Desert Falcons : Kaspersky identifie un groupe de cybermercenaires arabes

0
91

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab a découvert les « Desert Falcons », un groupe de cyberespions s’attaquant à de nombreuses grandes entreprises et personnalités au Moyen-Orient.

Les experts de Kaspersky Lab considèrent cette menace comme le premier groupe arabe connu de cybermercenaires élaborant et menant des opérations de cyberespionnage à grande échelle.  Leur activité aurait fait 3 000 victimes dans une cinquantaine de pays, dont la France. Le rapport complet est disponible ici en PDF.

Quelques jours après avoir révélé la portée d’une attaque contre de nombreux établissements bancaires dans le monde, les laboratoires de l’éditeur russe Kaspersky mettent au jour l’activité de Desert Falcons, groupe de cyberespions s’attaquant surtout à des individus et entreprises au Moyen-Orient (Egypte, Palestine, Israël et Jordanie principalement).

Pour l’éditeur, il s’agit là du « premier groupe arabe connu de cybermercenaires », maniant des APT (attaques persistantes avancées) pour soutirer de l’information. La campagne d’attaques est en cours depuis au moins deux ans (même si Kaspersky affirme que le groupe de pirates est actif depuis 2011). Et le pic d’activité a été enregistré en ce début d’année.

Desert-Falcons

D’innombrables victimes

Au total, les Desert Falcons, dont Kasperky affirme connaître l’identité de certains membres, ont dérobé plus d’un million de fichiers à leurs victimes, estime l’éditeur. Dont des communications diplomatiques, des plans et documents militaires, des documents financiers ou des carnets d’adresses de média.

La liste des victimes comprend des agences de défense et des administrations, en particulier des responsables de la lutte contre le blanchiment ou encore dans les domaines de la santé et de l’économie, de grands médias, des établissements de recherche et d’enseignement, des réseaux d’énergie ou autres, des militants et responsables politiques, des entreprises de sécurité physique, ainsi que d’autres cibles en possession d’importantes informations géopolitiques. Au total, les experts de Kaspersky Lab ont pu dénombrer plus de 3 000 victimes dans une cinquantaine de pays et plus d’un million de fichiers volés. Bien que l’activité des Desert Falcons paraisse se concentrer dans des pays tels que l’Egypte, la Palestine, Israël et la Jordanie, de nombreuses victimes ont été également recensées au Qatar, en Arabie saoudite, aux Emirats Arabes Unis, en Algérie, au Liban, en Norvège, en Turquie, en Suède, en France, aux Etats-Unis, en Russie, etc.

Diffusion, infection, espionnage

La principale méthode utilisée par les Desert Falcons pour diffuser leur code malveillant est le « spear phishing » via des e-mails, des réseaux sociaux et des messages de chat. Ces messages contiennent des fichiers malicieux (ou un lien vers ceux-ci) apparaissant sous forme de documents ou d’applications légitimes. Les Desert Falcon emploient plusieurs techniques pour inciter les victimes à ouvrir ces fichiers, notamment celle d’inversion de l’extension de la droite vers la gauche appelée « right-to-left override »

Cette méthode exploite un caractère Unicode spécial pour inverser l’ordre des caractères dans le nom du fichier, masquant ainsi l’extension dangereuse au milieu du nom pour la remplacer par un suffixe inoffensif en apparence. En conséquence, les fichiers malveillants (.exe, .scr) se présentent comme un document ou un fichier PDF sans danger, de sorte que même un utilisateur prudent ayant de bonnes connaissances techniques pourrait être leurré et lancer le fichier. Par exemple, le nom d’un fichier se terminant en réalité par .fdp.scr s’affichera .rcs.pdf.

Après avoir réussi à infecter une victime, les cyberespions font appel à deux types de backdoors : le cheval de Troie Desert Falcons ou le backdoor DHS, qui semblent tous deux avoir été développés à partir de zéro et être continuellement perfectionnés. Les experts de Kaspersky Lab ont pu identifier au total plus d’une centaine d’échantillons de malware utilisés par le groupe dans ses attaques.

Les outils malveillants employés possèdent toutes les fonctionnalités d’un backdoor, à avoir la capacité de prendre des copies d’écran, d’enregistrer des frappes clavier, de télécharger des fichiers, de collecter des informations sur tous les fichiers Word et Excel présents sur le disque dur d’une victime ou sur les périphériques USB connectés à l’ordinateur, de dérober des mots de passe stockés dans la base de registre (Internet Explorer et Live Messenger) ou encore de réaliser des enregistrements audio. Les experts de Kaspersky Lab ont également détecté les traces d’activité d’un malware qui semble être un backdoor Android capable de pirater le journal des appels et des SMS sur un mobile.

Au moyen de ces outils, les Desert Falcons ont lancé et mené au moins trois campagnes malveillantes distinctes, ciblant différentes catégories de victimes dans divers pays.

Desert_7

Un nid de faucons en quête de secrets

Les chercheurs Kaspersky Lab estiment qu’au moins 30 individus, répartis en trois équipes dans différents pays, dirigent les campagnes de malware des Desert Falcons.

« Les individus qui se cachent derrière cette menace sont extrêmement déterminés, actifs et formés ou informés sur le plan technique, politique et culturel. A l’aide de simples e-mails de phishing, de techniques d’ingénierie sociale et d’outils et de backdoors maison, les Desert Falcons sont parvenus à infecter des centaines de victimes sensibles et importantes au Moyen-Orient, à travers leurs systèmes informatiques ou mobiles, et à leur dérober des données confidentielles. Nous pensons que cette opération va se poursuivre en développant encore d’autres chevaux de Troie et des techniques plus avancées. Moyennant un financement suffisant, ses auteurs pourraient être en mesure d’acquérir ou de développer des outils exploitant des vulnérabilités susceptibles d’accroître l’efficacité de leurs attaques », commente Nicolas Brulez, expert en sécurité au sein de l’équipe GReAT de Kaspersky Lab.