Le Federal Bureau of Investigation (FBI) a averti mardi les responsables électoraux américains d’une campagne de phishing en cours et généralisée tentant de voler leurs informations d’identification depuis au moins octobre 2021.
« En cas de succès, cette activité peut fournir aux cyber-acteurs un accès durable et non détecté aux systèmes d’une victime », a déclaré le FBI dans une notification de l’industrie privée. [PDF].
« En octobre 2021, les responsables électoraux américains d’au moins neuf États ont reçu des e-mails de phishing sur le thème des factures contenant des liens vers des sites Web destinés à voler les identifiants de connexion. »
Il s’agit probablement d’un effort concerté pour cibler les responsables électoraux américains, étant donné que les e-mails de phishing partagent des fichiers joints similaires, utilisent des adresses e-mail compromises et ont été envoyés au cours de la même période.
Comme le FBI l’a en outre révélé, les attaquants ont utilisé diverses méthodes pour rediriger leurs cibles vers des pages de destination de phishing conçues pour inciter les destinataires à saisir leurs identifiants de connexion.
Les acteurs de la menace ont utilisé des comptes de messagerie compromis appartenant à des responsables du gouvernement américain et des adresses e-mail usurpant des entreprises américaines.
Le FBI a mis en évidence trois vagues différentes d’e-mails de phishing ciblant les responsables électoraux, utilisant diverses tactiques pour les inciter à remettre leurs informations d’identification :
- Le 5 octobre 2021, des cyberacteurs non identifiés ont ciblé des responsables électoraux américains dans au moins neuf États et des représentants de l’Association nationale des secrétaires d’État avec des courriels de phishing. Ces e-mails provenaient d’au moins deux adresses e-mail avec la même pièce jointe intitulée « INVOICE INQUIRY.PDF », qui redirigeait les utilisateurs vers un site Web de collecte d’informations d’identification. L’une des adresses e-mail envoyant les e-mails de phishing était le compte de messagerie d’un responsable du gouvernement américain compromis.
- Le 18 octobre 2021, des cyberacteurs ont utilisé deux adresses e-mail, prétendument d’entreprises américaines, pour envoyer des e-mails de phishing aux employés des élections du comté. Les deux e-mails contenaient des pièces jointes de documents Microsoft Word concernant des factures, qui redirigeaient les utilisateurs vers des sites Web de collecte d’informations d’identification en ligne non identifiés.
- Le 19 octobre 2021, des cyberacteurs ont utilisé une adresse e-mail, prétendument d’une entreprise américaine, pour envoyer un e-mail de phishing contenant de fausses factures à un responsable électoral. Les e-mails contenaient un document Microsoft Word en pièce jointe intitulé « Facture actuelle et paiements pour le rapport ».
Atténuations pour réduire le risque de compromission
L’agence fédérale américaine d’application de la loi pense que les acteurs de la menace derrière cette campagne de phishing continueront ou augmenteront probablement les attaques contre les responsables électoraux américains avec de nouveaux e-mails de phishing alors que les élections de mi-mandat de 2022 approchent.
Il est conseillé aux défenseurs du réseau d’éduquer les utilisateurs de messagerie tels que les responsables électoraux ciblés par ces attaques sur la manière d’identifier les tentatives d’hameçonnage, d’ingénierie sociale et d’usurpation d’identité et de toujours confirmer les demandes d’informations sensibles, y compris les informations d’identification, via des canaux secondaires.
Ils sont également invités à mettre en œuvre des protocoles permettant aux responsables électoraux et aux employés de signaler les e-mails suspects et d’exiger une authentification multifacteur (MFA) sur la messagerie Web, les réseaux privés virtuels et les services pouvant être utilisés pour accéder aux systèmes critiques.
Comme la CISA l’a dit précédemment, les pirates informatiques parrainés par l’État ont réussi à compromettre et à violer les systèmes d’assistance aux élections américaines en enchaînant le VPN et les failles de sécurité de Windows.
Cependant, comme l’a expliqué la CISA, elle n’a trouvé aucune preuve que les acteurs de l’APT aient pu utiliser leur accès pour compromettre « l’intégrité des données électorales ».