Posté le juillet 15, 2022 à 8:47
DES HACKERS PAKISTANAIS ATTAQUENT UNE CHAÎNE INDIENNE EN RÉPONSE À DES REMARQUES BLASPHÉMATOIRES
La tension entre le Pakistan et l’Inde a été mise en ligne après que des hackers Pakistanais aient infiltré la chaîne d’information indienne YouTube, Tines8, pendant leur diffusion en direct. Au cours de l’incident, un drapeau Pakistanais est apparu sur la chaîne, avec l’inscription « Respectez le Saint Prophète (PBUH) » dans les tickers du flux en direct.
Cette décision intervient alors que les Musulmans de toute l’Asie protestaient à la suite de remarques blasphématoires sur le Saint Prophète Mahomet, attribuées à un responsable du parti au pouvoir en Inde, le BJP. La situation a encore déchiré les liens diplomatiques entre les deux pays.
Plus de 20 pays ont depuis lors convoqué leurs ambassadeurs Indiens, tandis que le parti a entrepris de limiter les dégâts en retirant le responsable de ses membres.
La branche d’Al-Qaida dans le sous-continent Indien (AQIS) a également réagi aux remarques désobligeantes, menaçant de commettre des attentats-suicides dans les États Indiens. En réponse à cette menace, New Delhi a renforcé la sécurité suite à des informations selon lesquelles AQIS pourrait attaquer la capitale, Pradesh, Mumbai, Gujarat et Uttar.
Des hackers Pakistanais et Indiens dans un cyber-affrontement
Des hackers Pakistanais et Indiens ont été impliqués dans une série de face-à-face ces derniers temps. Le groupe APT (Advanced Persistent Menace) appelé Transparent Tribe a été accusé d’une campagne de hameçonnage en cours qui cible les étudiants de divers établissements d’enseignement en Inde. Des rapports ont révélé que la campagne a commencé en décembre 2021.
Les chercheurs en sécurité de Cisco Talos ont déclaré que la nouvelle campagne de l’APT pourrait être en train d’étendre activement son réseau de victimes, qui comprendra des utilisateurs civils.
Le groupe APT a également été repéré sous différents pseudonymes, notamment Mythic Leopard, PROJECTM, Operation C-Major et APT36. Cisco Talos a révélé que le groupe est soupçonné d’être originaire du Pakistan et qu’il s’est attaqué à des groupes de réflexion et à des agences gouvernementales en Afghanistan et en Inde en utilisant des logiciels malveillants personnalisés tels que CapraRAT, ObliqueRAT et CrimsonRAT.
Le groupe APT se tourne vers d’autres cibles
Cependant, le fait que le groupe ait récemment ciblé des étudiants et des établissements d’enseignement montre qu’il s’écarte de sa cible habituelle et cherche à explorer d’autres domaines. La nouvelle cible a été découverte pour la première fois par K7 Las, basé en Inde, en mai 2022.
« Le dernier ciblage du secteur de l’éducation peut s’aligner sur les objectifs stratégiques d’espionnage de l’État-nation », ont déclaré les chercheurs. Ils ont ajouté qu’ils ciblent désormais régulièrement des individus dans des instituts de recherche technique et des universités afin de maintenir un accès à long terme pour voler des données liées à des projets de recherche en cours.
Cisco Talos a également documenté les chaînes d’attaque du groupe de menace et a découvert qu’ils livrent un maldoc aux systèmes ciblés par le biais d’un lien ou d’une pièce jointe à un e-mail. Ils le font par le biais d’un mail de spear-phishing, qui peut aboutir au déploiement de CrimsonRAT.
Les chercheurs ont ajouté que l’APT s’efforce rigoureusement d’atteindre ses objectifs par le biais de techniques d’ingénierie sociale en trompant ses victimes pour qu’elles s’infectent elles-mêmes.
Le groupe conçoit ses e-mails de manière à ce qu’ils ressemblent exactement aux e-mails de grandes entreprises authentiques que les cibles connaissent peut-être. Il fait tout son possible pour fournir un contenu qui semble important et urgent à la cible, ce qui peut l’inciter à agir comme le groupe le souhaite. Une fois que les cibles ont ouvert la pièce jointe ou cliqué sur le lien, le groupe APT introduit le logiciel malveillant dans leurs appareils. Et malheureusement, ce logiciel malveillant est conçu pour échapper aux contrôles de sécurité. Cela signifie qu’ils pourraient infecter le système à l’insu de l’utilisateur.
CrimsonRAT, également appelé Scarimson et SEEDOOR, est l’implant de choix du groupe APT pour mettre en place une voie d’accès à long terme dans le réseau de la victime. Le logiciel malveillant peut rester caché pendant plusieurs mois tout en volant des données et en les envoyant au panneau de contrôle (C2) du hacker.
Le logiciel malveillant est doté d’une capacité de contrôle à distance
Les chercheurs ont également souligné que le logiciel malveillant possède une architecture modulaire qui permet aux acteurs de la menace de contrôler à distance l’appareil ou le système affecté. Il possède plusieurs autres capacités, notamment la capture de captures d’écran, l’enregistrement des frappes au clavier, le vol des informations d’identification du navigateur et l’exécution de commandes arbitraires.
Pour donner l’impression que les documents sont authentiques, plusieurs d’entre eux sont hébergés sur des domaines liés à l’éducation, enregistrés depuis juin dernier. Comme on pouvait s’y attendre, l’infrastructure est gérée et exploitée par un fournisseur de services d’hébergement Web Pakistanais connu sous le nom de Zain Hosting.
Les chercheurs ont déclaré que le rôle joué par Zain Hosting dans le groupe ATP Transparent Tribe n’est pas clair. Cependant, il pourrait s’agir de l’un des nombreux tiers que le groupe utilise pour mener à bien ses activités de piratage. On ne sait pas non plus dans quelle mesure le domaine a été impliqué dans les activités du groupe.