Important piratage informatique survenu récemment contre des serveurs israéliens
Rechercher

Important piratage informatique survenu récemment contre des serveurs israéliens

Check Point, la plus importante société de cyber sécurité, voit une motivation politique derrière cette attaque - même si les auteurs n’ont pas été identifiés

David Shamah édite notre section « Start-Up Israel ». Spécialiste depuis plus de dix ans en technologies et en informatique, il est un expert reconnu des start-up israéliennes, de la high-tech, des biotechnologies et des solutions environnementales.

Un homme devant son ordinateur. Illustration. (Crédit : Pixabay)
Un homme devant son ordinateur. Illustration. (Crédit : Pixabay)

Une nouvelle salve de piratages informatiques est dirigée particulièrement contre Israël. C’est ce que pense le géant de la cyber sécurité Check Point.

Le programme, qui utilise des documents Microsoft Word pour introduire un code malveillant dans l’ordinateur d’un utilisateur, « semble être mû par des raisons politiques, dirigé contre un état-nation en particulier », a indiqué la société.

Avec cela, a affirmé la société, l’identité des pirates informatiques à l’origine de cette attaque n’est pas claire et pourrait ne jamais être connue car il est quasiment impossible de retracer de telles attaques et de remonter au serveur d’origine qui a les a crées.

Et, alors que Check Point ne dévoilera pas les cibles spécifiques de l’attaque, la société a révélé que, parmi elles, se trouvaient des organisations israéliennes publiques (c’est-à-dire le gouvernement) et privées. Elle a ajouté que ces attaques duraient « depuis quelque temps ».

« Il y a deux mois de cela, un document RTF (format de texte enrichi) malveillant a retenu l’attention du département Menace, Renseignement et Recherche de Check Point via un client médiatisé du secteur public très inquiet, » a indiqué la société dans un article de blog.

« Le dossier avait été envoyé à de nombreux employés et plusieurs d’entre eux l’avaient ouvert. Par conséquent, leurs ordinateurs s’étaient retrouvés infectés. Check Point a pris des mesures pour que ce document n’infecte pas le réseau de son client et a également analysé le dossier pour mieux comprendre l’attaque ».

C’est après avoir analysé le dossier et comparé ses notes avec d’autres clients israéliens que Check Point a compris ce qu’il se passait : quelqu’un envoyait des documents contenant des macros infectés (des microprogrammes qui améliorent la fonctionnalité des dossiers Microsoft Office) qui, une fois ouverts, s’intégraient dans un ordinateur et se mettaient à « envoyer à la maison » des informations telles que l’emplacement, les dossiers, les mots de passe, et bien plus encore. Le programme malveillant se dupliquait ensuite dans le réseau local, à la recherche de dossiers contenant des mots de passe et d’autres données et les envoyait également aux pirates informatiques, a expliqué Check Point.

Ces attaques n’étaient même pas particulièrement sophistiquées, affirme Check Point.

« Les vulnérabilités spécifiques exploitées étaient suffisantes pour déterminer que ce document malveillant n’avait pas été créé artisanalement mais plutôt auto-généré par un programme bien connu appelé Microsoft Word Intruder (MWI) », disponible sur le marché depuis au moins deux ans et « accessible pour toute personne disposée à payer quelques milliers de dollars ».

Tout ce que le pirate informatique a à faire est de charger le code malveillant dans le kit MWI et joindre les macros découlant de cette action à un document d’apparence normale.

Le code s’occupe du reste, renvoyant les informations sensibles quand un malheureux utilisateur ouvre ce document. Dans ce cas, la cyber-arme de prédilection était « un dérivé générique du Troyen Zeus, avec toutes les fonctionnalités d’usage : la modification des paramètres de sécurité du navigateur, le vol des informations de connexion FTP, les paramètres des cookies et du courrier électronique ainsi que la capacité de télécharger et d’exécuter des modules additionnels », a ajouté check Point.

En Israël, les données ont été téléchargées sur un serveur local appartenant à une société d’immobilier – les systèmes de sécurité ne hissaient donc pas le drapeau rouge quand ils détectaient un téléchargement de données puisque l’adresse IP du destinataire paraissait légitime.

Cependant, ce serveur avait été corrompu par les pirates informatiques qui faisaient passer le programme malveillant du serveur local à d’autres serveurs situés à l’extérieur du pays.

Selon Check Point, l’adresse IP de ces machines – dont la société a pu en partie suivre la trace – a indiqué que la destination des données étaient la Russie et l’Ukraine, même s’il est très fortement probable que ces adresses ont été « falsifiées ». Il était donc impossible de déterminer la véritable destination de ces données

Check Point a remarqué que plus de la moitié des attaques utilisant ce programme visaient des serveurs israéliens, plus particulièrement des serveurs d’agences gouvernementales, dont certains contenant des données sensibles.

« Des campagnes peuvent terminer avec des victimes infectées dans une mauvaise localisation géographique pour de nombreuses raisons. Cela n’implique pas nécessairement un scénario de ‘campagne ciblée’ », explique la société.

« Cependant, ce cas-là était différent. Les cibles israéliennes n’étaient pas seulement sur-représentées : la liste des adresses Internet ciblées contenait un nombre important de d’agences gouvernementales, de sociétés de sécurité industrielle, d’agences municipales, d’instituts de recherches et même d’hôpitaux… tous israéliens. En tout, plus de 200 ordinateurs et 15 sociétés et institutions israéliens étaient visés ».

Selon Check Point, le rôle de la défense est – comme toujours – vital.

En dépit des origines de la campagne, les conseils pour se défendre contre les programmes malveillants restent les mêmes : mettez à jour votre logiciel, mettez à jour vos signatures anti-virus, contrôlez vos dossiers avec une analyse Sandbox avant qu’il n’entrent dans votre réseau, servez-vous de la technologie anti-bot et post-infection pour vous aider à identifier les hôtes qui ont été corrompus, utilisez un bloqueur de script pour votre navigateur Internet et méfiez-vous de tous les liens ou documents non-sollicités ou provenant d’individus auxquels vous ne faites pas pleinement confiance ».

En savoir plus sur :
C’est vous qui le dites...