Un nouveau groupe de hackers nommé Moses Staff a récemment revendiqué la responsabilité de nombreuses attaques contre des entités israéliennes, qui semblent motivées par des considérations politiques car elles ne demandent aucune rançon.
Les acteurs de la menace ont causé à plusieurs reprises des dommages aux systèmes israéliens au cours des deux derniers mois, infiltrant les réseaux et cryptant des fichiers, puis divulguant les copies volées au public.
En tant que tel, le motif apparent du groupe est de causer un maximum de perturbations opérationnelles et de dommages à ses cibles en exposant des secrets d’entreprise et d’autres informations sensibles via des sites dédiés aux fuites de données, des comptes Twitter et des canaux Telegram.
Informations accessibles au public
Les chercheurs de Check Point ont publié aujourd’hui un rapport détaillé sur le personnel de Moses, examinant les techniques, la chaîne d’infection et l’ensemble d’outils utilisés par l’acteur.
Le personnel de Moses semble utiliser des exploits accessibles au public pour des vulnérabilités connues qui ne sont toujours pas corrigées sur l’infrastructure publique.
Par exemple, le groupe de piratage cible des serveurs Microsoft Exchange vulnérables qui sont sous exploitation depuis des mois maintenant, mais de nombreux déploiements restent non corrigés.
Après avoir réussi à violer un système, les acteurs de la menace se déplaceront latéralement dans le réseau à l’aide de PsExec, WMIC et Powershell, de sorte qu’aucune porte dérobée personnalisée n’est utilisée.
Les acteurs utilisent finalement un malware PyDCrypt personnalisé qui utilise le DiskCryptor, un outil de chiffrement de disque open source disponible sur GitHub, pour chiffrer les appareils.
Source : point de contrôle
Schéma de cryptage faible
CheckPoint explique que les fichiers cryptés peuvent être restaurés dans certaines circonstances, car le schéma de cryptage utilise la génération de clé symétrique lors du cryptage des appareils.
PyDCrypt génère des clés uniques pour chaque nom d’hôte en fonction du hachage MD5 et du sel conçu. Si la copie PyDCrypt utilisée dans l’attaque est récupérée et inversée, la fonction de hachage peut être dérivée.
Source : point de contrôle
Cela est possible dans de nombreux cas où l’auto-suppression du ransomware n’a pas fonctionné ou a été désactivée dans la configuration.
En général, le personnel de Moses ne consacre pas beaucoup d’efforts à cet aspect de son opération, car son objectif principal est de semer le chaos dans l’opération israélienne ciblée et non de s’assurer que les disques cryptés sont irrécupérables.
Motivation politique
Bien que l’acteur soit nouveau par son nom, il peut avoir des liens vers « Pay2Key » ou « BlackShadow », qui ont la même motivation politique et portée du ciblage.
« En septembre 2021, le groupe de hackers Moses Staff a commencé à cibler les organisations israéliennes, rejoignant une vague d’attaques qui a été lancée il y a environ un an par les groupes d’attaque Pay2Key et BlackShadow », expliquent les chercheurs dans leur rapport.
« Ces acteurs ont agi principalement pour des raisons politiques dans le but de faire du bruit dans les médias et de nuire à l’image du pays, en exigeant de l’argent et en menant de longues négociations publiques avec les victimes. »
Le groupe a une présence vocale sur les réseaux sociaux, un site de fuite de données Tor et un canal Telegram, tous utilisés pour publier des données volées sur autant de canaux que possible afin de maximiser les dommages.
Jusqu’à présent, les analystes n’ont pas été en mesure d’attribuer le personnel de Moses à un emplacement géographique particulier ou s’il s’agit d’un groupe parrainé par l’État.
Cependant, l’un des échantillons de logiciels malveillants utilisés dans les attaques du personnel de Moses était téléchargé sur VirusTotal de Palestine quelques mois avant le début des attaques.
« Bien que ce ne soit pas une indication forte, cela pourrait trahir les origines des attaquants ; parfois, ils testent les outils dans des services publics comme VT pour s’assurer qu’ils sont suffisamment furtifs », explique Check Point.
Comme les attaques du personnel de Moses utilisent d’anciennes vulnérabilités pour lesquelles des correctifs sont disponibles, Check Point conseille à toutes les entités israéliennes de corriger leurs logiciels pour aider à prévenir les attaques.