Accueil > High-tech / Sciences > TECHNOLOGIE, INTERNET, PERFORMANCES INCLASSABLES > MAHDI cyber-attaque au Moyen €‘Orient

MAHDI cyber-attaque au Moyen €‘Orient

Le cyberespionnage : pourtant la sélection des cibles vise les plus sécurisées

jeudi 19 juillet 2012, par N.E. Tatem

Même expertisé assez simple, le nouveau virus informatique nomme « Mahdi » a eu le temps d’infecter des ordinateurs de structures étatiques sensibles. Jugé rudimentaire, il a causé pourtant le vol de données clé et confidentielles en toute impunité. Les auteurs de Mahdi sont parvenus à espionner sur une période prolongée, non encore déterminée, des profils spécifiques, avec un malware ayant une infrastructure bien plus basique que d’autres opérations similaires technologiquement plus élaborées.

STUXNET : un virus informatique conçu contre le nucléaire iranien.

Le virus Flame ratisse au Proche-Orient

Cyberguerre, des armes nommées Stuxnet, Flame et Duqu

Cyber-attaques contre les industriels américains de l’armement, Lockheed Corp reconnaît être touché

350 machines en Iran avec touchées, 55 en Israël, 14 en Afghanistan, 6 aux Emirats Arabes Unis et 4 Arabie Saoudite selon les données de deux entreprises de sécurité (Seculert et Kaspersky) qui l’ont détecté depuis 8 mois et l’ont suivi.

Quelques 800 cibles ont été frappées dans la région du Proche-Orient qui devient un champ de batailles incessantes de ce qui est la cyberguerre. Il s’agit d’un pishing ou cheval de Troie (malware recueillant deS données) commun. Chose inédite révélée par ces entreprises de sécurité informatique, Mahdi révèle contient un grand nombre d’expressions en persan dans son code malveillant. Ce qui n’est pas courant dans. « Il ne fait donc pas de doute que les responsables de l’attaque parlent couramment cette langue » disent-elles.

Les résultats de la surveillance montrent que les victimes sont principalement des hommes d’affaires liés à projets iraniens ou israéliens. Des firmes d’ingénierie, des agences gouvernementales, des établissements financiers et même des universités, qui sont des domaines ayant des infrastructures critiques. Plusieurs ordinateurs de diverses administrations communiquant dans cette région ont été infectés.

Parmi les cibles sélectionnées par Mahdi, il y a aussi des outils appartenant à des étudiants, ingénieurs au Moyen-Orient, qui plus largement ont été atteints. 387 en Iran avec touchées, 55 en Israël, 14 en Afghanistan, 6 aux Emirats Arabes Unis et 4 Arabie Saoudite, selon les données de deux entreprises de sécurité (Seculert et Kaspersky) qui l’ont détecté.

Comme il s’est avéré capable, tel que le dernier en date Flame, de procéder à des enregistrements audio, ou d’identifier les frappes claviers, mais aussi de faire des captures d’écran à intervalles réguliers, d’espionner les communications via mails ou messagerie instantanée ou encore d’accéder et de voler un certains nombres de documents, d’images, d’archives ou de fichiers sensibles.

Opérant d’une manière assez classique, car distribué via mail malveillants, il utilise des techniques de base d’ingénierie sociale. Ce qui lui permet de tromper les destinataires et les pousser à ouvrir des fichiers PowerPoint infectés.

Repéré il y a 8 mois, les deux sociétés de sécurité ont procédé à une opération appelée sinkholing - afin d’analyser celui-ci. Cette consiste de reconduire toutes les interventions de Mahdi afin de bien l’étudier.

Le programme d’installation du logiciel malveillant, sont intégrés dans les fichiers, s’exécute instantanément lorsque les utilisateurs acceptent d’ouvrir les fichiers. Pourtant l’avertissement souvent associé aux contenus de ces documents PowerPoint, devait éviter cette attaque. Au moment de l’installation, une quantité inhabituelle de documents ou d’images servant à la « diversion » à caractères religieux ou politique serait par ailleurs distribuée sur la machine infectée.

STUXNET : un virus informatique conçu contre le nucléaire iranien.

Le virus Flame ratisse au Proche-Orient

Cyberguerre, des armes nommées Stuxnet, Flame et Duqu

Cyber-attaques contre les industriels américains de l’armement, Lockheed Corp reconnaît être touché

Partager sur les réseaux :
     
Pas de licence spécifique (droits par défaut)