Activité de piratage dans la bande de Gaza et la Cisjordanie se sont intensifiées ces dernières années alors que les partis politiques palestiniens rivaux se disputent, le conflit israélo-palestinien se poursuit et les pirates palestiniens s’implantent de plus en plus sur la scène mondiale. Maintenant, Facebook a découvert deux campagnes d’espionnage numérique en Palestine, actives en 2019 et 2020, qui exploitaient une gamme d’appareils et de plates-formes, y compris des logiciels espions uniques qui ciblaient iOS.

Les groupes, qui ne semblent pas liés, semblent avoir été à contre-courant. Mais tous deux ont utilisé des plateformes de médias sociaux comme Facebook comme points de départ pour se connecter avec des cibles et lancer des attaques d’ingénierie sociale pour les guider vers des pages de phishing et d’autres sites Web malveillants.

Les chercheurs associent un groupe d’attaquants au Service de sécurité préventif de Palestine, un groupe de renseignement sous l’égide du parti au pouvoir en Cisjordanie, le Fatah. Dans cette campagne, le groupe a principalement ciblé les territoires palestiniens et la Syrie, avec des activités supplémentaires en Turquie, en Irak, au Liban et en Libye. Les hackers semblaient largement concentrés sur les attaques contre les droits humains et les militants anti-Fatah, les journalistes et des entités comme l’armée irakienne et l’opposition syrienne.

L’autre groupe, l’acteur de longue date Arid Viper, qui a été associé au Hamas, s’est concentré sur des cibles en Palestine comme les membres du parti politique du Fatah, les représentants du gouvernement, les forces de sécurité et les étudiants. Arid Viper a mis en place une infrastructure d’attaque étendue pour ses campagnes, y compris des centaines de sites Web qui ont lancé des attaques de phishing, hébergé des logiciels malveillants iOS et Android, ou fonctionnaient comme des serveurs de commande et de contrôle pour ce logiciel malveillant.

«Pour perturber ces deux opérations, nous avons supprimé leurs comptes, publié des hachages de logiciels malveillants, bloqué des domaines associés à leur activité et alerté les personnes qui, selon nous, étaient ciblées par ces groupes pour les aider à sécuriser leurs comptes», Mike, responsable des enquêtes sur le cyberespionnage de Facebook. Dvilyanski et le directeur de la perturbation des menaces, David Agranovich, ont écrit dans un article de blog mercredi. «Nous avons partagé des informations avec nos partenaires du secteur, y compris la communauté antivirus, afin qu’ils puissent eux aussi détecter et arrêter cette activité.»

Gracieuseté de Facebook

Le groupe lié au Service de sécurité préventive était actif sur les réseaux sociaux et utilisait à la fois des comptes faux et volés pour créer des personnages, représentant souvent des jeunes femmes. Certains des comptes prétendaient soutenir le Hamas, le Fatah ou d’autres groupes militaires et se faisaient parfois passer pour des militants ou des journalistes dans le but de nouer des relations avec des cibles et de les inciter à télécharger des logiciels malveillants.

Le groupe a utilisé à la fois des logiciels malveillants standard et son propre logiciel espion Android se faisant passer pour une application de chat sécurisée pour cibler les victimes. L’application de chat a collecté les journaux d’appels, l’emplacement, les informations de contact, les messages SMS et les métadonnées de l’appareil. Il comprenait également parfois un enregistreur de frappe. Les attaquants ont également utilisé des logiciels malveillants Android et Windows accessibles au public. Et les chercheurs ont vu des preuves que les attaquants avaient créé une fausse plateforme de gestion de contenu pour Windows qui ciblait les journalistes qui voulaient soumettre des articles pour publication. L’application ne fonctionnait pas réellement, mais était livrée avec des logiciels malveillants Windows.