SEA, influence et cyber-attaque

Une équipe d’analystes vient de publier une étude sur les activités du groupe de hackers «Syrian Malware Team » (SMT) pro-régime de Bachar, lié à la SEA. Est-t-il une composante de la SEA ou forme-t-il une entité indépendante ?

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Besoin d'une cyber armure ? (Crédits : Sharon Drummond, licence CC-BY-NC-SA 2.0), via Flickr.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

SEA, influence et cyber-attaque

Publié le 3 septembre 2014
- A +

Par Thierry Berthier.

cyberman credits sharon drummond (licence creative commons)

 

Dès le début du conflit syrien, en 2011, l’Armée Électronique Syrienne (SEA) a prouvé qu’elle était en mesure de soutenir un niveau de cyber-agressivité particulièrement élevé, sur une période continue de deux années, en adaptant rapidement ses opérations aux événements politiques et militaires. Ciblant les intérêts numériques occidentaux lorsque la pression était forte et lorsque le risque d’intervention atteignait son maximum, elle a su modérer et ré-orienter son hacking d’influence quand la menace internationale a diminué. Depuis juin 2014, son site officiel et ses comptes Facebook et Twitter sont en sommeil et ne relaient plus guère que quelques messages d’encouragement au pouvoir syrien et aux troupes engagées contre ISIS.

Une équipe d’analystes de la société de cybersécurité FireEye vient de publier une étude sur les activités du groupe de hackers «Syrian Malware Team » (SMT) pro-régime de Bachar, lié à la SEA. Difficile de situer exactement ce groupe : est-t-il une composante de la SEA ou forme-t-il une entité indépendante fonctionnant en complément et soutien ? Le SMT se positionne sur des techniques d’attaques qui ne se bornent pas au simple défacement de sites. L’équipe de FireEye a découvert que la SEA et le SMT (qui ne font peut-être qu’une seule et même entité) sont à l’origine d’une campagne de cyberattaques utilisant le Trojan Blackworm (RAT-.NET).

Il s’agit d’une version mise à jour, adaptée aux cibles de la SEA et bien plus élaborée que la version initiale codée par le hacker Naser Al Mutairi alias njq8 (Koweit). Le Trojan Blackworm a subi de nombreuses modifications-améliorations depuis sa conception et est disponible sur les cybermarchés de hacking. La version utilisée par la cellule SMT s’appelle Dark Edition V2.1 et se révèle plus agressive et dangereuse que Blackworm RAT.
L’étude FireEye de trojan décrit le malware comme il suit :

BlackWorm v2.1 has the same abilities as the original version and additional functionality, including bypassing User Account Control (UAC), disabling host firewalls and spreading over network shares. Unlike its predecessor, it also allows for granular control of the features available within the RAT. These additional controls allow the RAT user to enable and disable features as needed.

Active depuis 2011, la cellule SMT opère sans revendication en marge et en soutien des campagnes de défacement supervisées par la SEA. Une version adaptée du malware Bifrose a été utilisée par le SMT sur TOR. Les technologies engagées dans ces opérations montrent que la SEA a compartimenté ses modes de hacking : d’un côté le hacking d’influence par le défacement revendiqué et de l’autre, le hacking d’acquisition d’information permettant de recueillir et exploiter de l’information sur la rébellion. La question en suspens concerne toujours la nature des soutiens extérieurs de la SEA depuis 2011 :
Iranien ? Russe ? Les deux ?

Sources :

Le compte Facebook de la cellule SMT : https://ar-ar.facebook.com/malwareteam.gov.sy

Sur le trojan Blackworm : http://www.fireeye.com/blog/technical/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html

Sur une liste des malwares utilisés par la SEA et ses soutiens depuis 2011 :
(attention, je conseille d’avoir un antivirus à jour sur sa machine pour visiter le site)http://syrianmalware.com/

Sur le malware Bifrose : http://www.symantec.com/connect/blogs/retrospective-tour-backdoorbifrose

Sur le web

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Par Thomas Pierret.

Ce 19 mai, Bachar Al-Assad devrait se rendre à Riyad pour assister au sommet annuel de la Ligue arabe.

Le dictateur syrien n’avait plus été convié à ces rencontres depuis mars 2010. En novembre 2011, Damas avait été suspendu de la Ligue, du fait de la violence extrême de la répression qu’il avait déclenchée à l’égard de son opposition intérieure.

Mais le 7 mai dernier, la Syrie a été réintégrée ; et le 11 mai, son président a reçu une invitation officielle signée du roi Salmane d’Arabie saoudite.

<... Poursuivre la lecture
hacker cyberguerre
1
Sauvegarder cet article

Il existe plusieurs groupes de hackers d'États russes et ukrainiens connus pour leurs activités de cyberespionnage et de cyberattaques. Mon propos n’est pas de les nommer.

Avant de poursuivre, il convient de nous entendre sur le terme de hacking en temps de cyberguerre.

La première chose qui vient à l’esprit relève du technologique, un hacking qui vise à altérer le fonctionnement de structures et d’infrastructures stratégiques. Dans le cadre d’une cyberguerre vous retrouverez trois types d’attaques : des attaques de destruction,... Poursuivre la lecture

La France a été pendant 7 siècles environ un acteur majeur dans la région, c’est-à-dire des pays allant d’ouest en est de l’Égypte à l’Iran et du nord au sud de la Turquie au Yémen. Donc des pays presque tous musulmans, à l’exception de moins en moins nette du Liban, et surtout d’Israël.

La France puis l’Angleterre y ont longtemps été très présentes, avant de céder la place aux États-Unis, qui eux-mêmes n’ont gardé une influence, d’ailleurs réduite, que dans certains pays.

Commençons par interroger l’histoire.

 

... Poursuivre la lecture
Voir plus d'articles