Infos

Attaque des faucons du désert : publication de l’enquête sur la première campagne de cyberespionnage arabe

L’équipe GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab a publié une analyse consacrée à une nouvelle campagne de cyberespionnage de grande envergure baptisée Desert Falcons. Ce qui distingue cette campagne, c’est l’origine arabe supposée des groupes de pirates qui l’organisent.

D’après les informations tirées de l’analyse, cette campagne est active depuis deux ans. Les outils et l’infrastructure utilisés par les pirates auraient été développés en 2011 tandis que les activités d’espionnage ont débuté en 2013. Le pic d’activité de Desert Falcons a été enregistré au début de l’année 2015.

Les malwares utilisés par le groupe sont diffusés principalement à l’aide de message de harponnage dans le courrier, les réseaux sociaux et les chats. Les messages de phishing contiennent les fichiers malveillants (ou des liens vers ceux-ci) masqués sous les traits de documents ou d’applications légitimes. Pour amener la victime à exécuter le fichier, les opérateurs de Desert Falcons utilisent différentes astuces dont le retournement d’une partie du nom du fichier afin de masquer l’extension véridique et, par conséquent, le type de fichier. Pour ce faire, un caractère Unicode spécial est placé au milieu du fichier et, par exemple, le fichier exécutable meet-record?fdp.scr se transforme en meet-recordrcs.pdf. Fait intéressant, la campagne Desert Falcons n’utilise pas de codes d’exploitation. Elle se contente de l’ingénierie sociale.

Quand l’infection a réussi, les opérateurs de Desert Falcons installent une des deux backdoors qui, d’après les experts, sont des œuvres originales du groupe. D’ailleurs, celles-ci sont toujours en cours de développement : plus de 100 échantillons différents de ces malwares ont été identifiés pendant l’analyse de l’activité de Desert Falcons.

En plus de la fonction principale de la backdoor, les individus malintentionnés peuvent également prendre des captures d’écran, enregistrer les frappes au clavier dans un journal, charger et décharger des fichiers, récolter des informations sur tous les types de fichiers Microsoft Word et Excel stockés sur le disque dur de l’ordinateur infecté et sur les clés USB connectées, voler des mots de passe enregistrés dans les registres du système et même enregistrer des sons. Les experts de Kaspersky Lab ont pu également identifier des traces d’activité d’un malware pour Android capable d’intercepter les appels vocaux et les SMS et qui aurait été développé par ce même groupe.

Au moins trois campagnes malveillantes différentes visant différentes victimes à travers le monde ont été organisées à l’aide de ces outils. Au total, ce sont plus de 3 000 victimes réparties entre 50 pays qui ont été identifiées. Le nombre de fichiers volés sur les ordinateurs infectés s’élève à plus d’un million. Desert Falcons a ciblé principalement l’Egypte, la Palestine, la Jordanie et Israël. De nombreuses victimes ont également été recensées au Qatar, en Arabie saoudite, aux Emirats arabes unis, en Algérie, au Liban, en Norvège, enš Turquie, en Suède, en France, aux Etats-Unis, en Russie et dans quelques autres pays.

La liste des cibles favorites de Desert Falcons est relativement longue et comprend des institutions militaires et gouvernementales, des institutions spécialisées dans la santé, l’économie, les finances, la science et l’éducation, des grands médias, des sociétés énergétiques, des sociétés de distribution d’eau, d’électricité et de gaz, des sociétés de gardiennage, des activistes et des leaders politiques ainsi que d’autres organisations ou personnes ayant accès à des informations géopolitiques importantes.

"Les individus derrière cette menace sont décidés et actifs. Ils possèdent de plus d’excellentes connaissances techniques, politiques et culturelles" a déclaré Dimitri Bestouzhev, expert de la lutte contre les virus du centre international d’étude et d’analyse de Kaspersky Lab. A l’aide de messages d’hameçonnage, d’ingénierie sociale, d’outils propres et de backdoors, les opérateurs de Desert Falcons ont réussi à infecter des centaines de cibles importantes au Moyen-Orient et à voler des données cruciales sur leurs ordinateurs et périphériques mobiles. Nous nous attendons à ce que ce groupe poursuive le développement de nouveaux chevaux de Troie et applique des techniques plus poussées. S’il obtient un financement adéquat, il pourra acheter ou développer des codes d’exploitation qui renforceront l’efficacité de l’attaque.

L’analyse indique clairement que les solutions de Kaspersky Lab sont parfaitement capables d’identifier et de bloquer les malwares utilisés par le groupe Desert Falcons.

Lien :        Securelist.com

Attaque des faucons du désert : publication de l’enquête sur la première campagne de cyberespionnage arabe

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception