Logiciels commerciaux fabriqués aux États-Unis utilisés par des entités étatiques pour pirater des cibles militaires en Europe et en Israël

Table des matières

• Campagne de piratage étatique suspectée contre l’Europe et Israël utilisant des logiciels commerciaux fabriqués aux États-Unis
• Approche différente
• Rocket Kitten
• L’Iran comme principal suspect

Campagne de piratage étatique suspectée contre l’Europe et Israël utilisant des logiciels commerciaux fabriqués aux États-Unis

Une campagne de piratage contre des cibles militaires en Israël et en Europe a récemment été mise en lumière et les chercheurs derrière cette découverte croient que l’attaque a utilisé des logiciels disponibles dans le commerce. Les chercheurs de CrowdStrike et de la startup Cymmetria présenteront leurs découvertes inhabituelles lors de la conférence de sécurité annuelle Chaos Communication Congress à Hambourg samedi.

Approche différente

Les attaquants criminels utilisent des outils disponibles dans le commerce – comme Metasploit – depuis un certain temps maintenant. Cependant, les acteurs étatiques évitent généralement d’utiliser des logiciels commerciaux, de peur qu’ils ne puissent être retracés jusqu’à leur client, ce qui entraînerait un tollé public. Les pays ont tendance à utiliser des logiciels spécifiquement écrits pour la plupart des usages, afin d’améliorer la sécurité et l’indépendance. Cependant, cette attaque en question a pris une nouvelle approche en abusant d’un outil de test de sécurité, développé par Core Security basé à Boston. Core Security vend ses produits à des clients qui souhaitent tester leurs propres mécanismes de sécurité.

Les piratages majeurs parrainés par le gouvernement utilisent des outils spécialement écrits complétés par des programmes gratuits et largement disponibles. Cela est en partie dû au fait que les programmes commerciaux pourraient être retracés jusqu’à des clients spécifiques. Bien que la dépendance à certains outils sur mesure similaires ait permis aux chercheurs de réduire quelque peu une attaque à des entités particulières. Cependant, l’utilisation du programme de sécurité Core ajoute un nouveau rebondissement à l’histoire.

L’utilisation du programme Core Security, qui coûte généralement 10 000 ou 20 000 dollars, pourrait aider à brouiller les pistes, et l’analyste de CrowdStrike Tillmann Werner a déclaré que cela pourrait également aider une puissance cybernétique de deuxième niveau à éviter une partie du travail fréquemment entrepris par la Chine, la Russie et les États-Unis. « La réponse la plus probable est qu’ils n’avaient pas la capacité de le faire eux-mêmes », a déclaré Werner à propos des hackers, ajoutant qu’« il n’y a aucun risque de laisser des marques d’outils. »

Rocket Kitten

Werner et le PDG de Cymmetria, Gadi Evron, qui préside également le CERT israélien, ont déclaré qu’ils ne savaient pas qui était derrière la campagne. Mais à en juger par les preuves des victimes, les chercheurs estiment que l’attaque pourrait avoir été parrainée par l’Iran. Evron a déclaré qu’ils avaient détecté des attaques remontant aussi loin qu’avril. Ces attaques incluent celles sur une entreprise israélienne « adjacente à l’industrie de la défense et de l’aérospatiale », une institution académique israélienne, une agence de défense germanophone et un ministère de la défense d’Europe de l’Est. La seule autre information que nous avons à ce moment est que les attaques sur des cibles basées en Israël ont échoué.

CrowdStrike a surnommé cette campagne de piratage « Rocket Kitten » suivant sa convention de nommer chaque groupe de cyberattaques iraniennes suspectées comme des Kittens. L’attaque s’est appuyée sur des feuilles Excel infectées qui ont été envoyées par mail aux dirigeants des cibles. Le mail demandait la permission d’exécuter un programme macro à l’intérieur de la feuille de calcul Excel. Les macros sont de petits morceaux automatisés d’un programme qui sont programmés pour effectuer une tâche spécifique.

Cependant, dans ce cas, la macro contenait un malware porteur. Une fois que le dirigeant de l’entreprise cible a exécuté la macro, le malware porteur téléchargeait d’autres composants de l’outil Core Impact de Core et les installait sur les serveurs de ces machines. L’une des fonctionnalités de l’outil Core Impact de Core est sa capacité de furtivité pour se cacher de la détection.

Les conditions de licence de Core interdisent l’utilisation de son programme contre des tiers non avertis, et le vice-président de l’ingénierie de Core, Flavio de Cristofaro, a déclaré que l’entreprise n’avait pas entendu parler d’un tel abus depuis au moins cinq ans. De Cristofaro a déclaré que l’entreprise aiderait le CERT si on le lui demandait et, dans tous les cas, essaierait de retracer comment le logiciel avait été extrait des filigranes et d’autres restrictions techniques conçues pour limiter sa propagation.

« Nous allons suivre cela », a déclaré De Cristofaro.

L’Iran comme principal suspect

Depuis la prétendue implication des États-Unis et d’Israël dans l’attaque du programme nucléaire iranien via le virus Stuxnet, on dit que l’Iran renforce ses capacités de guerre cybernétique. Le virus Stuxnet a été particulièrement déstabilisant pour le programme nucléaire indigène de l’Iran et est l’une des raisons pour lesquelles on dit que l’Iran est venu à la table des négociations avec les puissances occidentales sur les questions de non-prolifération. Plus tôt, des hackers basés en Iran avaient mené avec succès une opération de piratage contre Las Vegas Sands Corp., qui a pratiquement paralysé les réseaux de l’opérateur de casino basé aux États-Unis. Cette attaque a été réalisée parce que le propriétaire de Sands Corp avait appelé l’armée américaine à bombarder l’Iran pour l’empêcher de proliférer des matériaux fissiles. Les enquêteurs de cette attaque de piratage n’ont trouvé aucun lien avec l’État iranien, mais ce fait ne nie pas que l’Iran est un pays très ingénieux dans les arts de la guerre cybernétique.

Ressource : Chicago Tribune.