Principaux renseignements

• Les victimes reçoivent des courriels usurpant l’identité d’un représentant du gouvernement américain, les incitant à cliquer sur un code QR.
• Le code QR permet à l’attaquant d’accéder au compte WhatsApp de la victime et de le relier à un appareil externe ou au portail Web de WhatsApp.
• Cette tactique permet aux attaquants de consulter et potentiellement d’exfiltrer des messages sensibles au sein des comptes compromis.

Le groupe de pirates informatiques Star Blizzard, parrainé par l’État russe, a été observé en train d’employer une tactique inédite : cibler des responsables gouvernementaux et des ministres du monde entier via WhatsApp.

Microsoft a révélé que les victimes recevaient des courriels usurpant l’identité d’un fonctionnaire du gouvernement américain, les incitant à cliquer sur un code QR. Cette action apparemment anodine permet à l’attaquant d’accéder au compte WhatsApp de la victime. Au lieu de se connecter à une discussion de groupe, le code relie le compte à un appareil externe ou au portail Web de WhatsApp.

Méthodes et cibles

L’exécution réussie de ce stratagème permet aux attaquants de consulter et potentiellement d’exfiltrer des messages sensibles au sein des comptes compromis. Bien que Microsoft n’ait pas confirmé de violation de données, le potentiel de préjudice est important. Les courriels frauduleux utilisés dans cette campagne se font souvent passer pour des invitations à rejoindre des groupes WhatsApp axés sur des initiatives non gouvernementales soutenant des ONG ukrainiennes.

Histoire et attribution

Cette tactique vise spécifiquement les personnes impliquées dans la diplomatie, la politique de défense, la recherche sur les relations internationales liées à la Russie et les efforts pour aider l’Ukraine. Star Blizzard a l’habitude de cibler des personnes et des organisations de haut niveau, notamment des députés britanniques, des universités et des journalistes. Le NCSC (National Cyber Security Centre) a établi un lien direct entre Star Blizzard et le FSB (Federal Security Service) russe, les accusant de chercher à saper la confiance dans les systèmes politiques.

Recommandations et contre-mesures

Bien que la campagne semble avoir été réduite en novembre 2023, le passage à l’utilisation de codes QR – une pratique connue sous le nom de « quishing » dans les milieux de la cybersécurité – met en évidence l’utilisation persistante par Star Blizzard de techniques de spear phishing pour obtenir l’accès à des informations sensibles.

Pour atténuer cette menace, Microsoft recommande aux utilisateurs de faire preuve de prudence lorsqu’ils traitent des courriels, en particulier ceux qui contiennent des liens externes. Ils conseillent de vérifier l’identité de l’expéditeur par le biais des canaux de communication établis. WhatsApp insiste sur le fait que la liaison des comptes ne doit se faire que par le biais de services officiellement pris en charge et encourage les utilisateurs à évaluer d’un œil critique les liens entrants.

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!