Quelques jours après avoir révélé la portée d’une attaque contre de nombreux établissements bancaires dans le monde, les laboratoires de l’éditeur Kaspersky mettent au jour l’activité de Desert Falcons, groupe de cyberespions s’attaquant surtout à des individus et entreprises au Moyen-Orient (Egypte, Palestine, Israël et Jordanie principalement). Pour l’éditeur, il s’agit là du « premier groupe arabe connu de cybermercenaires », maniant des APT (attaques persistantes avancées) pour soutirer de l’information. La campagne d’attaques est en cours depuis au moins deux ans (même si Kaspersky affirme que le groupe de pirates est actif depuis 2011). Et le pic d’activité a été enregistré en ce début d’année.
La méthode d’infection est assez classique. Via du phishing, les hackers incitent les utilisateurs visés à ouvrir des documents corrompus ou à cliquer sur des liens débouchant sur le téléchargement d’un fichier infecté. Kaspersky signale que Desert Falcons emploie la technique de l’inversion de suffixe pour endormir la vigilance des utilisateurs même avertis. Ainsi un fichier se terminant normalement par fdp.scr se conclut par rcs.pdf…
Ensuite, les hackers. Une trentaine de personnes réparties en trois équipes situées en Palestine, Egypte et Turquie selon Kaspersky, utilisent leurs propres malwares (un Troyen nommé Desert Falcons et la backdoor DHS) pour soutirer de l’information, via des copies d’écran, l’enregistrement des frappes clavier, l’exfiltration de fichiers, la collecte d’informations dans les fichiers Word et Excel présents sur le disque dur et les périphériques USB, le vol de mots de passe dans la base de registre Windows (IE et Live Messenger) ou des enregistrements audio. Kaspersky Lab a également détecté l’activité d’un malware « qui semble être un backdoor Android capable de pirater le journal des appels et des SMS sur un mobile ».
Au total, les Desert Falcons, dont Kasperky affirme connaître l’identité de certains membres, ont dérobé plus d’un million de fichiers à leurs victimes, estime l’éditeur. Dont des communications diplomatiques, des plans et documents militaires, des documents financiers ou des carnets d’adresses de média.
A lire aussi :
Plus d’un milliard de données volées en 2014
FIC 2015 : les hackers ont gagné une bataille, pas la guerre
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…