De l'aveu même de Microsoft, ce sont des attaques informatiques qui n'étaient pas sophistiquées d'un point de vue technique. Pour autant, Microsoft dévoile qu'un groupe particulièrement motivé et lié au gouvernement iranien a ciblé des comptes de ses clients.
En août et septembre, le Microsoft Threat Intelligence Center (MSTIC) a observé plus de 2 700 tentatives d'identification de comptes email appartenant à des utilisateurs de Microsoft et 241 attaques sur ces comptes.
" Les comptes ciblés sont associés à une équipe de campagne présidentielle américaine, des responsables actuels et anciens du gouvernement américain, des journalistes couvrant la politique internationale et d'éminents Iraniens vivant hors d'Iran. "
D'après le MSTIC, quatre comptes ont au final été compromis. Il est seulement précisé qu'ils n'étaient pas associés à l'équipe de campagne présidentielle US ou au gouvernement. Les attaquants ont d'abord obtenu un accès à l'adresse email secondaire des victimes, puis ont réinitialisé le mot de passe du compte Microsoft en utilisant le lien de réinitialisation reçu.
Today, @TomBurt45 shared that we’ve recently seen significant cyber activity by a threat group we call Phosphorus.
— Microsoft On the Issues (@MSFTIssues) 4 octobre 2019
Read more about the attacks we’ve spotted and how you can protect yourself: https://t.co/DHXWo9t8sW ?
Le groupe porte le nom de Phosphorus attribué par Microsoft. Il est autrement connu en tant que APT35, Charming Kitten, Ajax Security ou encore NewsBeef par d'autres sociétés de cybersécurité. Il est actif depuis plusieurs années.
En début d'année, Microsoft avait pris le contrôle de près d'une centaine de domaines web enregistrés par le groupe qui est impliqué dans des campagnes de spear phishing. Une saisie qui avait été obtenue après une action en justice.
