Attaque des faucons du désert : publication de l’enquête sur la première campagne de cyberespionnage arabe

L’équipe GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab a publié une analyse consacrée à une nouvelle campagne de cyberespionnage de grande envergure baptisée Desert Falcons. Ce qui distingue cette campagne, c’est l’origine arabe supposée des groupes de pirates qui l’organisent.

D’après les informations tirées de l’analyse, cette campagne est active depuis deux ans. Les outils et l’infrastructure utilisés par les pirates auraient été développés en 2011 tandis que les activités d’espionnage ont débuté en 2013. Le pic d’activité de Desert Falcons a été enregistré au début de l’année 2015.

Les malwares utilisés par le groupe sont diffusés principalement à l’aide de message de harponnage dans le courrier, les réseaux sociaux et les chats. Les messages de phishing contiennent les fichiers malveillants (ou des liens vers ceux-ci) masqués sous les traits de documents ou d’applications légitimes. Pour amener la victime à exécuter le fichier, les opérateurs de Desert Falcons utilisent différentes astuces dont le retournement d’une partie du nom du fichier afin de masquer l’extension véridique et, par conséquent, le type de fichier. Pour ce faire, un caractère Unicode spécial est placé au milieu du fichier et, par exemple, le fichier exécutable meet-record?fdp.scr se transforme en meet-recordrcs.pdf. Fait intéressant, la campagne Desert Falcons n’utilise pas de codes d’exploitation. Elle se contente de l’ingénierie sociale.

Quand l’infection a réussi, les opérateurs de Desert Falcons installent une des deux backdoors qui, d’après les experts, sont des œuvres originales du groupe. D’ailleurs, celles-ci sont toujours en cours de développement : plus de 100 échantillons différents de ces malwares ont été identifiés pendant l’analyse de l’activité de Desert Falcons.

En plus de la fonction principale de la backdoor, les individus malintentionnés peuvent également prendre des captures d’écran, enregistrer les frappes au clavier dans un journal, charger et décharger des fichiers, récolter des informations sur tous les types de fichiers Microsoft Word et Excel stockés sur le disque dur de l’ordinateur infecté et sur les clés USB connectées, voler des mots de passe enregistrés dans les registres du système et même enregistrer des sons. Les experts de Kaspersky Lab ont pu également identifier des traces d’activité d’un malware pour Android capable d’intercepter les appels vocaux et les SMS et qui aurait été développé par ce même groupe.

Au moins trois campagnes malveillantes différentes visant différentes victimes à travers le monde ont été organisées à l’aide de ces outils. Au total, ce sont plus de 3 000 victimes réparties entre 50 pays qui ont été identifiées. Le nombre de fichiers volés sur les ordinateurs infectés s’élève à plus d’un million. Desert Falcons a ciblé principalement l’Egypte, la Palestine, la Jordanie et Israël. De nombreuses victimes ont également été recensées au Qatar, en Arabie saoudite, aux Emirats arabes unis, en Algérie, au Liban, en Norvège, enš Turquie, en Suède, en France, aux Etats-Unis, en Russie et dans quelques autres pays.

La liste des cibles favorites de Desert Falcons est relativement longue et comprend des institutions militaires et gouvernementales, des institutions spécialisées dans la santé, l’économie, les finances, la science et l’éducation, des grands médias, des sociétés énergétiques, des sociétés de distribution d’eau, d’électricité et de gaz, des sociétés de gardiennage, des activistes et des leaders politiques ainsi que d’autres organisations ou personnes ayant accès à des informations géopolitiques importantes.

"Les individus derrière cette menace sont décidés et actifs. Ils possèdent de plus d’excellentes connaissances techniques, politiques et culturelles" a déclaré Dimitri Bestouzhev, expert de la lutte contre les virus du centre international d’étude et d’analyse de Kaspersky Lab. A l’aide de messages d’hameçonnage, d’ingénierie sociale, d’outils propres et de backdoors, les opérateurs de Desert Falcons ont réussi à infecter des centaines de cibles importantes au Moyen-Orient et à voler des données cruciales sur leurs ordinateurs et périphériques mobiles. Nous nous attendons à ce que ce groupe poursuive le développement de nouveaux chevaux de Troie et applique des techniques plus poussées. S’il obtient un financement adéquat, il pourra acheter ou développer des codes d’exploitation qui renforceront l’efficacité de l’attaque.

L’analyse indique clairement que les solutions de Kaspersky Lab sont parfaitement capables d’identifier et de bloquer les malwares utilisés par le groupe Desert Falcons.

Lien :        Securelist.com

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *