Archives du mot-clé Syrie

Casper : un autre malware fabriqué en France ?

Via NEXTINpact, Motherboard :

Le retour de la french-touch ? Les chercheurs sécu de chez ESET ont, avec l’aide de personnes de GDATA et du CERT Luxembourg, analysé un malware baptisé Casper qui montre des similitudes (codes et formats d’identifiants communs) avec Babar et une autre bestiole baptisée NBOT.

Ici le public visé par le malware serait de nationalité syrienne : deux zero-days affectant le playeur Flash ont été placées sur un site du gouvernement syrien dans le but d’installer l’exécutable Casper sur les machines des visiteurs.
L’exploitation de ce site qui permet aux syriens de demander des dédommagements liés aux destructions de la guerre civile ne serait pas une fin en soit : le site aurait été choisi principalement car considéré de confiance par le public visé et aussi car vulnérable (ayant subit des intrusions par le passé) ce qui en faisait un relais idéal pour installer le malware.
Il est supposé que les victimes aient été hameçonnées via mail (ou autre) pour visiter la page malicieuse.

Malgré l’utilisation de deux 0-days, le malware Casper installé semble disposer de fonctionnalités assez basique : renvoi d’un rapport identifiant le poste infecté, détection d’antivirus, droppeur.
Son rôle principal est principalement de pouvoir déterminer si la personne vérolée est d’intérêt pour des attaques plus poussées.

Le groupe supposé français derrière ces attaques est déjà surnommé Animal-Farm.

eBay et PayPal (.co.uk) défacés par la SEA

Via ZDNet :

L’Armée Electronique Syrienne (SEA) a défacé les sites britanniques de eBay et PayPal
La technique ? Il s’agirait d’un détournement de DNS (via phishing et SE ?). Du coup les internautes qui se sont connectés à paypal.co.uk en sécurisé (https) obtenaient un avertissement concernant le mauvais certificat du site.

Depuis le compte Twitter de la SEA a visiblement été fermé.

La SEA over-d0xed

Des gigas et des gigas de données, c’est ce qui ressort du leak suite au piratage du site de la SEA (Armée Electronique Syrienne).
Pas uniquement les données provenant de ce serveur mais surtout les données extraites des comptes liés puisque ces soit-disant hackers utilisaient le même password pour leur GMail/Hotmail, Facebook, Twitter, Dropbox et tout le tralala…

C’est à lire sur Reflets.infos et aussi chez Krebs.

La Syrian Electronic Army doxed

La SEA (Armée Electronique Syrienne) qui a récemment détourné les DNS du NY Times a fait les frais de son incompétence à protéger ses anciens sites Internet.

Ainsi en se basant sur un leak de comptes enregistrés sur un vieux site de la SEA, Brian Krebs et le site Vice.com ont remonté les identités de deux hackers qui s’affichent ouvertement comme pro-Assad sur les réseaux sociaux.

On peut s’attendre à de nouvelles révélations d’ici les jours qui viennent…

Syrie : après Reuters, c’est Al-Jazeera qui est détourné

Via TheRegister :

L’Armée Electronique Syrienne pro-Assad a encore frappé. Après le détournement de Reuters, c’est Al-Jazeera qui a fait les frais de leurs attaques : leur système d’alerte SMS a été pénétré pour diffuser de fausses informations comme une tentative d’assassinat du premier ministre du Qatar.

Ce n’est pas la première fois que Al-Jazeera est la cible d’attaques pro-Assad.

Reuters piraté

Via ZDNet :

Le blog de l’agence Reuters a été piraté. Les intrus ont publié la fausse interview d’un chef rebelle syrien qui affirmait qu’ils ont du se retirer de la province de Aleppo suite aux attaques de l’armée syrienne, faits qui n’ont jamais été avérés.
Ou quand le hack se mélange à la désinfo…