Le cybergang Gaza Team renforce son arsenal d’outils malveillants

0

De nouvelles attaques, de nouveaux modes opératoires, mais toujours les mêmes cibles. C’est une des conclusions des experts de Kaspersky Lab après avoir étudié les opérations du cybergang Gaza Team au Moyen-Orient et en Afrique du Nord (zone MENA).

Le cybergang Gaza Team s’attaque, sans interruption depuis 2012 à des ambassades, des diplomates et responsables politiques ainsi qu’à des compagnies pétrolières et gazières et à des médias dans la zone MENA, de nouveaux échantillons de malware étant détectés régulièrement. En 2015, les chercheurs de Kaspersky Lab ont publié un rapport sur l’activité du groupe après avoir observé une évolution majeure dans ses actions malfaisantes.

A cette occasion, les auteurs des attaques ont été repérés en train de cibler du personnel informatique ou chargé de la réponse aux incidents, pour tenter d’avoir accès à des outils légitimes d’audit de sécurité et de réduire ainsi nettement la visibilité de leurs activités sur les réseaux visés. En 2017, les chercheurs de Kaspersky Lab ont noté un nouveau pic d’attaques émanant de Gaza Team.

Les opérations de Gaza Team ont pris de l’envergure

Si le profil des cibles et leur répartition géographique demeurent inchangés dans ces nouvelles attaques, les opérations de Gaza Team ont cependant pris de l’envergure. Le groupe a été vu à la recherche de tout type d’information dans la zone MENA, ce qui n’était pas le cas jusque-là. Plus important, ses outils d’attaque sont devenus plus élaborés, avec le développement de documents de spearphishing liés à l’actualité géopolitique et servant à transmettre des malwares aux cibles afin d’exploiter une vulnérabilité relativement récente, CVE 2017-0199 dans Microsoft Access, voire d’implanter un logiciel espion dans Android.

Les intrus perpètrent leurs actions malveillantes par l’envoi d’e-mails contenant divers RAT (Remote Access Trojan) dans de faux documents Office ou encore de liens vers une page infectée. Si elle clique sur la pièce jointe ou l’URL, la victime est contaminée par un malware qui permet ensuite aux assaillants de récupérer des fichiers, des frappes clavier et des copies d’écran sur sa machine. Si elle repère la présence du premier fichier malveillant, le module de téléchargement tente d’en installer d’autres sur la même machine pour échapper à la détection.

Des attaques ciblant également les mobiles Android

cybercriminals

D’autres enquêtes de Kaspersky Lab indiquent une utilisation potentielle de malware mobile par ce groupe de pirates : certains des noms de fichiers rencontrés durant l’analyse de l’activité de Gaza Team semblent en effet en rapport avec un cheval de Troie pour Android. Cette montée en puissance des techniques d’attaque a permis à Gaza Team de contourner les solutions de sécurité et de manipuler le système des victimes pendant un laps de temps prolongé.

« La poursuite des activités de Gaza Team, que nous observons depuis plusieurs années déjà, montre que la situation dans la zone MENA est loin d’être sûre en matière de cyberespionnage. En raison de progrès significatifs dans les techniques de ce cybergang, nous nous attendons à voir la quantité et la qualité de ses attaques s’intensifier dans un proche avenir. Les particuliers et les entreprises susceptibles d’en être la cible doivent faire preuve de davantage de prudence en ligne », commente David Emm, expert en sécurité chez Kaspersky Lab.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply