Le ministère américain de la Justice (DoJ) a dévoilé vendredi un acte d’accusation contre un ressortissant iranien pour son implication présumée dans une campagne cybernétique pluriannuelle visant à compromettre des entités gouvernementales et privées américaines.
Plus d’une douzaine d’entités auraient été ciblées, notamment les départements américains du Trésor et d’État, des sous-traitants de la défense qui soutiennent les programmes du département américain de la Défense, ainsi qu’un cabinet comptable et une société hôtelière, tous deux basés à New York.
Alireza Shafie Nasab, 39 ans, a affirmé être un spécialiste de la cybersécurité pour une société nommée Mahak Rayan Afraz, alors qu’il participait à une campagne persistante ciblant les États-Unis depuis au moins 2016 ou vers avril 2021.
« Comme cela a été allégué, Alireza Shafie Nasab a participé à une cyber-campagne utilisant le spear phishing et d’autres techniques de piratage pour infecter plus de 200 000 appareils victimes, dont beaucoup contenaient des informations sensibles ou classifiées de la défense. » dit Le procureur américain Damian Williams pour le district sud de New York.
Les campagnes de spear phishing étaient gérées via une application personnalisée qui permettait à Nasab et à ses co-conspirateurs d’organiser et de déployer leurs attaques.
Dans un cas, les auteurs de la menace ont violé le compte de messagerie d’un administrateur appartenant à un sous-traitant de la défense anonyme, exploitant ensuite cet accès pour créer des comptes malveillants et envoyer des courriels de spear phishing aux employés d’un autre sous-traitant de la défense et d’un cabinet de conseil.
En dehors des attaques de spear phishing, les conspirateurs se font passer pour d’autres personnes, généralement des femmes, pour gagner la confiance des victimes et déployer des logiciels malveillants sur les ordinateurs des victimes.
Nasab, tout en travaillant pour la société écran, serait responsable de l’acquisition de l’infrastructure utilisée dans la campagne en utilisant l’identité volée d’une personne réelle afin d’enregistrer un serveur et des comptes de messagerie.
Il a été inculpé d’un chef de complot en vue de commettre une fraude informatique, d’un chef de complot en vue de commettre une fraude électronique, d’un chef d’accusation de fraude électronique et d’un chef d’usurpation d’identité aggravée. S’il est reconnu coupable de tous les chefs d’accusation, Nasab risque jusqu’à 47 ans de prison.
Alors que Nasab reste en liberté, le Département d’État américain a annoncé des récompenses monétaires allant jusqu’à 10 millions de dollars pour les informations permettant l’identification ou la localisation de Nasab.
Mahak Rayan Afraz (MRA) a été dénoncé pour la première fois par Meta en juillet 2021 en tant qu’entreprise basée à Téhéran ayant des liens avec le Corps des Gardiens de la révolution islamique (CGRI), la force armée iranienne chargée de défendre le régime révolutionnaire du pays.
Le groupe d’activités, qui chevauche également Tortoiseshell, a déjà été associé à des campagnes d’ingénierie sociale élaborées, notamment en se faisant passer pour un instructeur d’aérobic sur Facebook dans le but d’infecter la machine d’un employé d’un entrepreneur de défense aérospatiale avec des logiciels malveillants.
Cette évolution intervient alors que les forces de l’ordre allemandes annoncé le démantèlement de Crimemarket, une plateforme de commerce illicite germanophone comptant plus de 180 000 utilisateurs spécialisée dans la vente de stupéfiants, d’armes, le blanchiment d’argent et d’autres services criminels.
Six personnes ont été arrêtées dans le cadre de cette opération, dont un homme de 23 ans considéré comme le principal suspect. saisissant des téléphones portables, du matériel informatique, un kilo de marijuana, des comprimés d’ecstasy et 600 000 € en espèces.