Stealth Falcon : une attaque informatique venue du désert ?

Une infiltration informatique, lancée à l’encontre de journalistes et militants politiques des Emirats décortiquée. Ce piratage, baptisé Stealth Falcon (Le faucon furtif) aurait été fomenté par le gouvernement des Emirats Arabes Unis.

Analyse passionnante que celle proposée par le site Citizen Lab de l’Université de Toronto. Intitulé « garder son calme et ne pas activer les macros : une nouvelle cible pour les dissidents des Emirats Arabes Unis » propose de se pencher sur une infiltration informatique lancée à l’encontre de journaliste, militants et dissidents politiques originaires des Emirats Arabes Unis.

Ce rapport décrit une campagne d’attaques de spyware ciblées effectuées par un opérateur « sophistiqué ». Un opérateur pirate baptisé « Stealth Falcon », le faucon furtif. Les attaques ont débuté en 2012, elles continueraient. Une infiltration informatique découverte quand un individu prétendant provenir d’une organisation (ONG) apparemment fictive appelée « le droit de combattre » (“The Right to Fight”) a contacté Rori Donaghy, journaliste britannique, fondateur du Centre des droits de l’homme des Emirats Arabes Unis (Emirates Center for Human Rights).

Le courriel, daté de novembre 2015, proposait à Donaghy d’écrire un article sur un blog. Le « Faucon Furtif » a publié, pour piéger ses cibles : 31 tweets publics, 30 ont visant directement 27 cibles précises. Parmi les 27, 24 ont été de toute évidence liées aux Emirats (EAU). Au moins six cibles ont été arrêtées, sont recherchées, ou condamnées par contumace par le gouvernement des EAU, par rapport à leurs activités sur Twitter.

Stealth Falcon

Une attaque simple à mettre en place, et jouant sur la méconnaissance des cibles. L’attaque sur Donaghy – et les attaques Twitter – ont impliqué un site de raccourcissement d’URL, AXX.me. AXX, un faux site de réduction de lien qui avait surtout pour mission de tenter de briser l’anonymisation proposée par TOR. (Bilan, on se retrouve avec  peut-être une technique qu’utilise le FBI, NDR). Lorsqu’un utilisateur clique sur une URL raccourcie par Furtif Falcon, les pirates récoltent quelques informations techniques afin de revenir sur son sujet, plus tard. Un autre site, tout aussi faux, velocityfiles.com, annonçait permettre le téléchargement public de fichier. Il a été désactivé, en mars 2016.

Stealth Falcon : une attaque informatique venue du désert ?

Parmi les URL réduites, seul celui envoyé à Donaghy contenait les logiciels espions. « Nous avons été en mesure de retracer les logiciels espions, explique Citizen Lab. Les serveurs de contrôle (C2) étaient toujours actifs, ce qui suggère une utilisation plus large des logiciels espions, peut-être par les mêmes ou d’autres opérateurs ». L’attaque utilise une macro Microsoft Word qui installe une porte dérobée (backdoor) sur mesure permettant aux opérateurs d’exécuter des commandes arbitraires sur une machine compromise. Cette dernière peut ensuite être écoutée via un micro branché ; filmé via une webcam ; intercepter les frappes clavier (via un keylogger) ; orchestrer des captures écran … Bref, si vous recevez un document Word, Excel… et que votre interlocuteur vous demande d’activer les macros, refusez !

Une attaque qui démontre que l’étude des cibles (social engineering), l’analyse de leurs comportements, de leurs points d’intérêts, est un atout majeur dans un piratage réussi.

Keep Calm and (Don’t) Enable Macros: A New Threat Actor Targets UAE Dissidents

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.