Secteur industriel et bureaux d’ingénieurs du Moyen-Orient victimes de l’opération Ghoul

Des chercheurs ont identifié aujourd’hui une série d’attaques ciblées continues dont l’objectif principal est le vol d’information sensibles dans des entreprises et des bureaux d’ingénieurs au Moyen-Orient.

Le groupe à l’origine de cette campagne baptisée Operation Ghoul par les chercheurs de l’Equipe internationale de recherche et d’analyse de Kaspersky Lab aurait à ce jour lancé des attaques contre 130 organisations dans 30 pays d’après un rapport publié ce mercredi.

Alors que les attaques visent principalement des pays du Moyen-Orient (70 % des attaques ont touché des entreprises établies aux Emirats arabes unis), les chercheurs ont également observé des attaques menées en Inde, au Royaume-Unis et en Allemagne. En dehors du Moyen-Orient, c’est en Espagne que la campagne Ghoul a été la plus active : 25 organisations de ce pays ont été victimes d’attaques.

Les chercheurs affirment que le côté rudimentaire de cette attaque qui n’utilise qu’un seul centre de commande ne doit pas faire oublier le danger qu’elle représente.

« A la différence des attaques parrainées par un gouvernement et qui choisissent soigneusement leurs cibles, ce groupe et les groupes similaires pourraient attaquer n’importe quelle entreprise. L’utilisation d’outils malveillants assez rudimentaires ne rend pas ces attaques moins efficaces pour la cause » explique Mohammad Amin Hasbini, expert en sécurité chez Kaspersky Lab. Il ajoute que les entreprises qui ne sont pas prêtes pour identifier les attaques vont malheureusement souffrir.

Les attaques reposent sur des messages de harponnage avec des pièces jointes compressées .7z. Quand celles-ci sont ouvertes, un malware de vol de données est lancé. Le fichier exécutable du malware commence à récupérer les mots de passe, les frappes au clavier et des captures d’écran qu’il transmet ensuite aux attaquants. Dans certains cas, les victimes sont amenées à cliquer sur des liens de phishing.

Le malware, qui repose sur l’outil d’espionnage commercialisé HawkEye, s’empare également des informations d’identification des serveurs FTP, des données de compte dans les navigateurs, les clients de messagerie instantanée et électroniques et les données du presse-papiers. Ensuite, les attaquants utilisent une combinaison de publications HTTP GET et de messages électroniques dans les organisations déjà compromises pour extraire les données.

Les messages électroniques envoyés aux cadres et membres de la direction des entreprises ciblées, semblent provenir d’une banque aux Emirats arabes unis, la Emirates NBD, et possèdent un objet étrange comme « Your payment copy advice from Emirates NBD Bank/subsidiary. »

La vague la plus récente d’attaques a débuté le 8 et le 27 juin, mais les chercheurs affirment que des éléments associés aux fichiers malveillants et aux sites d’attaques laissent penser que Ghoul pourrait remonter à mars 2015.

Cette campagne est la dernière en date dans une longue liste d’attaques ciblant le secteur industriel au Moyen-Orient.

Des entreprises du secteur énergétique au Moyen-Orient avaient été ciblées il y a quelques années par des attaquants qui utilisaient le malware d’espionnage njRAT. A l’instar de ce qui se passe dans l’opération Ghoul, les attaquants plaçaient un trojan à accès à distance dans l’infrastructure des sociétés afin de récolter des données telles que les informations d’identification enregistrées dans les navigateurs, voler des fichiers, voir le Bureau de l’utilisateur et accéder à leur ordinateur.

En 2013, des attaquants avaient utilisé le trojan bancaire Citadel contre des entreprises pétrochimiques au Moyen-Orient. Dans le cadre de ces attaques, les auteurs ciblaient la messagerie en ligne de ces entreprises. Les attaquants pouvaient accéder aux emails d’un employé ou d’un sous-traitant et envoyer des messages pour organiser des campagnes de phishing.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *