Un récente enquête menée par des spécialistes de la cybersécurité travaillant pour l’entreprise Sekoia.IO révèle qu’au moins 25 sites Web kurdes ont été victimes de quatre variantes différentes d’un script malveillant, allant du plus simple, qui obtient la localisation de l’appareil, au plus complexe, qui incite les utilisateurs sélectionnés à installer une application Android malveillante. Même si les enquêteurs se disent ne pas être en mesure de savoir qui se trouve derrière ces attaques, côté kurde, on pointe de doigt l’État turc qui a des armés de trolls dont le travail est de hacker les sites kurdes d’information.
Les principaux points de l’enquête sont:
Début 2024, l’équipe de détection et de recherche des menaces de Sekoia (TDR) a été contactée au sujet d’un script suspect sur un site Web kurde, qui incitait les utilisateurs à activer leurs webcams et à partager leurs positions.
L’enquête a révélé que 25 sites Web kurdes ont été compromis par quatre variantes différentes d’un script malveillant, allant du plus simple, qui obtient la localisation de l’appareil, au plus complexe, qui incite les utilisateurs sélectionnés à installer une application Android malveillante.
Malgré l’absence de techniques sophistiquées telles que les exploits zero-day, la campagne s’est distinguée par son ampleur et sa durée avant d’être remarquée. Les premiers signes de compromission remontent à la fin de l’année 2022.
Cette campagne particulière ne correspond à aucun des TTP connus associés aux attaques précédentes dans la région. Cela suggère l’émergence d’un groupe d’activités jusqu’alors inconnu ciblant la communauté kurde.
L’intégralité de l’enquête (en anglais) à lire ici: