Selon la compagnie de sécurité FireEye des hackers ont fait intrusion dans des ordinateurs de l’opposition syrienne et ont volé massivement des données relatives à des communications militaires secrètes et des plans de batailles.
Au milieu de l’année 2013, des unités armées appartenant à l’opposition au gouvernement syrien ont envisagé des opérations majeures destinées à faire reculer les forces gouvernementales. Les plans des opérations qui représentaient avec précision les objectifs à atteindre ont été sauvegardés électroniquement dans des machines. Ces plans prévoyaient impliquer dans les opérations de centaines d’hommes de l’opposition. Cette dernière a cartographié l’emplacement de ses combattants de réserve, les aires de repos, le personnel de soutien et les voies d’approvisionnement en ressources pour leurs forces.
Des pirates ont réussi à infecter les machines de l’opposition syrienne par des logiciels malveillants en exploitant des conversations amoureuses organisées sur Skype entre des éléments de l’opposition et des femmes. Ont été ciblés des représentants de l’opposition syrienne, ses éléments armés, des travailleurs humanitaires et des activistes des médias.
Les femmes utilisées commencent par chater amoureusement avec des éléments de l’opposition sur Skype puis demandent à leurs interlocuteurs s’ils utilisent Skype sur un smartphone ou ordinateur, dans un évident objectif de leur permettre de choisir et d’envoyer les logiciels malveillants convenant à l’appareil.
Parmi les outils utilisés pour exfiltrer des données provenant des machines des victimes, il y a le populaire DarkComet RAT, un keylogger personnalisé et une collection d’outils avec différentes charges utiles de Shellcode.
Grace à cette tactique, les hackers ont volé des centaines de documents et près de 31 107 séances de chats sur Skype qui comprenait des discussions, plans et la logistique pour les attaques de l’opposition syrienne contre les forces du président syrien Assad.
Les données volées inclus des :
• INFORMATIONS MILITAIRES
• INFORMATIONS POLITIQUES
• ACTIVITÉS HUMANITAIRES ET DE FINANCEMENT
• RENSEIGNEMENTS PERSONNELS SUR DES RÉFUGIÉS
• MÉDIAS ET COMMUNICATIONS
Les Hackers ont siphonné près 7.7GB de matériels, dont 64 bases de données, 31 107 conversations Skype, 12 356 contacts et 240 381 messages.
Les pirates ont fait cependant des erreurs retentissantes, le serveur qui hébergeait les données exfiltrées à partir des machines de l’opposition n’était pas protégé et ne nécessitait pas un mot de passe pour y accéder.
Les documents découverts par la compagnie de sécurité FireEye sur le serveur comprenaient des images satellite annotées, des chats sur Skype, des inventaires d’armes et des renseignements personnels sur des représentants de l’opposition syrienne.
Les victimes ont été contactées par les hackers sur Skype, ils cachaient leur identité derrière de faux profils de jolies femmes soutenant leur cause.
Ils utilisaient un vecteur d’attaque spécifique en fonction de l’OS utilisé par les victimes, dans certains cas, les « femmes attirantes » demandaient aux victimes d’échanger les photos personnelles. La photo de la femme est en réalité aussi un fichier exécutable (self-extracting RAR archive) contenant le DarkComet RAT en arrière-plan qui va prendre le contrôle de la machine de la victime (Opposition syrienne).
Un autre élément qui distingue cette campagne contre l’opposition syrienne est la capacité des hackers à compromettre les Android (smartphone) avec un malware.
Les smartphones sont en général de précieuses sources de données sur les personnes et leurs réseaux sociaux, car ils contiennent des carnets d’adresses, les messages SMS, les e-mails, et d’autres données (y compris les données à partir d’applications mobiles, tel que Skype).
Cibler les smartphones peut être particulièrement bénéfique. Dans le cas des membres de l’opposition syrienne, les pannes d’électricité régulières en Syrie ont forcé cette opposition à s’appuyer davantage sur les smartphones et appareils mobiles pour les communications.
Un autre élément de distinction de cette campagne est l’utilisation de techniques d’ingénierie sociale pour leurrer les victimes et infecter leurs machines plutôt que le recours aux de logiciels exploits. L’ingénierie sociale s’avère, encore une fois, être un moyen efficace, rapide et peu couteux pour une utilisation ciblée.
Le rapport de la compagnie de sécurité FireEye a confirmé que le nombre de machines infectées n’étaient pas important mais il s’agissait de machines ayant plusieurs comptes. Donc des machines que plusieurs personnes se partageaient. Et il s’agissait d’organisateurs et stratèges non pas de simples utilisateurs.
Qui sont les hackers?
Le rapport confirme que, bien que les chercheurs n’aient que des indications limitées sur les origines des responsables de cette menace à l’opposition syrienne, l’enquête a révélé néanmoins de multiples références au Liban. Hizboallah ? Israël?
Un exemple sur l’apport des cyber-guerriers aux forces armées conventionnelles et la nature de leur participation aux conflits.






