Cyberattaque ciblée sur le secteur aéronautique des Émirats arabes unis

Une campagne de cyberespionnage sophistiquée a ciblé les secteurs de l’aviation et des communications par satellite aux Émirats arabes unis, exploitant des relations commerciales de confiance pour infiltrer des infrastructures critiques.

Des chercheurs en sécurité ont découvert une campagne de cyberespionnage sophistiquée visant les secteurs de l’aviation et des communications par satellite aux Émirats arabes unis. Cette opération, attribuée à un acteur menaçant surnommé UNK_CraftyCamel, a exploité une entreprise d’électronique indienne compromise pour diffuser un malware personnalisé, nommé Sosano, à moins de cinq organisations à l’automne 2024. Les attaquants ont utilisé des fichiers polyglottes, une technique rare permettant à un seul fichier d’être interprété comme plusieurs types de fichiers, pour contourner les mesures de sécurité traditionnelles. Cette attaque souligne l’évolution préoccupante des techniques de compromission de la chaîne d’approvisionnement, où les acteurs malveillants exploitent des relations commerciales de confiance pour infiltrer des infrastructures critiques.

L’exploitation des relations commerciales de confiance pour infiltrer des infrastructures critiques

À l’automne 2024, des chercheurs en sécurité ont mis en évidence une campagne de cyberespionnage sophistiquée ciblant les secteurs de l’aviation et des communications par satellite aux Émirats arabes unis. Cette opération, attribuée à un acteur menaçant surnommé UNK_CraftyCamel, a exploité une entreprise d’électronique indienne compromise pour diffuser un malware personnalisé à moins de cinq organisations. Les attaquants ont envoyé des messages malveillants depuis une entité compromise ayant des relations commerciales établies avec les cibles, utilisant des leurres spécifiquement adaptés à chaque victime. Ces messages contenaient des liens vers un domaine (indicelectronics[.]net) imitant la légitime entreprise INDIC Electronics.

Cette méthode d’attaque représente une évolution préoccupante des techniques de compromission de la chaîne d’approvisionnement, où les acteurs malveillants exploitent des relations commerciales de confiance pour contourner les mesures de sécurité traditionnelles. En ciblant des relations établies, les attaquants augmentent la probabilité que leurs messages soient ouverts et que les liens soient cliqués, rendant les attaques plus efficaces. Cette approche souligne la nécessité pour les organisations de renforcer la sécurité de leurs communications et de leurs relations avec les partenaires commerciaux.

Cyberattaque ciblée sur le secteur aéronautique des Émirats arabes unis

L’utilisation de fichiers polyglottes pour contourner les mesures de sécurité

Les messages malveillants envoyés par les attaquants contenaient des liens vers des domaines imitant des entreprises légitimes. Lorsque les victimes cliquaient sur le lien, elles téléchargeaient une archive ZIP contenant des fichiers semblant être des documents commerciaux, notamment des informations sur l’entreprise d’électronique et la participation à des salons professionnels. Cependant, une analyse approfondie a révélé une chaîne d’infection élaborée en plusieurs étapes utilisant des fichiers polyglottes, une technique relativement rare qui permet à un seul fichier d’être interprété comme plusieurs types de fichiers.

Les fichiers polyglottes sont conçus pour être interprétés différemment selon le programme qui les lit, exploitant des particularités spécifiques aux formats pour masquer du code malveillant. Par exemple, un fichier peut être structuré de manière à être à la fois un fichier PDF valide et une application HTML (HTA), permettant au code malveillant d’être exécuté lors de l’ouverture du fichier avec certaines applications. Cette technique d’obfuscation sophistiquée permet aux attaquants de dissimuler leur code malveillant et de contourner les systèmes de détection traditionnels.

La chaîne d’infection complexe menant à l’installation du backdoor Sosano

La chaîne d’infection débutait par des fichiers semblant être des PDF mais contenant en réalité du code exécutable caché. Un fichier était un PDF avec une application HTA ajoutée, tandis qu’un autre combinait un PDF avec une archive ZIP, démontrant la sophistication technique de l’acteur menaçant et sa détermination à échapper à la détection. Le processus de livraison du malware aboutissait finalement à l’installation d’un backdoor personnalisé écrit en Go, surnommé « Sosano » par les chercheurs. Ce backdoor était fortement obscurci avec des bibliothèques de code inutiles et employait diverses techniques anti-analyse, y compris des fonctions de sommeil aléatoires pour échapper aux systèmes de détection automatisés.

Après l’exécution initiale, un fichier LNK lançait cmd.exe suivi de mshta.exe pour traiter le fichier polyglotte PDF/HTA. Le backdoor Sosano, écrit en Go, se connectait à son serveur de commande et de contrôle pour recevoir des instructions. Le malware pouvait effectuer diverses fonctions, notamment la navigation dans les répertoires, la liste des fichiers, le téléchargement de charges utiles supplémentaires et la suppression de répertoires. Les chercheurs ont noté que l’infrastructure du backdoor se résolvait à des fournisseurs d’hébergement commerciaux, probablement pour se fondre dans le trafic légitime.

Les conséquences pour la sécurité des infrastructures critiques

La nature hautement ciblée de cette campagne, les mesures techniques sophistiquées employées et l’accent mis sur les infrastructures de transport critiques aux Émirats arabes unis indiquent un acteur menaçant doté de capacités significatives et d’objectifs spécifiques de collecte de renseignements. Bien que la campagne n’ait pas été définitivement attribuée à un État-nation spécifique, certaines similitudes avec des campagnes présumées alignées sur le Corps des Gardiens de la révolution islamique ont été notées, bien que UNK_CraftyCamel soit considéré comme une entité distincte.

Les mesures de protection et stratégies de défense

Détection et surveillance renforcées
Les organisations doivent mettre en place des systèmes de surveillance avancés capables de détecter les comportements inhabituels liés à ce type d’attaque. Une approche efficace consiste à surveiller l’exécution des fichiers LNK à partir de répertoires récemment extraits, ainsi que les fichiers URL déclenchant l’exécution d’applications non associées aux navigateurs. Ces indicateurs de compromission peuvent être intégrés aux systèmes de détection d’intrusion (IDS) et de gestion des informations et événements de sécurité (SIEM) pour alerter les administrateurs sur des comportements suspects.

Authentification et contrôle des accès
Les attaques exploitant des relations commerciales de confiance mettent en évidence la nécessité d’une authentification renforcée et d’un contrôle strict des accès. La mise en place d’une authentification multi-facteurs (MFA) pour les échanges d’e-mails et l’accès aux systèmes critiques réduit les risques de compromission de comptes légitimes. Limiter les privilèges des utilisateurs et adopter une approche du moindre privilège réduit également la surface d’attaque.

Filtrage et analyse des e-mails entrants
Les solutions de filtrage avancé des e-mails doivent être utilisées pour analyser les pièces jointes et les liens avant qu’ils n’atteignent les utilisateurs. L’analyse comportementale et la détection de menaces basées sur l’intelligence artificielle permettent d’identifier des tentatives de phishing évoluées et d’empêcher les utilisateurs de télécharger des fichiers malveillants.

Sensibilisation et formation du personnel
Les campagnes de formation à la cybersécurité doivent inclure des exercices sur la reconnaissance des tentatives de phishing, l’identification des liens suspects et l’analyse des pièces jointes inhabituelles. Une sensibilisation continue permet de renforcer la vigilance des employés face aux attaques utilisant des relations de confiance.

L’évolution des cyberattaques ciblant l’aviation et les infrastructures critiques

Tendance à la compromission de la chaîne d’approvisionnement
Les attaques contre les infrastructures critiques se sont multipliées ces dernières années, avec une augmentation de 40 % des attaques liées à la chaîne d’approvisionnement entre 2021 et 2024. Selon une étude de Gartner, d’ici 2026, 45 % des organisations dans le monde seront touchées par ce type de cybermenace, contre seulement 25 % en 2022.

Exemples récents de cyberattaques similaires

Attaque contre SolarWinds (2020) : des attaquants ont compromis une mise à jour logicielle pour infiltrer des milliers d’entreprises et agences gouvernementales.
Hack de Colonial Pipeline (2021) : un ransomware a entraîné une interruption massive de l’approvisionnement en carburant sur la côte Est des États-Unis.
Compromission de la chaîne logistique de Kaseya (2021) : exploitation d’une vulnérabilité dans un outil de gestion informatique affectant plus de 1 500 entreprises.

Ces attaques montrent que les cybercriminels ciblent de plus en plus les infrastructures critiques et les relations de confiance pour maximiser l’impact de leurs intrusions.

Les perspectives et recommandations pour les secteurs sensibles

Renforcement de la cybersécurité dans l’aviation
Le secteur aéronautique, en raison de sa dépendance aux communications satellites et aux systèmes informatiques interconnectés, reste une cible de choix. Un audit de sécurité régulier et une segmentation des réseaux sont essentiels pour limiter les accès non autorisés et empêcher une propagation rapide des menaces.

Utilisation de la Threat Intelligence
Les entreprises doivent exploiter les renseignements sur les menaces (Threat Intelligence) pour anticiper et identifier les attaques potentielles. L’adoption de plateformes de partage d’informations entre acteurs du secteur aéronautique permet de mieux détecter les nouvelles menaces et d’ajuster les mesures de défense.

Vers une réglementation plus stricte
De nombreux gouvernements imposent désormais des normes de cybersécurité obligatoires pour les infrastructures critiques. Aux États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) impose aux opérateurs de signaler tout incident majeur. L’Union européenne a renforcé la directive NIS2, qui oblige les entreprises stratégiques à adopter des mesures de cybersécurité strictes.

Les Émirats arabes unis, cible de cette attaque, devront accélérer l’adoption de nouvelles réglementations et renforcer la coopération avec les acteurs internationaux pour protéger leurs infrastructures sensibles.

IJP est un magazine sur l’aviation d’affaires.

L’exploitation des relations commerciales de confiance pour infiltrer des infrastructures critiques

L’utilisation de fichiers polyglottes pour contourner les mesures de sécurité

La chaîne d’infection complexe menant à l’installation du backdoor Sosano

Les conséquences pour la sécurité des infrastructures critiques

Les mesures de protection et stratégies de défense

L’évolution des cyberattaques ciblant l’aviation et les infrastructures critiques

Les perspectives et recommandations pour les secteurs sensibles

You might also like

L’influence d’Elon Musk sur la modernisation des systèmes de télécommunications de la FAA

Les réglementations internationales sur l’utilisation des jets privés

Les coûts détaillés liés à l’acquisition et à l’entretien d’un jet privé