Le Liban utilise de fausses applications VPN et Messenger pour espionner

De fausses versions des applications de messagerie cryptée et de confidentialité populaires ont été repérées dans la nature. Les fausses versions de Whatsapp, Telegram, Signal et PsiphonVPN auraient été créées par des pirates informatiques qui travailleraient pour le gouvernement libanais. Les applications malveillantes trompent les utilisateurs en leur faisant croire que leurs messages sont cryptés. Cependant, en réalité, les pirates informatiques libanais exploitent délibérément des portes dérobées et des logiciels malveillants pour espionner les correspondances des utilisateurs.

Selon un rapport publié par la société de sécurité mobile Lookout et l'Electronic Frontier Foundation, les pirates auraient été liés à l'agence centrale de renseignement du Liban. Le rapport révèle que les victimes dans pas moins de 20 pays ont probablement téléchargé les versions contrefaites des applications de sécurité populaires.

Chevaux de Troie dangereux

Des applications malveillantes peuvent être faites pour apparaître presque identiques à leurs homologues légitimes. Cela ne donne aux utilisateurs aucun moyen réel de savoir que quelque chose de fâcheux se produit sur leurs appareils. À cette occasion, les victimes ont téléchargé les applications néfastes des magasins d'applications en ligne non officiels. Une fois installée, plutôt que de fournir des messages cryptés en toute sécurité (protégés par le protocole Signal d'Open Whisper) - l'application se comporte comme un cheval de Troie.

Les chevaux de Troie sont un type de malware extrêmement puissant qui permet aux pirates de prendre le contrôle des fonctionnalités d'un appareil. Cela comprend la lecture des correspondances et des SMS, l'accès aux e-mails, l'allumage du microphone et de la caméra, la recherche dans les contacts, l'allumage du GPS et l'accès aux photos et à toutes les autres données contenues sur l'appareil piraté.

La connexion libanaise

Le rapport publié par Lookout s'appelle "Dark Caracal: le cyberespionnage à l'échelle mondiale". Selon les chercheurs en cybersécurité de Lookout, ils ont découvert des preuves qui indiquent l'implication d'un acteur de l'État. Selon Lookout, ce lien a été établi en raison de la découverte d'appareils de test au siège de la Direction générale libanaise de la sécurité générale (GDGS) à Beyrouth:

«Les appareils permettant de tester et de mener la campagne remontent à un bâtiment appartenant à la Direction générale libanaise de la sécurité générale (GDGS), l'une des agences de renseignement libanaises. Sur la base des preuves disponibles, il est probable que le GDGS soit associé ou soutienne directement les acteurs derrière Dark Caracal. »

Les documents publiés révèlent que les pirates informatiques parrainés par l'État ont volé à la fois des données personnelles identifiables et la propriété intellectuelle de victimes, notamment «des militaires, des entreprises, des professionnels de la santé, des militants, des journalistes, des avocats et des établissements d'enseignement».

Opération Manul

Selon EFF, Dark Caracal pourrait être lié à une campagne de piratage précédemment découverte appelée Opération Manul. Cette campagne a été découverte l’année dernière et visait des avocats, des journalistes, des militants et des dissidents du Kazakhstan qui critiquent les actions du régime du président Nursultan Nazarbayev.

Contrairement à l'opération Manul (PDF), cependant, Dark Caracal semble être devenu un effort de piratage international visant des cibles mondiales. Mike Murray, vice-président du renseignement de sécurité à Lookout, a déclaré:

"Dark Caracal fait partie d'une tendance que nous avons constatée au cours de l'année écoulée, selon laquelle les acteurs APT traditionnels s'orientent vers l'utilisation du mobile comme plate-forme cible principale..

«La menace Android que nous avons identifiée, telle qu'utilisée par Dark Caracal, est l'un des premiers APT mobiles actifs à l'échelle mondiale dont nous avons parlé publiquement.»

En fait, selon le rapport de Lookout, Dark Caracal est actif depuis le début de 2012. Cela signifie que les hackers parrainés par le Liban ont acquis une expérience et une expertise depuis un certain temps. Le rapport indique également clairement que Dark Caracal est toujours très actif et qu'il est peu probable qu'il quitte bientôt..

En tant que tel, cet incident de piratage rappelle que ce ne sont pas seulement les principaux acteurs étatiques tels que les États-Unis, le Royaume-Uni, la Russie et la Chine, qui ont à leur disposition des capacités mondiales de cyber-guerre..

Vecteur d'attaque

Les travaux entrepris par les chercheurs de Lookout révèlent que les victimes sont initialement ciblées par des attaques d'ingénierie sociale et de phishing. Le hameçonnage réussi est utilisé pour fournir une charge utile de malware appelée Pallas et une modification inédite de FinFisher. L'infrastructure de phishing de Dark Caracal comprend de faux portails pour des sites Web populaires tels que Facebook et Twitter.

Les techniques de phishing sont utilisées pour diriger les victimes vers un serveur «abreuvoir» où les versions infectées des applications de sécurité et de confidentialité populaires sont diffusées sur leurs appareils. De faux profils Facebook ont ​​également été découverts, aidant à propager des liens malveillants vers des versions infectées de Whatsapp et d'autres messagers.

Une fois infectés par l'application cheval de Troie contenant Pallas, les pirates peuvent fournir des charges utiles secondaires à partir d'un Command and Control (C&C) serveur. Parmi les applications infectées découvertes par les chercheurs, il y avait une version contrefaite de PsiphonVPN et une version infectée du proxy Orbot: TOR.

Les chercheurs ont également découvert que Pallas «se cachait dans plusieurs applications censées être Adobe Flash Player et Google Play Push pour Android».

Peu sophistiqué mais efficace

En fin de compte, les techniques utilisées par Dark Caracal sont très courantes et ne peuvent pas être considérées comme particulièrement sophistiquées. Malgré cela, cette campagne de piratage nous rappelle clairement qu'en 2018, la cyber-guerre sera probablement à la fois très prolifique et une menace mondiale. Les outils pour effectuer ce type de piratage ont été pollinisés d'un acteur d'État à l'autre, et les capacités effrayantes qu'ils accordent aux pirates se traduisent par une pénétration sévère contre laquelle même l'authentification à deux facteurs ne peut pas protéger les utilisateurs contre.

Comme c'est toujours le cas, nous vous recommandons d'être très prudent lors de l'ouverture des messages. L'hameçonnage par ingénierie sociale est conçu pour vous attirer - alors réfléchissez bien avant de cliquer sur un lien. De plus, si vous avez besoin d'une application, assurez-vous toujours de vous rendre dans une boutique d'applications officielle, car cela réduira considérablement vos chances de terminer avec une application infectée. Enfin, il est également rappelé aux utilisateurs du réseau privé virtuel (VPN) de faire très attention d'où ils obtiennent leur logiciel VPN, en veillant toujours à l'obtenir auprès d'une source légitime..

Les opinions sont celles de l'auteur.

Crédit image titre: Ink Drop / Shutterstock.com

Crédits image: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me