La compagnie IntelCrawler spécialisée sur le recueil et l’analyse du renseignement sur la cybermenace a publié une intéressante étude sur les répercussions de la guerre civile en Irak sur le cyberespace. L’entreprise qui a analysé les activités au sein de l’industrie irakienne des IPS a découvert des signes plutôt inquiétants.
Selon les chercheurs de IntelCrawler les activités malveillantes ont augmenté de façon significative au cours des dernières semaines dans la région et l’un des principaux effets est la présence de nombreux Botnets utilisant des DNS dynamiques. Ces chercheurs attribuent cette situation à des campagnes en cours de cyber espionnage sur des systèmes se trouvant dans cette zone.
L’augmentation de cette activité corrèle avec les conflits géopolitiques dans d’autres régions (Ukraine par exemple) où les activités dans le cyber espace sont financées par des États dans un objectif d’influencer les résultats sur le terrain.
La plupart des noms de domaine malveillants identifiés et utilisés pour les communications avec les serveurs C & C (Command et Control) ont été enregistrés chez des providers de DNS gratuits. Les adresses IP étaient liées à des sous-réseaux des différents fournisseurs régionaux en Irak de services Internet, comme Gorannet, IQ-Earthlink, Iqnetworks, IQ-Newroz et IQ-Tarinnet.
Le trafic malveillant a été principalement concentré dans quatre villes irakiennes, Baghdad, Erbil, Bassorah et Mossoul, alors que Gorannet est l’ISP impliqué dans la majorité des activités malveillantes.
Les experts ont noté une importante utilisation en cette occasion du malware njRAT, également utilisé dans le conflit en Syrie pour cibler des membres des groupes d’opposition. (Voir notre article : L’Afrique du Nord et le Moyen Orient victimes d’un malware développé localement avril 3, 2014)
Il a été aussi constaté que d’autres malwares ciblaient spécifiquement la communauté arabophone, dans ces cas aussi des services DNS dynamiques ont été utilisés pour rendre les C & C accessibles aux logiciels espions.
Bien sûr, les assaillants ont utilisé des techniques d’ingénierie sociale pour faire en sorte que les victimes cliquent et visitent les URL infectées ou les fichiers malveillants ouvertes. Des chercheurs de InterlCrawler ont isolé de nombreux échantillons de logiciels malveillants (malwares) avec des liens tels que : « النصر لنا » « النصر لنا هجوم » et autres, qui se réfèrent à des motivations politiques ciblées pour inciter à des cyber-attaques.
Les malwares incluent des fonctionnalités les plus courantes pour le vol de données (data-stealer), prise de contrôle des écrans, enregistreur de touches (keylogger) et la possibilité de télécharger et d’exécuter plus de codes malveillants sur les systèmes infectés.
Dans le tableau suivant sont présentés les serveurs C&C (Command and Control) hébergés par les fournisseurs de services Internet en Irak.
Le nombre d’activités illégales ne se limite pas au trafic malveillant à partir ou vers les ISP de l’Irak, l’enquête faite par InterlCrawler a également révélé un nombre important de SOHO routeurs (SOHO Small Office/Home Office) compromis ayant des adresses IP attribuées à l’Irak.
Les assaillants ont compromis les routeurs avec une exploitation à grande échelle des vulnérabilités dans les UPnP (Universal Plug and Play) et grâce à des attaques par exhaustivité des consoles d’administration des périphériques des réseaux.
Les experts considèrent qu’un si grand nombre d’appareils SOHO compromis dans la même zone ne peut être causé que par un réseau de surveillance pour le contrôle du trafic Internet dans la région.
Qui est derrière les cyber attaques et quelles sont les motivations?
Le nombre de groupes en Irak impliqués dans des activités illégales a sensiblement augmenté, les motivations politiques et religieuses sont les principales raisons de la participation aux cyber opérations.
Selon Intelcrawler, il s’agit principalement de groupes islamistes d’Égypte, de Libye, du Liban, de l’Iran et de la Syrie effectuant des attaques ciblées pour des raisons religieuses et politiques et souvent soutenus par les États.
Les experts ont noté aussi l’implication de groupes de cyber mercenaires qui opéraient à partir d’autres pays en direction des régions où les éléments de ISIS sont présents.
IntelCrawler est une compagnie spécialisée dans le renseignement sur la cyber menace (cyber threat intelligence firm) dont le siège se trouve à Los Angeles, en Californie. Elle assiste à trouver un lien entre une information vérifiée (ou renseignement) cybernétique et les menaces émergentes contre des entreprises spécifiques, en utilisant un grand volume de données (Big Data) agrégées et analysées, en utilisant aussi une technologie qui permet de connaitre le contexte (context-aware cyber intelligence technologies) et enfin le recours au renseignement d’origine humaine (HUMINT).


