Par Thierry Berthier.
Dès le début du conflit syrien, en 2011, l’Armée Électronique Syrienne (SEA) a prouvé qu’elle était en mesure de soutenir un niveau de cyber-agressivité particulièrement élevé, sur une période continue de deux années, en adaptant rapidement ses opérations aux événements politiques et militaires. Ciblant les intérêts numériques occidentaux lorsque la pression était forte et lorsque le risque d’intervention atteignait son maximum, elle a su modérer et ré-orienter son hacking d’influence quand la menace internationale a diminué. Depuis juin 2014, son site officiel et ses comptes Facebook et Twitter sont en sommeil et ne relaient plus guère que quelques messages d’encouragement au pouvoir syrien et aux troupes engagées contre ISIS.
Une équipe d’analystes de la société de cybersécurité FireEye vient de publier une étude sur les activités du groupe de hackers «Syrian Malware Team » (SMT) pro-régime de Bachar, lié à la SEA. Difficile de situer exactement ce groupe : est-t-il une composante de la SEA ou forme-t-il une entité indépendante fonctionnant en complément et soutien ? Le SMT se positionne sur des techniques d’attaques qui ne se bornent pas au simple défacement de sites. L’équipe de FireEye a découvert que la SEA et le SMT (qui ne font peut-être qu’une seule et même entité) sont à l’origine d’une campagne de cyberattaques utilisant le Trojan Blackworm (RAT-.NET).
Il s’agit d’une version mise à jour, adaptée aux cibles de la SEA et bien plus élaborée que la version initiale codée par le hacker Naser Al Mutairi alias njq8 (Koweit). Le Trojan Blackworm a subi de nombreuses modifications-améliorations depuis sa conception et est disponible sur les cybermarchés de hacking. La version utilisée par la cellule SMT s’appelle Dark Edition V2.1 et se révèle plus agressive et dangereuse que Blackworm RAT.
L’étude FireEye de trojan décrit le malware comme il suit :
BlackWorm v2.1 has the same abilities as the original version and additional functionality, including bypassing User Account Control (UAC), disabling host firewalls and spreading over network shares. Unlike its predecessor, it also allows for granular control of the features available within the RAT. These additional controls allow the RAT user to enable and disable features as needed.
Active depuis 2011, la cellule SMT opère sans revendication en marge et en soutien des campagnes de défacement supervisées par la SEA. Une version adaptée du malware Bifrose a été utilisée par le SMT sur TOR. Les technologies engagées dans ces opérations montrent que la SEA a compartimenté ses modes de hacking : d’un côté le hacking d’influence par le défacement revendiqué et de l’autre, le hacking d’acquisition d’information permettant de recueillir et exploiter de l’information sur la rébellion. La question en suspens concerne toujours la nature des soutiens extérieurs de la SEA depuis 2011 :
Iranien ? Russe ? Les deux ?
—
Sources :
Le compte Facebook de la cellule SMT : https://ar-ar.facebook.com/malwareteam.gov.sy
Sur le trojan Blackworm : http://www.fireeye.com/blog/technical/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html
Sur une liste des malwares utilisés par la SEA et ses soutiens depuis 2011 :
(attention, je conseille d’avoir un antivirus à jour sur sa machine pour visiter le site) : http://syrianmalware.com/
Sur le malware Bifrose : http://www.symantec.com/connect/blogs/retrospective-tour-backdoorbifrose
—
