit HYPERSCRAPE n’est que le dernier maillon permettant aux services secrets iraniens de pirater les comptes mail de leurs cibles.
Les identifiants proprement dits peuvent être obtenus par exemple via un autre malware, keylogger, fuites de données qui circulent déjà sur le net ou toute autre forme d’exfiltration. En cas de recours à l’authentification double facteurs, les pirates peuvent avoir recours à d’autres techniques pour finaliser la connexion, comme des attaques par overlay ou SIM Swap, particulièrement efficaces pour les codes à usage unique reçus par SMS.
En outre, HYPERSCRAPE télécharge automatiquement tous les messages non lus, tout en faisant en sorte qu’ils restent “non lus” dans la boîte mail que voit la victime. Google a heureusement pu tracer l’utilisation de l’outil. Ce qui a permis de prévenir les victimes avérées et de sécuriser leur compte Gmail. Les personnes les plus à risques d’espionnage doivent nécessairement adopter des mécanismes de sécurité renforcés.
Lire aussi – Gmail – voici comment les pirates lisent vos emails
Par exemple, utiliser une clé physique comme Titan ou YubiKey en lieu et place des codes à usage unique reçus par SMS – et changer régulièrement de mot de passe. Sur Gmail, il est également conseillé de rejoindre le Programme de Protection Avancée, qui ajoute une série de protections empêchant ce type de piratage.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
L’heure est à la communication et nous en sommes fière pour tout ce développement en tic dans le cadre des échanges et de partage .