Publié par : Memento Mouloud | avril 28, 2017

Pawn Storm ou comme un ours dans un ban de requins

La méthode d’attaque est le phishing (« hameçonnage » en français), qui consiste à créer une page contrôlée par l’attaquant afin d’y amener la cible pour qu’elle y livre des données personnelles. Il s’agira d’un faux site de banque pour récupérer des données bancaires ou d’une fausse page Gmail pour récupérer les codes d’accès à une messagerie.

Pour mener ses opérations de phishing« Pawn Storm a maintenu une campagne de long terme contre les principaux fournisseurs de services mails internationaux gratuits comme Yahoo et Gmail ». Mais le groupe a également créé de faux sites à visée plus locale, destinés à piéger les utilisateurs de la société ukrainienne Ukr.net ou des sociétés russes Yandex et Mail.ru. « Pawn Storm a mis en place des sites de phishing d’autres fournisseurs de services mails gratuits pour des cibles très spécifiques. Nous avons trouvé des noms de domaine de phishing pour des fournisseurs de service mail relativement petits à Chypre, en Belgique, en Italie, en Norvège et dans d’autres pays. » Pawn Strom se serait ainsi attaqué au service mail d’universités en Estonie et en Russie.

Une fois qu’un des employés d’une organisation est tombé dans le piège d’un des sites de phishing et que ses identifiants ont été récupérés, les hackers peuvent tout d’abord récupérer les données du compte concerné. Mais surtout, ils disposent désormais d’une porte d’entrée dans le réseau visé leur permettant « de pénétrer plus profondément dans l’organisation ciblée ».

Toute la difficulté, pour l’assaillant, est de parvenir à faire venir la cible sur son site. Celui-ci ressemblera à une page du service mail et demandera à la cible de taper son identifiant et son mot de passe, qui seront alors récupérés. Pour cela, les hackers enverront généralement un mail invitant la victime à cliquer sur un lien au prétexte d’une urgence, d’une mise à jour ou d’un problème de sécurité. L’attaque est donc précédée d’une phase « d’ingénierie sociale » durant laquelle le hacker récolte un maximum d’informations personnelles en vue de calibrer son message.

Si la plupart de ces leurres sont facilement identifiables, Pawn Storm a démontré dans plusieurs cas un savoir-faire peu commun. Certains « acteurs ont démontré une créativité remarquable dans leurs attaques et parlent couramment des langues étrangères. Pour certains des assauts, les victimes ne peuvent être blâmées pour être tombées dans les astuces de l’ingénierie sociale. Nous avons vu des leurres de phishing qui étaient quasiment impossibles à distinguer de mails authentiques ».

Trend Micro alerte également sur l’utilisation par Pawn Storm d’une technique de phishing plus évoluée baptisée Tabnabbing (de tab, onglet en français, et nabbing, « épinglage » ou « hameçonnage » en français). Cette technique consiste à utiliser un petit programme qui permet de détecter lorsque la cible change d’onglet dans son navigateur. Concrètement, celle-ci sera sur une page habituelle mais dès qu’elle changera d’onglet, le programme modifiera l’URL pour une page de phishing.

« Dans ce scénario d’attaque, la cible reçoit un email supposé venir d’un site qui pourrait l’intéresser – peut-être d’une conférence à laquelle il est censé participer ou d’un site d’information auquel il vient de s’inscrire. L’email propose un lien vers une URL qui semble très authentique. Quand la cible lit son mail et clique sur le lien, il va s’ouvrir dans un nouvel onglet. Ce nouvel onglet  montrera le site légitime de la conférence ou du site d’information après avoir été redirigé depuis un site sous le contrôle de l’attaquant. » La victime pourra donc y naviguer sans aucun problème ni danger. Mais ce qu’elle ne sait pas, c’est que « juste avant la redirection, un simple script a été lancé, transformant l’onglet original de son service mail en site de phishing. Quand la cible a fini de lire l’article ou les informations sur la conférence sur le site légitime, il retourne sur l’onglet de ses mails. Il est informé que sa session a expiré et que le site a besoin à nouveau de ses identifiants. Il est alors probable qu’il rentre à nouveau son mot de passe »

Plusieurs organisations ont été ciblées par ce type particulier d’attaque, notamment les ministères de la défense hongrois et espagnols, la sécurité nationale bulgare, l’OSCE ou encore des utilisateurs de Yahoo. Pour les autres attaques, les cibles finales du groupe sont variées, mais correspondent toutes, souligne Trend Micro, à des cibles d’espionnage étatique : « forces armées, industrie de la défense, partis politiques, ONG, médias et gouvernement partout dans le monde ». Dans ce tableau, on trouve les armées du Chili, d’Arménie, de Roumanie, du Danemark, du Portugal, de la Grèce, des Émirats arabes unis ou encore de Bulgarie. Plusieurs ministères ont également été visés : ceux de la défense de la Bulgarie, de la Pologne, de la Hongrie, de l’Espagne, d’Afghanistan ou d’Arabie saoudite et ceux des affaires étrangères de Géorgie du Sud, d’Arménie, des Émirats arabes unis et du Qatar.

De nombreux médias ont également été ciblés, notamment le New York Times, Buzzfeed, le journal turc Hurriyet ou Al Jazzera. En ce qui concerne les partis et responsables politiques, ou trouve le premier ministre turc, le parlement turc, le parti démocrate américain, le parlement du Monténégro ou encore le candidat français Emmanuel Macron. On peut également ajouter plusieurs agences gouvernementales comme le département de l’aviation civile de Malaisie, la société américaine énergétique Westinghouse Nuclear, des organisations internationales comme l’OSCE, l’Agence mondiale antidopage ou le Tribunal arbitral du sport.

En avril et mai 2016, Pawn Storm a également lancé une opération contre la CDU, parti de la chancelière allemande Angela Merkel. Aucune donnée n’a pour l’instant été publiée. Il est également « très probable que, de juillet 2015 à août 2016, Pawn Storm ait eu accès au compte Gmail de Colin Powell, ancien secrétaire d’État américain des États-Unis sous l’administration de George W. Bush ». Certains de ces mails ont été diffusés en septembre 2016 sur le site dcleaks.com. Le groupe a également été très actif en Russie : « Des citoyens russes – journalistes, développeurs de logiciels, politiciens, chercheurs d’universités et artistes – sont également visés par Pawn Storm. Plusieurs organisations médiatiques (dont des médias grand public) et des ambassades étrangères à Moscou sont également des cibles habituelles. »

Pour ses opérations, le groupe « utilise les infrastructures internet de pays bien connectés comme les États-Unis, la France, les Pays-Bas, la Lettonie, la Roumanie et l’Allemagne ». Un choix curieux car ces pays disposent tous de services de renseignement, pour certains particulièrement efficaces. Certes, comme le souligne le rapport, Pawn Storm chiffre ses communications et l’envoi des identifiants dérobés. Mais il n’en demeure pas moins que cette attitude est pour le moins inhabituelle pour des hackers qui, habituellement, redoublent de créativité pour dissimuler la moindre trace. « Pawn Storm ne se soucie clairement pas que les services de renseignement puissent avoir une visibilité sur les identités des cibles victimes… Pawn Storm est en quelque sorte effronté : les acteurs ne se préoccupent pas de se faire attraper à un moment. »

Sa stratégie pour protéger l’anonymat de ses membres est en revanche qualifiée de « remarquable ». Les actions de Pawn Storm ne peuvent pas être facilement attribuées à des surnoms ou des profils de l’underground… Pour beaucoup de groupes cyber-criminels, au moins certains surnoms de l’underground sont connus, mais pas pour ce groupe. Les identités individuelles des acteurs de Pawn Strom sont très bien protégées. »

Dans le cas de Pawn Storm, l’accusation la plus ferme a été portée au mois de janvier dernier par un rapport commun de services américains remis à Donald Trump. Celui-ci affirmait « avec grande confiance », mais sans preuve matérielle, que ce sont les services de renseignement militaires russes, le GRU, qui se cachaient derrière « Guccifer 2.0 », auteur du piratage des courriels de responsables du parti démocrate. Le GRU aurait ensuite choisi de donner ces documents à WikiLeaks.

Mediapart

 

 


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Catégories

%d blogueurs aiment cette page :