Quelques jours après avoir révélé la portée d’une attaque contre de nombreux établissements bancaires dans le monde, les laboratoires de l’éditeur Kaspersky mettent au jour l’activité de Desert Falcons, groupe de cyberespions s’attaquant surtout à des individus et entreprises au Moyen-Orient (Egypte, Palestine, Israël et Jordanie principalement). Pour l’éditeur, il s’agit là du « premier groupe arabe connu de cybermercenaires », maniant des APT (attaques persistantes avancées) pour soutirer de l’information. La campagne d’attaques est en cours depuis au moins deux ans (même si Kaspersky affirme que le groupe de pirates est actif depuis 2011). Et le pic d’activité a été enregistré en ce début d’année.
La méthode d’infection est assez classique. Via du phishing, les hackers incitent les utilisateurs visés à ouvrir des documents corrompus ou à cliquer sur des liens débouchant sur le téléchargement d’un fichier infecté. Kaspersky signale que Desert Falcons emploie la technique de l’inversion de suffixe pour endormir la vigilance des utilisateurs même avertis. Ainsi un fichier se terminant normalement par fdp.scr se conclut par rcs.pdf…
Ensuite, les hackers. Une trentaine de personnes réparties en trois équipes situées en Palestine, Egypte et Turquie selon Kaspersky, utilisent leurs propres malwares (un Troyen nommé Desert Falcons et la backdoor DHS) pour soutirer de l’information, via des copies d’écran, l’enregistrement des frappes clavier, l’exfiltration de fichiers, la collecte d’informations dans les fichiers Word et Excel présents sur le disque dur et les périphériques USB, le vol de mots de passe dans la base de registre Windows (IE et Live Messenger) ou des enregistrements audio. Kaspersky Lab a également détecté l’activité d’un malware « qui semble être un backdoor Android capable de pirater le journal des appels et des SMS sur un mobile ».
Au total, les Desert Falcons, dont Kasperky affirme connaître l’identité de certains membres, ont dérobé plus d’un million de fichiers à leurs victimes, estime l’éditeur. Dont des communications diplomatiques, des plans et documents militaires, des documents financiers ou des carnets d’adresses de média.
A lire aussi :
Plus d’un milliard de données volées en 2014
FIC 2015 : les hackers ont gagné une bataille, pas la guerre
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…