Trend Micro dénonce des "agresseurs arabes" contre Israël
La société de sécurité informatique Trend Micro a publié dimanche un livre blanc dans lequel il dénonce la probable existence d'une "supra-infrastructure" qui fournit des moyens à des "agresseurs arabes" pour combattre Israël par des cyberattaques.
L'été dernier, alors que l'opération Bordure Protectrice prenait fin sous un bilan sanglant de plus de 2 200 morts et plus de 11 000 blessés (en grande majorité des civils), l'armée israélienne avait prévenu qu'elle était aussi prête à livrer une cyberguerre contre les pro-Palestiniens.
Aucune indication n'est donnée par la société sur l'ampleur ou les conséquences concrètes de l'attaque, qui aurait visé une administration du gouvernement israélien, des prestataires de transport public, une organisation militaire, une institution universitaire, et des particuliers en Israël. Le mode opératoire, décrit et analysé en détails, est en lui-même relativement banal.
L'attaque consistait en effet à envoyer à des cibles clairement identifiées un e-mail les incitant à ouvrir une pièce jointe, en l'espèce un fichier compressé auto-extractible qui contenait un fichier exécutable (.EXE) dont l'icône était celle de Skype, ainsi qu'un fichier d'économiseur d'écran pour Windows (.SCR). Ce dernier avait pour seul effet de lancer une vidéo pornographique. Selon Trend Micro, l'idée des hackers était d'inciter la victime qui ouvre ses pièces jointes au bureau à avoir terriblement honte, pour passer rapidement à autre chose et ne surtout pas avertir la hiérarchie. L'exécutable, quant à lui, contenait le malware chargé d'entrer en communication avec un centre de commandement et de contrôle (C&C), et de fournir une copie des documents intéressants détectés sur l'ordinateur de la victime.
UNE "SUPRA-ORGANISATION" AU SERVICE DES HACKERS ARABES
Mais l'intérêt de l'étude de Trend Micro réside dans le rapprochement effectué avec une autre opération basée sur un autre malware, appelée "Operation Advtravel". Celle-ci était beaucoup moins sophistiquée, et semble avoir visé au hasard des internautes égyptiens. Mais la société a découvert que les deux malwares utilisaient le même serveur de C&C, basé en Allemagne, que tous les deux reposaient sur des noms de domaines réservés en apparence par la même personne, et qu'il y avait à chaque fois des liens avec des activistes pro-palestiniens de Gaza.
Le rapport va jusqu'à donner les noms, adresses e-mails et profils de réseaux sociaux des Palestiniens que Trend Micro soupçonne d'être à l'origine des attaques.
"Au delà de ces campagnes spécifiques, ce que nous avons trouvé de plus intéressant c'est que nous avions des groupes disparates d'agresseurs arabes qui utilisaient les mêmes infrastructures pour lancer et surveiller des attaques", explique Trend Micro, dont le rapport remercie l'US Air Force pour son aide. "Cela peut vouloir dire deux choses ; que les attaques étaient liées d'une quelconque façon, ce qui apparaît peu probable étant donné leur nature et leur motivation, ou qu'une supra-organisation qui fournit des moyens à des parties arabes pour commettre des actes de cyberviolence existe, ce qui semble être l'option la plus probable".
"Si notre théorie tient", prédit Trend Micro, "nous verrons un ensemble de cyberattaques avec des résultats préjudiciables provenir de pays arabes dans un avenir proche". "Les internautes seront coincés au milieu d'un champ de bataille dont ils ne se soucient pas beaucoup.