L’Opération Goule est le nom donné à une nouvelle vague de cyber-attaques qui ont eu lieu dans le monde entier. En utilisant le phishing, par le biais de courriels frauduleux et les logiciels malveillants basés sur un kit de spyware “en conserve”, les cybercriminels se sont faits avec des données importantes des réseaux de différentes entreprises. Au total, ils ont été victimes plus de 130 entreprises de 30 pays différents.
Plus de 130 entreprises de 30 pays différents ont été victimes
Les analystes de Kaspersky Lab ont découvert cette opération qui a commencé en juin 2016, quand une vague de phishing avec des pièces jointes malveillantes a été détectée. Les e-mails semblent provenir d’une banque dans les émirats Arabes Unis (simulant un avis de paiement de la banque avec un SWIFT de fixation, mais en fait la pièce jointe contenant des logiciels malveillants) et surtout envoyé aux cadres supérieures et moyennes des entreprises .
La firme de sécurité estime que la campagne de phishing a été organisée par un groupe d’analystes de cybercriminels depuis mars 2015. Les attaques effectuées en juin semblent être la dernière opération effectuée par ce groupe dont la motivation essentielle était économique: les entreprises attaquées avaient des informations précieuses, qui peuvent être vendues sur le marché noir.
La principale caractéristique est que le malware envoyé dans la pièce jointe est basée sur Hawk Eye, un spyware commercial qui est vendu ouvertement sur le marché noir. Ce kit offre une variété d’outils pour les cybers attaquants. Après l’installation, l’outil recueille des données d’intérêt de l’ordinateur de la victime: les frappes, les données de bureau, les informations d’identification, serveur FTP, les données enregistrées dans les navigateurs, les données, compte client e-mail et des informations sur les applications installées.
Ces données sont envoyées aux serveurs de cybercriminels et, selon les informations interceptées à partir de ces serveurs, la plupart des victimes étaient des organisations travaillant dans les secteurs industriels et d’ingénierie, tels que le transport, les produits pharmaceutiques, la fabrication ou des organismes éducatifs.
La motivation principale de cette campagne de cyber attaques est purement avantage économique provenant de la vente de biens et l’intelligence d’affaires, ou les attaques directes sur les comptes bancaires de leurs victimes. Et, contrairement à d’autres groupes cybercriminelles qui effectuent des attaques plus ciblées, il semble que l’objectif dans ce cas était toute entreprise.
Afin de protéger votre entreprise contre l’Opération Goule et d’autres menaces, les analystes de Kaspersky Lab recommandent de mettre en œuvre certaines mesures, telles que l’éducation de leurs employés pour être en mesure de distinguer un courriel de phishing ou un lien d’usurpation d’identité d’emails réels, en utilisant une solution de sécurité de l’entreprise, et de fournir votre personnel de sécurité l’accès aux renseignements les plus récents sur les cybers-menaces.
