Desert Falcons : le cyber-crime à la mode orientale

CyberDéfenseRisquesSécurité
desert-falcons-kaspersky

Desert Falcons. C’est le nom donné par Kaspersky à un groupe de cyber-mercenaires de langue arabe qui aurait visé une cinquantaine de pays, dont la France.

Communications diplomatiques, plans militaires, documents financiers, carnets d’adresses de médias : les Desert Falcons auraient déjà dérobé plus d’un million de fichiers à environ 3000 victimes dans une cinquantaine de pays dont la France.

Les équipes de Kaspersky ont fait la lumière sur ce groupe de cyber-mercenaires de langue arabe qui compterait une trentaine de membres répartis en trois équipes (Palestine, Égypte et Turquie). L’éditeur assure connaître l’identité de certains de ces pirates spécialisés dans les attaques persistantes avancées (APT) et dont les premières traces sur le réseau Internet remonteraient à 2011.

En cours depuis au moins deux ans, la campagne des Desert Falcons a connu un pic d’activité en ce début d’année. Elle cible principalement le Moyen-Orient, avec Israël et la Jordanie en tête de liste. Moins de 50 organisations auraient été touchées en France.

Les agences de défense et les administrations (notamment celles responsables de la lutte anti-blanchiment) ne sont pas les seules dans le collimateur de ces mercenaires du numérique. La santé, les médias, la recherche, l’enseignement, les banques et les réseaux d’énergie le sont aussi, au même titre que les responsables politiques et les militants.

Dans le cadre de leurs opérations, les Desert Falcons utilisent leurs propres logiciels malveillants. En l’occurrence, un cheval de Troie et une porte dérobée (backdoor) baptisée DHS. Leur vecteur d’infection est classique, puisqu’il s’agit du phishing : les utilisateurs visés reçoivent des e-mails d’apparence légitime qui les incitent à ouvrir des documents corrompus ou à cliquer sur des liens déclenchant le téléchargement d’un fichier infecté.

Parmi les techniques employées pour déjouer la vigilance des utilisateurs, on peut noter l’inversion de suffixe : un nom de fichier pouvant signaler une extension malveillante est modifié pour ne pas éveiller les soupçons. Comme on peut le constater dans le schéma ci-dessous et en page 12 du rapport de Kaspersky (document PDF), fdp.scr devient rcs.pdf.

kaspersky-inversion-suffixe

Le trojan développé par les Desert Falcons peut réaliser des captures d’écran, enregistrer la frappe clavier, aspirer des fichiers, collecter des informations dans des documents Word et Excel (y compris sur des périphériques de stockage amovibles), enregistrer des données audio et voler des mots de passe dans la base de registre Windows.

Comme le note Silicon.fr, Kaspersky a aussi détecté l’activité d’un malware “qui semble être une backdoor Android capable de pirater le journal des appels et des SMS sur un mobile”.

Crédit photo : Mariia Savoskula – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur