Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Des services informatiques gouvernementaux et des équipes de réponse aux incidents ciblés par des cyberattaques au Moyen-Orient et en Afrique du Nord

septembre 2015 par Kaspersky Lab

Kaspersky Lab lance une alerte sur l’activité d’un groupe de cybercriminels arabophones, surnommé par les experts la « cyber bande de Gaza ». Sévissant au Moyen-Orient et en Afrique du Nord, principalement en Egypte, aux Emirats Arabes Unis et au Yémen, ce groupe est actif depuis 2012 et a redoublé d’activité au deuxième et au troisième trimestre 2015. Il concentre ses attaques sur les organismes gouvernementaux, en particulier les ambassades, et cible surtout les équipes informatiques et de réponse aux incidents.

La cyber bande de Gaza envoie activement des fichiers malveillants aux services informatiques et de réponse aux incidents. Le personnel informatique est réputé bénéficier de davantage de droits et d’autorisations d’accès que les autres employés au sein d’une entreprise, notamment pour pouvoir gérer et exploiter l’infrastructure. C’est pourquoi il est beaucoup plus intéressant pour des cybercriminels d’accéder aux équipements des informaticiens qu’à ceux d’utilisateurs lambda sur le réseau de l’entreprise. Il est également bien connu que les équipes de réponse aux incidents ont accès à des données sensibles liées aux enquêtes en cours dans leur entreprise, ainsi qu’à des habilitations spéciales leur permettant de traquer des activités malveillantes ou suspectes sur le réseau.

Bien que ses cibles soient de haut niveau, par exemple gouvernementales, le groupe de Gaza se sert d’outils bien connus d’administration à distance (RAT) – XtremeRAT et PoisonIvy – qui répandent leurs infections via des campagnes de phishing. Ces outils simples font mouche avec des techniques d’ingénierie sociale, employant certains noms de fichiers, contenus et noms de domaines (tels que gov.uae.k*m) qui aident le groupe à appâter ses proies. Voici quelques exemples de thèmes apparaissant dans les noms des fichiers exécutables qui diffusent du malware sur la machine des victimes :
- Signes de désaccord entre l’Arabie saoudite et les Emirats
- Documents WikiLeaks concernant le Cheik
- Photos scandaleuses de militants, juges et consultants égyptiens
- Le Président Mahmoud Abbas insulte Majed Faraj
- Fuites d’une conversation avec le chef de formes armées égyptiennes Sodqi Sobhi
- Rapport secret
- Abus sexuels et drogues dans la police militaire

« D’après la liste des cibles, qui comprend des organismes gouvernementaux au Moyen-Orient et en Afrique du Nord, il s’agit là de cyberattaques à motivation politique. En prenant le contrôle d’ordinateurs qui leur donnent un accès étendu au système, ces cybercriminels augmentent leurs chances de dérober des informations de valeur et sont bien plus susceptibles de causer des dommages majeurs. L’identification des auteurs d’une cyber campagne malveillante étant la phase la plus compliquée de l’analyse, voire souvent impossible, nous ne savons pas encore qui se cache derrière celle-ci », commente Mohammad Amin Hasbini, chercheur senior en sécurité au sein de l’équipe GreAT (Global Research & Analysis Team) de Kaspersky Lab.

Afin de réduire le risque d’infection par les outils de ce groupe malveillant, les experts de Kaspersky Lab préconise les précautions suivantes :
- Prendre garde aux e-mails comportant des pièces jointes.
- Mettre à jour les logiciels, en particulier ceux qui comptent un grand nombre d’utilisateurs et sont souvent exploités par des cybercriminels.
- Eviter d’utiliser les logiciels présentant des vulnérabilités pour lesquelles il n’existe pas encore de correctif.
- Installer une solution antimalware qui a fait ses preuves.




Voir les articles précédents

    

Voir les articles suivants