Les chercheurs d’HarfangLab, dans leur objectif d’enquêter sur toutes les cyberattaques, quelle que soit leur origine, ont analysé les échantillons identifiés par IntezerLab et ont découvert un certain nombre d’autres variants provenant de la même campagne. Le vecteur d’infection s’avère donc être un e-mail usurpant l’identité de la Direction Nationale de la Cybersécurité Israélienne (INCD), envoyé le 11 février 2024. Cet e-mail explique que « l’INCD a détecté une cyberattaque majeure imminente, orchestrée par l’Iran, exploitant des vulnérabilités jusqu’ici inconnues, présentes sur les ordinateurs et smartphones personnels des citoyens ». Le mail incite alors l’utilisateur à télécharger de toute urgence des patchs de sécurité pour MacOS, iOS, Windows et Android, avec les liens macOS et iOS pointant vers un site INCD légitime.

Après s’être assurés de la possibilité d’infection des machines, les attaquants déroulent leurs actions malveillantes sur les machines des victimes. Un certain nombre de composants embarqués sont déployés (disséminateur de tâches programmées, wiper, fichiers JPG et vidéo). Une fois tous les fichiers déployés, le chargeur lance ensuite tous les exécutables déployés, définit l’image téléchargée comme fond d’écran de l’ordinateur, allume le son et lance la vidéo avec le lecteur par défaut. Pendant la lecture de la vidéo, un wiper s’exécute en arrière-plan et recherche tous les fichiers qu’il est possible d’écraser sur le système. Chacun de ces fichiers est alors ouvert et écrasé avec des octets aléatoires. La présence d’un logiciel destructif pour smartphones Android est également à signaler.

Les différents éléments identifiés sur cette campagne de désinformation (le titre, la signature, le célèbre emoji triangle rouge inversé, les messages et les méthodes utilisées), ainsi que la modification de la date affichée des loaders au 7 octobre 2023, la date de l’attaque du Hamas sur Israël nous amène à penser qu’un groupe APT associé au Hamas est à l’origine de cette campagne. Nos chercheurs estiment à ce jour que plusieurs dizaines de charges malveillantes ont été téléchargées.

Ivan Kwiatkowski, chercheur en cybersécurité chez HarfangLab commente : « ces découvertes confirment que les opérations militaires sont désormais systématiquement accompagnées d’une composante cyber, ici à des fins de déstabilisation. Bien que l’impact de cette campagne semble relativement limité, son existence tend à confirmer que 2024 sera une année de hautes tensions. »

Nos chercheurs ont détaillé dans leur rapport présent sur Inside the Lab les indicateurs de compromission et le détail des éléments découverts lors de cette analyse ainsi que ce qui leur permet d’attribuer avec un haut niveau de confiance que cette campagne est perpétrée par un groupe APT associé au Hamas.