SEA, influence et cyber-attaque

Une équipe d’analystes vient de publier une étude sur les activités du groupe de hackers «Syrian Malware Team » (SMT) pro-régime de Bachar, lié à la SEA. Est-t-il une composante de la SEA ou forme-t-il une entité indépendante ?

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Besoin d'une cyber armure ? (Crédits : Sharon Drummond, licence CC-BY-NC-SA 2.0), via Flickr.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

SEA, influence et cyber-attaque

Publié le 3 septembre 2014
- A +

Par Thierry Berthier.

cyberman credits sharon drummond (licence creative commons)

 

Dès le début du conflit syrien, en 2011, l’Armée Électronique Syrienne (SEA) a prouvé qu’elle était en mesure de soutenir un niveau de cyber-agressivité particulièrement élevé, sur une période continue de deux années, en adaptant rapidement ses opérations aux événements politiques et militaires. Ciblant les intérêts numériques occidentaux lorsque la pression était forte et lorsque le risque d’intervention atteignait son maximum, elle a su modérer et ré-orienter son hacking d’influence quand la menace internationale a diminué. Depuis juin 2014, son site officiel et ses comptes Facebook et Twitter sont en sommeil et ne relaient plus guère que quelques messages d’encouragement au pouvoir syrien et aux troupes engagées contre ISIS.

Une équipe d’analystes de la société de cybersécurité FireEye vient de publier une étude sur les activités du groupe de hackers «Syrian Malware Team » (SMT) pro-régime de Bachar, lié à la SEA. Difficile de situer exactement ce groupe : est-t-il une composante de la SEA ou forme-t-il une entité indépendante fonctionnant en complément et soutien ? Le SMT se positionne sur des techniques d’attaques qui ne se bornent pas au simple défacement de sites. L’équipe de FireEye a découvert que la SEA et le SMT (qui ne font peut-être qu’une seule et même entité) sont à l’origine d’une campagne de cyberattaques utilisant le Trojan Blackworm (RAT-.NET).

Il s’agit d’une version mise à jour, adaptée aux cibles de la SEA et bien plus élaborée que la version initiale codée par le hacker Naser Al Mutairi alias njq8 (Koweit). Le Trojan Blackworm a subi de nombreuses modifications-améliorations depuis sa conception et est disponible sur les cybermarchés de hacking. La version utilisée par la cellule SMT s’appelle Dark Edition V2.1 et se révèle plus agressive et dangereuse que Blackworm RAT.
L’étude FireEye de trojan décrit le malware comme il suit :

BlackWorm v2.1 has the same abilities as the original version and additional functionality, including bypassing User Account Control (UAC), disabling host firewalls and spreading over network shares. Unlike its predecessor, it also allows for granular control of the features available within the RAT. These additional controls allow the RAT user to enable and disable features as needed.

Active depuis 2011, la cellule SMT opère sans revendication en marge et en soutien des campagnes de défacement supervisées par la SEA. Une version adaptée du malware Bifrose a été utilisée par le SMT sur TOR. Les technologies engagées dans ces opérations montrent que la SEA a compartimenté ses modes de hacking : d’un côté le hacking d’influence par le défacement revendiqué et de l’autre, le hacking d’acquisition d’information permettant de recueillir et exploiter de l’information sur la rébellion. La question en suspens concerne toujours la nature des soutiens extérieurs de la SEA depuis 2011 :
Iranien ? Russe ? Les deux ?

Sources :

Le compte Facebook de la cellule SMT : https://ar-ar.facebook.com/malwareteam.gov.sy

Sur le trojan Blackworm : http://www.fireeye.com/blog/technical/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html

Sur une liste des malwares utilisés par la SEA et ses soutiens depuis 2011 :
(attention, je conseille d’avoir un antivirus à jour sur sa machine pour visiter le site)http://syrianmalware.com/

Sur le malware Bifrose : http://www.symantec.com/connect/blogs/retrospective-tour-backdoorbifrose

Sur le web

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Par Yves Bourdillon.

Imaginez.

Imaginez qu’une pandémie démarre à Vert-le-Petit (Essonne), siège d’un des trois labos P4 français. Qui croirait les explications de Paris selon lesquelles ce virus aurait été transmis naturellement à l’Homme par une perdrix ?

C’est pourtant l’exploit qu’a réussi Pékin en imposant depuis un an au monde entier le récit selon lequel le SARS Cov 2 qui provoque la maladie Covid-19 proviendrait d’une chauve-souris vendue sur le marché de Wuhan, dont le hasard voulait qu’il se trouvât à proximité ... Poursuivre la lecture

Par Lina Kennouche. Un article de The Conversation.

À l’heure où la prise de conscience du déclin relatif de la puissance des États-Unis s’impose peu à peu, les acteurs régionaux du Moyen-Orient s’apprêtent à remplir le vide stratégique laissé par le départ des forces américaines.

Deux facteurs majeurs ont contribué au recul des États-Unis dans la région.

D’un côté, la rivalité de puissance engagée entre Washington et Pékin s’est exacerbée ces dernières années. Depuis 2008 et l’annonce du pivot vers l’Asie par Barack Obam... Poursuivre la lecture

Turquie Syrie
0
Sauvegarder cet article

Par Armen Tigranakert.

Le 28 juillet, le département du Trésor américain a imposé des sanctions au groupe rebelle soutenu par la Turquie, Ahrar Al-Charqia responsable du meurtre scandaleux de la femme politique kurde syrienne Hevrin Khalaf en 2019, afin que les auteurs de violations des droits humains répondent de leurs actes.

La décision prise à l’initiative de l’administration Biden peut difficilement être considérée comme amicale envers la Turquie, a apparemment fait craindre à Ankara  le sort de ses alliés dans le nord-ouest... Poursuivre la lecture

Voir plus d'articles