Un acteur menaçant basé à Gaza a été associé à une série de cyberattaques visant des organisations israéliennes du secteur privé de l’énergie, de la défense et des télécommunications.
Microsoft, qui a révélé les détails de cette activité dans son quatrième rapport annuel sur la défense numérique, suit la campagne sous le nom Tempête-1133.
« Nous estimons que ce groupe œuvre pour promouvoir les intérêts du Hamas, un groupe militant sunnite qui est de facto l’autorité gouvernementale dans la bande de Gaza, car les activités qui lui sont attribuées ont largement affecté les organisations perçues comme hostiles au Hamas », a indiqué la société.
Les cibles de la campagne comprenaient des organisations des secteurs israéliens de l’énergie et de la défense et des entités fidèles au Fatah, un parti politique nationaliste palestinien et social-démocrate dont le siège est en Cisjordanie.
Les chaînes d’attaques impliquent un mélange d’ingénierie sociale et de faux profils sur LinkedIn qui se font passer pour des responsables des ressources humaines, des coordinateurs de projet et des développeurs de logiciels israéliens pour contacter et envoyer des messages de phishing, effectuer des reconnaissances et transmettre des logiciels malveillants aux employés d’organisations israéliennes.
Microsoft a déclaré avoir également observé Storm-1133 tenter d’infiltrer des organisations tierces ayant des liens publics avec des cibles israéliennes d’intérêt.
Ces intrusions sont conçues pour déployer des portes dérobées, ainsi qu’une configuration permettant au groupe de mettre à jour dynamiquement l’infrastructure de commande et de contrôle (C2) hébergée sur Google Drive.
« Cette technique permet aux opérateurs de garder une longueur d’avance sur certaines défenses statiques basées sur les réseaux », a noté Redmond.
Cette révélation coïncide avec une escalade du conflit israélo-palestinien, qui s’est accompagnée d’une recrudescence des violences. opérations hacktivistes malveillantes tel que Fantômes de Palestine qui visent à faire tomber les sites Web et les systèmes informatiques gouvernementaux en Israël, aux États-Unis et en Inde.
« Environ 70 incidents au cours desquels des groupes hacktivistes asiatiques ciblent activement des pays comme Israël, l’Inde et même la France, principalement en raison de leur alignement avec les États-Unis », Falconfeeds.io dit dans un post partagé sur X (anciennement Twitter).
Cette évolution survient également alors que les menaces des États-nations sont passées des opérations destructrices et perturbatrices aux campagnes d’espionnage à long terme, les États-Unis, l’Ukraine, Israël et la Corée du Sud devenant parmi les pays les plus ciblés en Europe, au Moyen-Orient et au Nord. Régions Afrique (MENA) et Asie-Pacifique.
« Les acteurs étatiques iraniens et nord-coréens font preuve d’une sophistication accrue dans leurs cyberopérations, commençant dans certains cas à réduire l’écart avec les cyberacteurs étatiques tels que la Russie et la Chine », a déclaré le géant de la technologie.
Ce savoir-faire évolutif est attesté par l’utilisation récurrente d’outils personnalisés et de portes dérobées – par exemple MischiefTut de Mint Sandstorm (alias Charming Kitten) – pour faciliter la persistance, l’évasion de la détection et le vol d’informations d’identification.
