Un acteur menaçant basé à Gaza a été associé à une série de cyberattaques visant des organisations israéliennes du secteur privé de l’énergie, de la défense et des télécommunications.
Microsoft, qui a révélé les détails de l’activité dans son quatrième rapport annuel Rapport sur la défense numériquesuit la campagne sous le nom Tempête-1133.
« Nous estimons que ce groupe œuvre pour promouvoir les intérêts du Hamas, un groupe militant sunnite qui est de facto l’autorité gouvernementale dans la bande de Gaza, car les activités qui lui sont attribuées ont largement affecté les organisations perçues comme hostiles au Hamas », a indiqué la société.
Les cibles de la campagne comprenaient des organisations des secteurs israéliens de l’énergie et de la défense et des entités fidèles au Fatah, un parti politique nationaliste palestinien et social-démocrate dont le siège est en Cisjordanie.
Les chaînes d’attaques impliquent un mélange d’ingénierie sociale et de faux profils sur LinkedIn qui se font passer pour des responsables des ressources humaines, des coordinateurs de projet et des développeurs de logiciels israéliens pour contacter et envoyer des messages de phishing, effectuer des reconnaissances et transmettre des logiciels malveillants aux employés d’organisations israéliennes.
Microsoft a déclaré avoir également observé Storm-1133 tenter d’infiltrer des organisations tierces ayant des liens publics avec des cibles israéliennes d’intérêt.
Ces intrusions sont conçues pour déployer des portes dérobées, ainsi qu’une configuration permettant au groupe de mettre à jour dynamiquement l’infrastructure de commande et de contrôle (C2) hébergée sur Google Drive.
« Cette technique permet aux opérateurs de garder une longueur d’avance sur certaines défenses statiques basées sur les réseaux », a noté Redmond.
Cette évolution intervient alors que les menaces des États-nations sont passées des opérations destructrices et perturbatrices aux campagnes d’espionnage à long terme, les États-Unis, l’Ukraine, Israël et la Corée du Sud devenant parmi les pays les plus ciblés en Europe, au Moyen-Orient et en Afrique du Nord. (MENA) et les régions Asie-Pacifique.
« Les acteurs étatiques iraniens et nord-coréens font preuve d’une sophistication accrue dans leurs cyberopérations, commençant dans certains cas à réduire l’écart avec les cyberacteurs étatiques tels que la Russie et la Chine », a déclaré le géant de la technologie. dit.
Ce savoir-faire évolutif est attesté par l’utilisation récurrente d’outils personnalisés et de portes dérobées – par exemple MischiefTut de Mint Sandstorm (alias Charming Kitten) – pour faciliter la persistance, l’évasion de la détection et le vol d’informations d’identification.