Un cheval de Troie a été retrouvé en 2018 chez au moins une dizaine d’organisations en France. Cette campagne d’espionnage serait l’œuvre « d’un groupe d’adversaires basés au Maroc ».
Un fournisseur national d’électricité, un groupe hospitalier, un constructeur automobile, une banque, un opérateur aéroportuaire, une société de chemins de fer, des laboratoires nucléaires, des spécialistes du transport, etc. D’après le journaliste Brian Krebs, plusieurs organisations françaises opérant des infrastructures critiques ont été piratées en 2018 au moyen d’un cheval de Troie baptisé « njRAT », qui permet d’installer des portes dérobées et d’accéder à distance aux ordinateurs infectés. Ce malware a été découvert pour la première fois en 2013 et a été utilisé de nombreuses fois dans des pays du Moyen-Orient.
Les attaques en France ont été détectées par les analystes de la société de sécurité Hyas, qui ont immédiatement alerté les autorités françaises. Faute de réponse de leur part, ils ont alors décidé de neutraliser les serveurs de commande et contrôle (C&C) utilisés par les pirates en procédant à une redirection DNS (« DNS sinkhole »). Malheureusement, cette stratégie de défense ne permet pas de désinfecter les ordinateurs ciblés. Hyas souligne, à ce titre, que des appareils infectés ont toujours cherché à se connecter aux serveurs C&C fin 2019, alors que les organisations ont été alertées. Ce manque de réaction est dommage.
La piste de l’adresse e-mail
Cette campagne de piratage n’a ciblé de que peu d’organisations en dehors l’Hexagone. Notre pays était donc très probablement son principal objectif. Par ailleurs « les domaines associés à cette campagne étaient très probablement contrôlés par un groupe d’adversaires basés au Maroc », a précisé Hyas. En effet, l’une des adresses e-mail utilisées pour l’enregistrement d’un des serveurs DNS de l’infrastructure des pirates était justement liée à une entreprise marocaine. Cette piste mène vers un certain Yassine Algangaf, alias Yassine Majidi, alias « Fatal.001 ». Il s’agit d’un expert en sécurité informatique qui a déjà reçu des récompenses par le passé pour avoir trouvé des failles dans les logiciels d’Apple, de Dell ou de Microsoft. En 2014, il a également réalisé un tutoriel sur un logiciel de piratage qu’il a développé lui-même.
M. Algangaf serait-il le cerveau de cette campagne de piratage ? A ce stade, il est difficile de l’affirmer. Lui, en tous les cas, réfute ces accusations. Il explique que son compte e-mail avait été piraté en 2017, ce qui expliquerait son utilisation frauduleuse. Par ailleurs, il ne serait absolument pas intéressé par les activités illégales.
Source : 01net