Un incident de sécurité ? Faites-vous assister : 01 47 28 38 39

Cet article traite du sujet encore méconnu que sont les menaces cyber au sein de l’écosystème arabophone Elles peuvent se décliner sous différentes formes (groupe de pirates, vente de malware, de campagnes de phishing sur mesure, de fraude bancaire ou de contrefaçons) et proviennent d’acteurs locaux motivés par des facteurs divers. Cette étude vise à démontrer que ces menaces peuvent avoir une répercussion sur les entreprises implantées dans la région du Moyen-Orient et de l’Afrique du Nord (MENA).

Totalisant plus de 420 millions d’habitants et une économie de plus de 2400 milliards d’euros, la région du Moyen-Orient et Afrique du Nord (MENA), englobe 22 [1] pays partageant la même langue, ainsi que des similitudes ethniques, religieuses et culturelles. Ces pays présentent néanmoins de grandes hétérogénéités d’un point de vue démographique, politique, linguistique, économiques ainsi que de grandes disparités aussi bien au sein même de la région qu’avec les autres pays.

De manière générale, les entreprises opérantes dans la région du Moyen-Orient et de l’Afrique du Nord se réjouissent de leurs implantations, cette région est tirée par une importante dynamique de croissance.  Le grand potentiel de croissance de la région se caractérise par sa diversification économique en cours. Son développement est porté par une stratégie de modernisation de secteurs traditionnels, et de développement de secteurs porteurs d’avenir. Cette variété constitue un atout majeur et un véritable attrait pour les entreprises étrangères.

En comparant les infrastructures Internet mises en place ainsi que l’importance des entreprises de télécommunication [2], on constate d’importantes disparités au sein de l’espace cyber de la région MENA. A cet égard, l’Afrique du nord semble être dotée d’un bien meilleur réseau que le Moyen-Orient.

Avec la numérisation croissante des entreprises implantées dans la région du Moyen-Orient et de l’Afrique du Nord, celles-ci sont confrontées à des menaces cyber variées telles que les attaques APT (menaces persistantes avancées), le cyber-activisme, le cyber-espionnage, la fraude numérique. Par ailleurs, nous avons également constaté quelques attaques de type phishing ou encore les attaques utilisant des ransomwares, des spywares, etc.  Elles semblaient être privilégiées par les attaquants opérant dans cette région.

Après plus de deux années consacrées à l’observation et à l’analyse de l’écosystème arabophone sur les réseaux malveillants du Web, notre cellule de Cyber Threat Intelligence a décidé de partager ses observations et de rendre compte de la diversité des techniques, modes opératoires, motivations et fonctionnements de ce microcosme. A la lumière de ces éléments, nous détaillerons les risques encourus par les entreprises présentes dans la région (MENA).

Notre cellule de veille, et dans le cadre d’accompagnement quotidien de ses clients, a détecté des menaces d’acteurs offensifs originaires du Moyen-Orient portant sur tout type de menaces visant des organismes Européens, principale implantation économique de notre cellule : fuite d’identifiants collaborateurs, préparation d’attaques DDoS (Attaque par déni de service), phishing, usurpation de marque, atteinte à l’image et dénigrement, fraudes, etc.

 

Les APT

 

La zone MENA est historiquement une zone sensible dans tous les domaines y compris cyber. Les entreprises implantées dans la région de même que les gouvernements locaux sont des cibles privilégiées par de nombreuses catégories d’acteurs, dont des auteurs d’APT (Advanced Persistent Threat).

Les conflits politiques et militaires au Moyen-Orient font écho sur la scène Cyber de la région. Ainsi, en 2010, le projet nucléaire iranien fut la cible d’une attaque sans précédent, visant les centrifugeuses d’enrichissement d’uranium. Cet évènement est associé à la découverte du premier malware permettant d’espionner et de modifier les systèmes industriels, notamment les systèmes SCADA, utilisés pour le contrôle de procédés industriels. Baptisé Stuxnet, ce malware a été décrit par les experts comme une « cyber-arme » disposant d’une complexité inhabituelle.

Le conflit saoudo-iranien au Moyen-Orient serait, quant à lui, un catalyseur des cyberattaques dans la région. En effet, l’Arabie saoudite est une cible fréquente d’attaques informatiques, en témoigne le malware Shamoon, qui avait notamment visé le secteur de l’énergie en 2012, et les secteurs public et financier en 2016. Par ailleurs, la dernière analyse de l’entreprise de cybersécurité FireEye, datée de septembre 2017, précise que le groupe de pirates, auteur de Shamoon, aurait des liens présumés avec le gouvernement iranien. Baptisé APT33, et actif depuis 2013, le groupe serait derrière des cyberattaques visant le secteur de l’énergie en Arabie Saoudite. En Juillet 2017, c’est au tour du Qatar d’accuser les Emirats Arabes Unis d’être à l’origine du piratage de son agence de presse officielle (QNA) au mois de mai 2017, ce qui a provoqué une profonde crise diplomatique et commerciale dans la région du Golfe depuis plus d’un an.

Enfin, un autre groupe, connu sous le nom de « Desert Falcons », et actif depuis 2011, ciblerait de nombreuses grandes entreprises et personnalités au Moyen-Orient. Les experts considèrent ce groupe comme le premier groupe élaborant et menant des opérations de cyber-espionnage à grande échelle. Leur activité aurait déjà fait 3 000 victimes dans une cinquantaine de pays. La liste des institutions visées comprendrait des agences de défense et des administrations, en particulier des responsables de la lutte contre le blanchiment d’argent, des personnalités du secteur de l’économie et des médias, des établissements de recherche et d’enseignement, des réseaux d’énergie, des militants et responsables politiques, des entreprises de sécurité physique, ainsi que d’autres cibles en possession d’informations à caractère stratégique. La méthode utilisée par Desert Falcon serait le spear phishing via des emails et des réseaux sociaux.

A plus petite échelle, les offres cyber-malveillantes se diversifient grâce à des plateformes sur lesquelles n’importe quel particulier peut se procurer les outils et conseils utiles à l’attaque qu’il souhaite réaliser.

Ces offres malveillantes s’intensifient de jour en jour, elles revêtent plusieurs formes, allant d’un simple service de hacking, en passant par les offres de diffusion de spam, la vente de malware et d’exploit, la vente et le partage des cartes bancaires, des pièces d’identités, et d’autres documents, ainsi que la vente des produits contrefaits. Nous essayerons d’illustrer des cas concrets de tous ces services.

 

L’idéologie : Un catalyseur pour les acteurs malveillants

 

ALALAMIYA, Dev-Point ou encore SOQOR, sont les noms des forums les plus populaires dédiés au hacking dans la région MENA. Une activité de piratage empreinte par un sentiment de fraternité et de cordialité dans les échanges. Sur ces forums, nous retrouvons également des sections idéologiques [Figures 1 et 2].

Figure 1 : Un message d’un pirate expliquant ses motivations sur le forum AlAlamiya

Figure 2 : Un message appelant les membres du forum Soqor à enrichir la section religion du forum

 

La vente des malwares : Un business à part entière

 

Les vecteurs de financement

La vente de logiciels malveillants est une activité très répandue au sein des communautés arabophones. Naturellement, on peut trouver sur les forums arabophones des présentations de tout type de logiciels malveillants, avec des liens de téléchargement, des tutoriels ainsi que des salons de discussion pour résoudre d’éventuels problèmes techniques. A titre d’exemple, le ransomware WannaCry, utilisé lors d’une cyberattaque mondiale massive en mai 2017, et qui a touché plus de 300000 ordinateurs dans plus de 150 pays, est en vente sur un forum arabophone depuis mai 2017 [Figure 3].

Figure 3 : Le ransomware WannaCry est en vente sur le forum AlAlamiya

Au sein de ce même forum, des membres proposent également des exploitations à la vente (des programmes permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique). Dans notre exemple, le vendeur fournit également une vidéo qui explique le fonctionnement et démontre la validité du kit. [Figure 4].

Figure 4 : « exploit » en vente sur le forum Hack-int pour 115$ sur le forum AlAlamiya

Un autre membre propose un malware permettant d’injecter l’adresse bitcoin du pirate à la place de l’adresse de paiement légitime de la transaction. L’auteur de cette annonce explique que son outil permettrait de détecter les adresses bitcoins dans le presse-papier, au moment de l’action « copier », et remplace l’adresse bitcoin « collée » par celle du pirate. [Figure 5].

Figure 5 : Un malware pour voler la crypto-monnaie Bitcoin, en vente pour 30$ sur le forum AlAlamiya

Nous avons également observé une nouvelle tendance, se généralisant dans la communauté arabophone : le développement d’outils malveillants par des acteurs locaux, et leur promotion sur certaines communautés arabophones. C’est le cas d’un Spyware (logiciel espion), baptisé Spynote et conçu par les administrateurs du forum iraquien IQ-Team, [Figure 6] récemment fermé. Ce Spyware local est devenu très populaire grâce à ses performances techniques et sa documentation partagée publiquement par ses auteurs. Spynote, qui n’a pas besoin d’un accès physique à l’appareil de la victime, et vise les appareils Android, serait capable de consulter tous les messages sur les différentes applications des réseaux sociaux (WhatsApp, Messenger, Viber, etc.), de consulter les sms, d’écouter les conversations, d’accéder aux données et d’installer des applications. Son accessibilité et sa facilité d’utilisation (même pour un utilisateur non technique) explique sa large diffusion au sein des communautéx cyber arabophones. La cinquième version de ce spyware était disponible sur le forum iraquien jusqu’à sa fermeture, et reste disponible sur plusieurs forums arabophones et anglophones, en téléchargement gratuit. Ce malware est déjà bien connu, et fait l’objet de plusieurs analyses : https://researchcenter.paloaltonetworks.com/2016/07/unit42-spynote-android-trojan-builder-leaked/

Figure 6 : Le forum iraquien iq-team avant sa fermeture

Figure 7 : La chaine officielle du forum iraquien iq-team sur Youtube : une vidéo qui explique le fonctionnement du spyware

Figure 8 : Le spyware iraquien en téléchargement sur un site Web anglophone

 

Sur le bazar numérique, un choix entre du « Phishing as a Service » ou du « Phishing sur mesure »

 

Le phishing est une autre spécialité des acteurs de la région. Dans la majorité des sections e-commerce des forums malveillants arabophones, des vendeurs proposent des pages de phishing sur-mesure ou visant des sites mondialement connus, moyennant une somme d’environ 30 dollars [Figure 9].

Figure 9 : Service de phishing sur le forum AlAlamiya

D’autres acteurs ont préféré mettre en place des sites web spécialisés exclusivement dans le phishing. Ces acteurs proposent, via leurs sites, des centaines de pages de phishing visant de très grandes entreprises, telles que Facebook, Paypal ou encore Netflix, mais aussi des entreprises françaises, spécialisées dans les télécommunications. Ces pages sont générées par les acteurs malveillants et mises en ligne gratuitement sur leurs sites pour le grand public [Figure 10]. Une fois enregistré sur leur site, n’importe quel internaute est en mesure de diffuser la page malveillante, afin de toucher plus de victimes. Les identifiants et les informations récupérées par cet intermédiaire seront ensuite envoyés via un serveur de commande et de contrôle (C&C), aux acteurs malveillants [Figure 11].

Figure 10 : Service de génération de pages de phishing sur Anomor

Figure 11 : L’espace client (pirate) du service de génération de pages de phishing Anomor

L’écosystème arabophone est également marqué par les menaces cyber relatives à la fraude, comme la mise à disposition de faux papiers, ainsi que la revente de données personnelles ou de cartes bancaires. Mais les acteurs arabophones ne s’intéressent pas aux cartes bancaires ou aux faux papiers locaux. En effet, le schéma de fraude habituel ne permet pas l’utilisation de données dérobées dans la région MENA, car, dans certains pays arabes, les moyens de paiement électroniques ne sont pas suffisamment développés pour être massivement utilisés. Cette situation se reflète sur le nombre de sites e-commerces arabophones, qui reste disproportionné par rapport au nombre d’habitants.

 

Fraude bancaire : pourquoi se cacher ?

 

Afin de répondre à cette forte demande, des sections sur les forums malveillants ont été créées pour organiser ce commerce. Certains forums et communautés sont plus audacieux, et sont prêts à négliger leur anonymat pour se mettre en avant sur des réseaux sociaux.

Dans cette conjoncture, le commerce des cartes bancaires et des faux papiers étrangers s’est développé rapidement. L’activité la plus répondue est l’achat de matériels informatique via les cartes bancaires dérobées ou la revente de ces cartes bancaires.

Figure 12 : vente de 47 cartes bancaires françaises sur le forum AlAlamiya

Figure 13 : Partage de 6 cartes bancaires française sur le forum AlAlamiya

Figure 14 : Vente de quatre pièces d’identités françaises

Figure 15 : Vente d’identifiants de connexion d’un client d’une banque française, sur un groupe Facebook maghrébin

Figure 16 : Partage des données de cartes bancaires sur un channel arabe sur Telegram

 

La contrefaçon a pignon sur rue

 

La contrefaçon se retrouve également sur des plateformes dédiées aux petites annonces arabophones, mais il est difficile d’avoir une évaluation précise et fiable de son ampleur. En recherchant le nom d’une marque connue (du secteur du luxe par exemple) sur l’un de ces sites, on peut observer un nombre significatif d’annonces qui proposent des produits contrefaits, on peut obtenir le même résultat juste en recherchant le mot clé « contrefait » ou « contrefaçon » en arabe. A noter que la contrefaçon dans les communautés arabophones touche tous les secteurs.  Les contrefacteurs ont avant tout une stratégie opportuniste et de rentabilité et visent donc les marques les plus populaires. Nous avons également détecté plusieurs groupes sur les réseaux sociaux (Facebook, WhatsApp, Telegram, etc.), dédiés aux ventes des produits contrefaits.

 

Conclusion

La langue arabe (littéral) est la langue officielle dans la région MENA, elle est utilisée notamment dans l’administration, l’enseignement et les médias. Elle est la plus largement utilisée et comprise dans la région, même s’elle n’est pas la langue maternelle de tout lecteur de l’arabe. Cependant, chaque zone géographique détient un dialecte, qui peut être considéré comme la langue parlée du pays : le dialecte de l’Afrique du Nord ou le dialecte maghrébin, Les dialectes égyptien et levantin et le dialecte du Golfe. Les échanges entre les personnes dans les pays arabes peuvent être également en français (dans les pays où le français est la deuxième langue ex : Maroc, Algérie, Tunisie), en anglais dans le cas de l’Égypte et les pays du Golfe, ou encore en français et en anglais comme au Liban.

Chaque zone géographique de la région (MENA) possédant un dialecte propre, ainsi qu’une histoire et des spécificités particulières, il convient de les maîtriser parfaitement et indépendamment les uns des autres pour avoir une analyse et une vision globale de l’écosystème et adapter la stratégie de veille en fonction des enjeux.

Les menaces cyber à l’encontre des entreprises implantées dans la région sont peu nombreuses dans le domaine civil, ceci-dit, nous avons constaté un sérieux attachement à la religion et à l’idéologie. Les espaces d’échanges entre acteurs reflètent la nature de la société, où les sentiments de fraternité, d’appartenance religieuse et l’ennemi commun prime sur les discussions. Les entreprises basées dans la région doivent comprendre la particularité des sociétés arabes : une mauvaise communication par exemple peut engendrer des répercussions néfastes.

 

[1] Maroc, Algérie, Tunisie, Lybie, Mauritanie, Egypte, Liban, Syrie, Israël, Jordanie, Palestine, Irak, Arabie saoudite, Qatar, Yémen, Emirates arabe unis, Koweït, Oman, Soudan, Somalie, Djibouti, Iran

[2] http://www.worldbank.org/content/dam/Worldbank/document/MNA/Broadband_report/MNA_Broadband_Executive%20Summary_Arabic.pdf