Six comptes de réseaux sociaux redirigeaient les soldats vers trois applications infectées par des logiciels malveillants. Une technique utilisée à plusieurs reprises par des groupes de pirates.
Des membres du Hamas se sont fait passer pour de jeunes adolescentes afin d’inciter les soldats israéliens à installer des applications infectées par des logiciels malveillants sur leurs smartphones, a déclaré aujourd’hui un porte-parole des forces de défense israéliennes. Certains soldats sont tombés dans le piège, mais l’armée israélienne a déclaré avoir détecté les infections, traqué les logiciels malveillants, puis démantelé l’infrastructure de piratage du Hamas.
L’armée israélienne a déclaré que les agents du Hamas ont créé des comptes Facebook, Instagram et Telegram et ont ensuite contacté les soldats israéliens. Selon le porte-parole de l’armée, le Brigadier Général Hild Silberman, les agents du Hamas se sont fait passer pour de nouveaux immigrants israéliens afin d’excuser leur manque de connaissance de l’hébreu.
Incitation a télécharger des applications vérolées
Les enquêteurs militaires ont déclaré avoir suivi 6 comptes utilisés dans cette campagne d’ingénierie sociale. Ces comptes s’appelaient respectivement Sarah Orlova, Maria Jacobova, Eden Ben Ezra, Noa Danon, Yael Azoulay et Rebecca Aboxis. Les soldats qui ont engagé des conversations avec les utilisateurs de ces comptes ont été incités à installer l’une des trois applications de chat, appelées Catch & See, Grixy et Zatu, sous la promesse d’obtenir davantage de photos.
Hild Silberman a déclaré que les applications donnaient l’impression de ne pas fonctionner sur les téléphones des soldats en affichant un message d’erreur. Les applications faisant ensuite croire à l’utilisateur que l’application se désinstallait d’elle-même.
APT-C-23 à la manoeuvre
Cependant, l’application continuait à fonctionner en arrière-plan. Les applications malveillantes exfiltraient alors des photos, des SMS, des contacts, et d’autres données. Les applications pouvaient également installer d’autres logiciels malveillants sur l’appareil, suivre la localisation géographique du téléphone en temps réel, et même prendre des captures d’écran via l’appareil photo du téléphone. La société israélienne de cybersécurité Check Point a attribué les souches de logiciels malveillants utilisées à un groupe qu’elle traque sous le nom de code APT-C-23, actif depuis l’été 2018.
Un précédent en 2017
C’est la deuxième fois que des agents du Hamas mènent une campagne de cette nature sur les réseaux sociaux afin de tromper les soldats de l’armée israélienne pour qu’ils installent des logiciels malveillants sur leurs appareils. Ils avaient déjà essayé cette tactique en janvier 2017.
Les agents du Hamas ont fait preuve d’audace lors de leur campagne suivante, à l’été 2018, en dissimulant des logiciels malveillants dans des applications Android de rencontres et de sport qu’ils ont réussi à télécharger sur la boutique officielle de Google Play [1, 2]. Cette campagne aurait fait des centaines de victimes dans le monde entier.
Le Hezbollah (un parti politique islamiste et un groupe militant basé au Liban) a également eu recours à la tactique consistant à utiliser les profils de jeunes femmes séduisantes sur les réseaux sociaux afin de tromper les responsables militaires et les soldats occidentaux pour qu’ils installent des logiciels malveillants sur leurs appareils.
Le Hezbollah utilise aussi ce procédé
En octobre 2018, les services de renseignements tchèques ont fermé les serveurs utilisés par le Hezbollah dans l’une de ces opérations de piratage mobile. Ils n’ont toutefois pas dit qui était visé par la campagne, mais seulement qu’elle se déroulait depuis plus d’un an. On considère généralement comme une opération de sécurité (OpSec) manquée le que des soldats utilisent des appareils personnels lorsqu’ils sont déployés sur le terrain. Par exemple, le Pentagone ordonne aux troupes américaines déployées au Moyen-Orient de laisser les smartphones personnels à la maison.