[ad_1]

Des chercheurs norvégiens ont découvert des preuves d’un vaste réseau d’espionnage du Moyen-Orient qui, au cours de l’année écoulée, a déployé des logiciels malveillants pour espionner des cibles israéliennes et palestiniennes.

La découverte, par une société d’antivirus et de sécurité basée à Oslo Norman ASAest la dernière d’une série de révélations impliquant une activité de surveillance numérique d’origine inconnue qui semble conçue pour recueillir des renseignements auprès de cibles spécifiques au Moyen-Orient.

Les experts de Norman disent que la véritable étendue du réseau d’espionnage a été mise au point après l’annonce d’une cyberattaque fin octobre 2012 qui a poussé les autorités israéliennes à fermer l’accès à Internet pour ses forces de police. Selon articles de pressecette incursion a été menée par un e-mail piégé qui donnait l’impression d’avoir été envoyé par Benny Gantzle chef d’état-major des Forces de défense israéliennes.

Fournisseur de sécurité Trend Micro suggéré que la cible initiale de cette attaque était des systèmes au sein de l’agence des douanes israéliennes, et a déclaré que le logiciel malveillant déployé était une version de RAT extrême, un cheval de Troie d’accès à distance qui peut être utilisé pour voler des informations et recevoir des commandes d’un attaquant distant. Selon Trend, les dernières itérations de Xtreme Rat ont Windows 8 compatibilité, améliorée Chrome et Firefox saisie de mot de passe et fonctionnalités améliorées de capture audio et de bureau.

Tous les fichiers malveillants découverts par Fagerland dans le cadre de cette campagne ont été signés avec ce faux certificat Microsoft.

Snorre Fagerlandchercheur principal en virus chez Norman, a déclaré avoir examiné un échantillon du cheval de Troie utilisé pour déployer le logiciel malveillant lors de cette attaque et a découvert qu’il comportait un trait plutôt révélateur : il était signé avec un certificat numérique qui avait été falsifié pour donner l’impression qu’il avait été signé numériquement par Microsoft.

Le faux certificat numérique ne résisterait pas à la validation par les fenêtres– ou toute personne désireuse de le vérifier avec les certificats racine de confiance fournis avec les PC Windows. Mais cela s’est avéré être un marqueur pratique pour Fagerland, qui a parcouru les bases de données de logiciels malveillants à la recherche d’autres échantillons qui utilisaient le même faux certificat depuis lors. Jusqu’à présent, il a cartographié un réseau en expansion de logiciels malveillants et de serveurs de contrôle qui ont été utilisés dans des dizaines d’attaques par e-mail ciblées (voir le graphique ci-dessous).

« Ces logiciels malveillants sont configurés pour utiliser le même cadre, parler aux mêmes serveurs de contrôle et avoir le même certificat numérique usurpé », a déclaré Fagerland dans une interview avec BreachTrace. « À mon avis, ce sont les mêmes attaquants. »

Fagerland a découvert un vaste réseau de serveurs de commande et de contrôle (jaunes) qui portaient tous le même faux certificat Microsoft et propulsaient des logiciels malveillants qui ciblaient les utilisateurs israéliens et palestiniens.

Fagerland a découvert que le plus ancien des fichiers malveillants portant le faux certificat Microsoft avait été créé en octobre 2011, et que les leurres de courrier électronique en langue arabe utilisés en tandem avec ces échantillons mettaient en évidence les problèmes d’actualité palestiniens. Il a observé que les attaquants utilisaient des fournisseurs DNS dynamiques pour déplacer périodiquement les adresses Internet de leurs réseaux de contrôle, mais que ces adresses remontaient presque toujours à des réseaux à Gaza attribués à un fournisseur d’hébergement à Ramallah en Cisjordanie.

Après environ huit mois de cette activité, l’opération malveillante s’est concentrée sur l’attaque de cibles israéliennes, a découvert Fagerland. Lorsque cela s’est produit, les attaquants ont déplacé l’emplacement de leurs serveurs de contrôle vers des réseaux aux États-Unis.

Une image et un texte extraits de l’un des fichiers appâts piégés inclus dans les attaques de logiciels malveillants par e-mail contre des cibles israéliennes.

Jusqu’à récemment, une grande partie de la discussion sur les attaques d’espionnage était centrée sur les activités censées émaner de groupes de piratage parrainés par l’État en Chine. Mais les campagnes d’espionnage telles que celle-ci mettent en évidence l’activité d’un mouvement croissant de groupes de pirates apparemment indépendants qui ne bénéficient peut-être pas du soutien de l’État, mais qui peuvent néanmoins être efficaces pour recueillir des renseignements utiles et effectuer une surveillance.

Alors que les attaquants d’espionnage chinois utilisent bon nombre des mêmes tactiques et techniques (une forte dépendance à l’égard des fournisseurs de DNS dynamiques et des leurres contextuels ciblés), ces acteurs ont tendance à utiliser des logiciels malveillants fabriqués localement et des leurres locaux (bien qu’ils aient montré un penchant remarquable pour le disponible gratuitement RAT Poison Ivy), a déclaré Fagerland.

« En ce qui concerne les pirates du Moyen-Orient, ils ont manifestement consacré moins d’efforts à créer leurs propres trucs et ont tendance à s’appuyer sur des outils prêts à l’emploi, tels que Blackshades, XtremeRAT et Dark Comet », a-t-il déclaré. En effet, les chercheurs ont documenté de nombreux exemples d’utilisation de ces outils commerciaux dans des attaques d’espionnage contre des militants dans d’autres pays de la région, notamment Syrie.

Fagerland a refusé de spéculer sur qui pourrait être responsable des attaques, suggérant seulement qu’il s’agissait « d’une entité ayant des besoins de renseignement contre les Israéliens et les Palestiniens ».

« Mais je pense que c’est presque du jamais vu dans un contexte de cyberguerre que deux parties impliquées dans un conflit soient espionnées par la même entité », a-t-il déclaré.

Fagerland a noté que les attaquants n’avaient pas réussi à nettoyer les métadonnées incluses dans la plupart des fichiers d’appâts de courrier électronique. Ces fichiers, pour la plupart piégés Microsoft Word documents, semblent avoir été créés et enregistrés par une poignée d’utilisateurs, dont « Hitham », « Tohan », Aert » et « Ayman ». J’ai passé un peu de temps à rechercher des forums de hackers populaires au Moyen-Orient et j’ai trouvé plusieurs comptes correspondant à ces surnoms sur un forum appelé Gaza-Hacker.net. Les profils d’Hitham (photo ci-dessous) et d’Aert suggèrent qu’il s’agit de jeunes hommes algériens. La signature d’Hitham suggère qu’il est membre d’un groupe se faisant appeler le Équipe de hackers de Gazalequel revendiqué la responsabilité pour avoir dégradé des sites du gouvernement israélien plus tôt cette année avec des messages appelant à « Mort à Israël ».

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *