Le groupe de sécurité américain FireEye a déclaré que le Molerats, une extension de l’équipe de hackers de Gaza, utilisait un e-mail, des pièces jointes et des liens de sites malveillants pour installer à distance des logiciels infectés.

Ils peuvent ensuite voler des données ou compromettre des opérations. Cette même équipe de pirates avait obligé la police israélienne à fermer son réseau pendant une semaine en 2012.

Elle a élargi la portée de ses opérations, ciblant les gouvernements, les banques et les sociétés médiatiques aux États-Unis et dans plusieurs pays européens avec le même type de RAT [outil d’accès à distance] utilisé avec succès contre des cibles israéliennes.

FireEye indique avoir remarqué ces derniers mois une forte augmentation de l’activité de Molerats dans le monde entier.

L’une des astuces utilisées pour obtenir des internautes qu’ils téléchargent le malware est un message de « hammeçonnage », dans lequel les utilisateurs reçoivent un lien vers un document en ligne, ou un fichier crypté ou codé convaincant.

Le logiciel malveillant est installé lorsque les utilisateurs cliquent sur le lien ou ouvrent le fichier. En outre, explique FireEye, les pirates ont contrefait les certificats de sécurité de Microsoft, les pages de sécurité qui apparaissent lorsque les utilisateurs ouvrent une page web douteuse.

Lorsque les utilisateurs voient ces pages, ils ont l’impression que le site est sûr et sont davantage enclins à cliquer sur les autorisations pour afficher la page. À leur insu, en cliquant sur ces autorisations, ils permettent aux pirates de télécharger et d’installer des logiciels malveillants.

FireEye a déclaré que le groupe de hackers a réussi à éviter d’attirer l’attention, car il utilise des outils généralement associés aux pirates chinois.

Molerats a eu recours à un outil appelé Poison Ivy (PIVY) contre des cibles principalement israéliennes et palestiniennes depuis 2011. Lors d’une attaque PIVY, les pirates ont mis en place un serveur qui télécharge le malware et les informations, installant à distance un code sur un appareil cible et utilisant une interface graphique de Windows pour contrôler l’ordinateur de la victime.

En outre, ils ont utilisé xTreme RAT, l’outil qu’ils ont déployé contre la police israélienne et d’autres institutions en Israël et dans ls Territoires.

Si PIVY est l’un des outils favori des pirates chinois, FireEye a déterminé que les groupes de pirates du Moyen Orient l’utilisent aussi. « Des recherches antérieures ont lié ces campagnes à Molerats », a déclaré FireEye, « mais avec autant d’attention du public sur les acteurs des menace basés en Chine, il est facile de perdre la trace des attaques ciblées menées par des groupes situés ailleurs. L’une des caractéristiques des attaques est l’utilisation habituelle de leurres ou de documents leurres, en anglais ou en langue arabe, avec un contenu axé sur les conflits actuels au Moyen Orient ».

Selon FireEye, les pirates ont ciblé, entre autres, des ministères en Israël, en Turquie, en Slovénie, en Macédoine, en Nouvelle-Zélande, en Lettonie, aux Etats-Unis et au Royaume-Uni, le Bureau du Représentant du Quartet (le groupe UE-États-Unis pour faciliter les négociations au Moyen Orient), la BBC, une institution financière américaine et plusieurs organismes gouvernementaux de l’UE.

En octobre 2012, la police israélienne a mis tous ses ordinateurs hors ligne pendant une semaine après avoir trouvé un fichier suspect circulant sur ses machines. Selon Roni Bachar, chef de la sécurité israélienne pour Avnet, le but de cette attaque était de collecter des données.

« L’opération n’était en aucune façon sophistiquée ou complexe » et le virus ne l’était pas non plus, a-t-il déclaré. « Mais elle était très similaire à d’autres attaques d’exploration de données que nous avons traitées au cours des dernières années chez Avnet ».

Le meilleur moyen et le plus simple pour éviter d’être pris dans ces sortes d’attaques, selon Sergey Novikov, expert en virus au Kaspersky Labs, est d’installer un logiciel antivirus et de ne pas cliquer sur des messages ou des liens qui semblent suspects.

Les comportements de sécurité courants devraient être enseignés à tout le monde, y compris aux professionnels dans leur milieu de travail et aux enfants. Mettre en place un important programme d’éducation pour s’assurer que tout le monde est conscient des dangers du cyberespace pourrait contribuer à réduire l’efficacité de la RAT et d’autres attaques de manière significative.

« Nous devrions enseigner cela aux enfants, même dès les premières classes », affirme Novikov. « Tout comme les gens apprennent qu’ils doivent se laver les mains pour prévenir la maladie, ils doivent aussi apprendre comment maintenir une cyber-défense quand ils naviguent sur Internet, par souci pour la société et pour eux-mêmes ».