Les logiciels malveillants Xtreme RAT ciblent les États-Unis, le Royaume-Uni et d'autres gouvernements

Les attaquants ont envoyé des messages non autorisés avec une pièce jointe.RAR aux adresses e-mail des agences gouvernementales ciblées. L'archive contenait un exécutable malveillant se faisant passer pour un document Word qui, une fois lancé, installait le malware Xtreme RAT et ouvrait un document leurre avec un reportage sur une attaque de missile palestinienne.

L'attaque a été découverte à la fin d'octobre. la police israélienne a fermé son réseau informatique afin de nettoyer les logiciels malveillants de ses systèmes. Comme la plupart des programmes de Troie d'accès distant (RAT), Xtreme RAT permet aux attaquants de contrôler la machine infectée et leur permet de télécharger des documents et d'autres fichiers sur leurs serveurs.

[Comment lire les logiciels malveillants sur votre PC Windows] Après avoir analysé les échantillons de logiciels malveillants utilisés dans l'attaque de la police israélienne, les chercheurs en sécurité du fournisseur norvégien d'antivirus Norman ont découvert une série d'attaques plus anciennes qui ciblaient des organisations en Israël et dans les territoires palestiniens. Leurs conclusions ont brossé le tableau d'une opération de cyberespionnage d'un an menée par le même groupe d'attaquants dans la région.

Cependant, selon les nouvelles données découvertes par les chercheurs de Trend Micro, la portée de la campagne semble beaucoup plus grande. > "Nous avons découvert deux courriels envoyés de {BLOCKED}[email protected] le 11 et le 8 novembre qui visaient principalement le gouvernement israélien", a déclaré Nart Villeneuve, chercheur principal sur les menaces à Trend Micro, dans un article publié plus tôt cette semaine. "L'un des e-mails a été envoyé à 294 adresses e-mail."

"Alors que la grande majorité des e-mails ont été envoyés au gouvernement israélien à 'mfa.gov.il' [ministère israélien des Affaires étrangères], 'idf. gov.il '[Forces de défense israéliennes], et' mod.gov.il '[ministère israélien de la Défense], un montant important a également été envoyé au gouvernement des États-Unis à l'adresse électronique' state.gov '[Département d'État américain], "Villeneuve a dit. «D'autres cibles du gouvernement américain comprenaient également les adresses e-mail« sénat.gov »[Sénat américain] et« house.gov »[Chambre des représentants des États-Unis], ainsi que l'adresse courriel« usaid.gov »[Agence américaine pour le développement international] »

La liste des cibles comprenait également les adresses e-mail« fco.gov.uk »(British Foreign & Commonwealth Office) et« mfa.gov.tr ​​»(Ministère des Affaires étrangères turc), ainsi que les adresses du gouvernement institutions en Slovénie, en Macédoine, en Nouvelle-Zélande et en Lettonie, a précisé le chercheur. Certaines organisations non gouvernementales comme la BBC et le Bureau du représentant du Quartet ont également été ciblées

Motivations peu claires

Les chercheurs de Trend Micro ont utilisé des métadonnées provenant des documents leurres pour retrouver certains de leurs auteurs sur un forum en ligne. L'un d'eux a utilisé l'alias "aert" pour parler de diverses applications malveillantes, y compris DarkComet et Xtreme RAT, ou pour échanger des biens et services avec d'autres membres du forum, a précisé M. Villeneuve.

Cependant, les motivations des attaquants restent floues. Si, après le rapport Norman, on pouvait supposer que les attaquants avaient un agenda politique lié à Israël et aux territoires palestiniens, après les dernières découvertes de Trend Micro.

"Leurs motivations ne sont pas claires à ce stade après avoir découvert ce dernier développement visant à cibler d'autres organisations étatiques", a déclaré Ivan Macalintal, chercheur sur les menaces et évangéliste de sécurité chez Trend Micro, vendredi par e-mail.

Trend Micro n'a pas pris le contrôle de toute commande et de contrôle des serveurs (C & C) utilisés par les attaquants afin de déterminer quelles données sont volées à partir des ordinateurs infectés, le chercheur dit, ajoutant qu'il n'y a pas l'intention de le faire à ce moment.

Les sociétés de sécurité travaillent parfois avec des fournisseurs de domaine pour diriger les noms de domaine C & C utilisés par les pirates vers des adresses IP sous leur contrôle. Ce processus est connu sous le nom « sinkholing » et est utilisé pour déterminer le nombre d'ordinateurs ont été infectés par une menace particulière et quel genre d'information que ces ordinateurs sont renvoyaient aux serveurs de contrôle.

"Nous avons contacté et travaillent avec le CERTs [équipes d'intervention d'urgence informatique] pour les États concernés et nous verrons s'il y a effectivement eu des dommages », a déclaré Macalintal. "Nous continuons à surveiller activement la campagne dès maintenant et afficherons les mises à jour en conséquence."