Focus sur le groupe de cybercriminels Lyceum
C’est généralement un groupe de cybercriminels qui passe pour la plupart du temps inaperçu.
Récemment, suite à un rapport publié par des chercheurs en sécurité informatique d’Accenture Cyber Threat Intelligence (ACTI) et de Prevailion Adversarial Counterintelligence (PACT), il a été démontré que ces derniers se sont rendu coupable de plusieurs attaques informatiques d’ampleur assez importante. Notamment des cyberattaques visant des réseaux de télécommunication des fournisseurs d’accès pour la plupart basés au Maroc.
Cet article va aussi vous intéresser : Quand les membres du groupe opérateur du célèbre rançongiciel Clop se font arrêter
Pour plus d’information il faut signifier que ce groupe de hackers sont généralement affiliés à l’Iran. On les connaît aussi sous la dénomination de « Hexane », de » Siamesekitten » et de et « Spirlin ». Ils sont connus pour avoir ciblé Israël, l’Arabie Saoudite, le Maroc, la Tunisie et plusieurs autres pays africains.
Grâce aux deux sociétés de cybersécurité dans leur apporter publié le 9 novembre, entre le mois de juillet 2021 et d’octobre 2021, il a été question de plusieurs attaques répétitives réalisées par ces pirates informatiques. Apparemment, ces derniers cibleraient des positionnement stratégiques les pays concernés par la compagne de cybercriminalité, comme a été mis en évidence dans le rapport. « Des détails sur les dernières opérations, y compris les nouvelles victimes, les zones géographiques et les industries ciblée Newsroos ».
On retire aussi de ce rapport que plusieurs conclusions ont été corroborer par rapport à des analyses précédentes : « indiquant que l’accent est mis principalement sur les événements d’intrusion dans les réseaux informatiques destinés aux fournisseurs de télécommunications au Moyen-Orient ».
On peut retenir alors, que les cibles sont généralement des fournisseurs d’accès à internet et les agences gouvernementales des différents pays. Sans oublier bien sur les sociétés de Telecom. Il utilise pour la plupart du temps des chevaux de Troie pour leur campagne.
À y regarder de près, ces différentes cibles sont assez stratégiques surtout pour des organismes chargés de cyber espionnage. En effet, en cas de compromission, les pirates informatiques Iraniens pourraient avoir « accès à diverses organisations et des abonnés en plus des systèmes internes qui peuvent être utilisés pour plus parti des comportements malveillants », comme le précise l’étude. Par ailleurs, les sociétés de Telecom et les fournisseurs d’accès Internet peuvent être « utilisées par des acteurs de la menace ou leurs sponsors pour surveiller les personnes d’intérêt ».
Selon Cyber Threat Intelligence (ACTI) d’Accenture et l’Adversarial Counterintelligence Team (PACT) de Prevailion, le groupe de cybercriminels aurait utilisé de types de programmes malveillants à savoir « Shark » et « Milan ».
« Lorsque l’équipe ACTI/PACT a interrogé l’ensemble de données Prevailion pour le Newsroom des chemins d’URL codés en dur connus précédemment référencés, ont été observés dans les échantillons de Milan, ont observé la poursuite du balisage à partir d’une adresse IP qui a résolu à un opérateur de télécommunications au Maroc », a souligné le rapport.
« On ne sait pas si les balises de porte dérobée de Milan proviennent d’un client de l’opérateur de télécommunications marocain ou de systèmes internes au sein de l’opérateur. Cependant, étant donné que Lyceum a historiquement ciblé les fournisseurs de télécommunications et que l’équipe de Kaspersky a identifié un ciblage récent des opérateurs de télécommunications en Tunisie, il s’ensuit que Lyceum cible d’autres sociétés de télécommunications d’Afrique du Nord. L’équipe de recherche ACTI/PACT évalue donc que l’activité milanaise observée émane vraisemblablement directement de l’opérateur de télécommunications marocain », souligne l’étude.
Accédez maintenant à un nombre illimité de mot de passe :