Le Maroc victime des cyberespions Desert Falcons

Identifiés sous le nom de code évocateur Desert Falcons, ces faucons-là ont tout d’un véritable panier de crabes. Et pour cause, derrière ce pseudonyme se cachent de redoutables cyberespions sévissant sur la Toile depuis plus de deux ans. Cette révélation inquiétante est signée Kaspersky, entreprise de référence en matière de cyber sécurité, qui publie un rapport édifiant sur le champ d’action de ces hackers.

Les Desert Falcons constituent selon les experts de Kaspersky le premier groupe « arabe » menaçant la sécurité de plusieurs milliers de cibles à travers le globe, dont le Maroc. Si les principales cibles de ces cyber-pirates sont majoritairement l’Egypte, la Palestine, la Jordanie et Israël, la liste des victimes s’étend à plus d’une cinquantaine de pays.

En effet, selon le rapport de la firme russe, les hackers ont visé des agences de défense et des administrations, en particulier des responsables de la lutte contre le blanchiment ou encore dans les domaines de la santé et de l’économie, de grands médias, des établissements de recherche et d’enseignement, des réseaux d’énergie ou autres, des militants et responsables politiques, des entreprises de sécurité physique, ainsi que d’autres cibles en possession d’importantes informations géopolitiques.

Des milliers de cibles dans le monde arabe, mais pas seulement

De nombreuses victimes ont également été recensées au Qatar, en Arabie saoudite, aux Emirats Arabes Unis, en Algérie, au Liban, en Norvège, en Turquie, en Suède, en France, aux Etats-Unis, en Russie, etc. Au total, les experts de Kaspersky Lab ont pu dénombrer plus de 3.000 victimes et plus d’un million de fichiers volés.

Ces opérations de cybercriminalité ont majoritairement été effectuées à travers la technique répandue dite du « spear phising », à savoir l’infection via des e-mails, des réseaux sociaux et des messages de chat. Autant de contenus renfermant des fichiers ou des liens renvoyant vers des documents malicieux et apparaissant sous forme de fichiers ou applications sérieuses et légitimes.

Outre ce procédé malveillant, les activistes des Desert Falcons recourent à de nombreuses autres techniques pour inciter les victimes à ouvrir lesdits fichiers, dont celle de l’inversion de l’extension de la droite vers la gauche appelée « right-to-left override ».

Cette méthode exploite un caractère Unicode spécial pour inverser l’ordre des caractères dans le nom du fichier, masquant ainsi l’extension dangereuse au milieu du nom pour la remplacer par un suffixe inoffensif en apparence.

En conséquence, les fichiers malveillants (.exe, .scr) se présentent comme un document ou un fichier PDF sans danger, de sorte que même un utilisateur prudent ayant de bonnes connaissances techniques pourrait être leurré et lancer le fichier. Par exemple, le nom d’un fichier se terminant en réalité par .fdp.scr s’affichera .rcs.pdf. Le loup entre ainsi aisément dans la bergerie.

Des malwares perfectionnés en continu

Lorsque le malware infecte un ordinateur, les cyberespions utilisent deux types de « backdoors » (portes de sorties, ndrl) : le cheval de Troie Desert Falcons ou le backdoor DHS, qui semblent toutes deux avoir été développées « à partir de rien » et être continuellement perfectionnés.

Ces techniques permettent avec une facilité déconcertante de réaliser des copies d’écran, d’enregistrer des frappes clavier, de télécharger des fichiers, de collecter des informations sur tous les fichiers Word et Excel présents sur le disque dur d’une victime ou sur les périphériques USB connectés à l’ordinateur, de dérober des mots de passe stockés dans la base de registre (Internet Explorer et Live Messenger) ou encore de réaliser des enregistrements audio.

Ils seraient même capables de pirater le journal d’appels et les SMS sur un mobile. Les experts de Kaspersky Lab ont pu identifier au total plus d’une centaine d’échantillons de malware utilisés par le groupe dans ses attaques.

Une équipe d’au moins 30 hackers

Au moyen de ces outils, les Desert Falcons ont mené au moins trois campagnes malveillantes distinctes, ciblant différentes catégories de victimes dans divers pays. Les chercheurs Kaspersky Lab estiment qu’au moins 30 individus, répartis en trois équipes dans différents pays, dirigent les campagnes de malware des Desert Falcons.

« Les individus qui se cachent derrière cette menace sont extrêmement déterminés, actifs et formés ou informés sur le plan technique, politique et culturel. A l’aide de simples e-mails de phishing, de techniques d’ingénierie sociale et d’outils et de backdoors maison, les Desert Falcons sont parvenus à infecter des centaines de victimes sensibles et importantes au Moyen-Orient, à travers leurs systèmes informatiques ou mobiles, et à leur dérober des données confidentielles.

Nous pensons que cette opération va se poursuivre en développant encore d’autres chevaux de Troie et des techniques plus avancées. Moyennant un financement suffisant, ses auteurs pourraient être en mesure d’acquérir ou de développer des outils exploitant des vulnérabilités susceptibles d’accroître l’efficacité de leurs attaques », commente Nicolas Brulez, expert en sécurité au sein de l’équipe de Recherches et Analyses, GReAT, de Kaspersky Lab.