Un groupe de pirates à but politique appelé Moses Staff serait lié à plusieurs attaques qui cibleraient des organisations israéliennes depuis septembre 2021. Le groupe a déclaré qu’il a pour but de causer des dommages en partageant les données sensibles et en cryptant les réseaux de la victime sans pour autant demander une rançon. Tout cela vise à dénoncer les crimes des sionistes dans les territoires occupés.
Le sionisme est le mouvement national du peuple juif visant à la création d’un foyer national juif, au rétablissement de l’autodétermination juive en Terre d’Israël. Mais les acteurs de ce mouvement occupent la Palestine et y commettraient des atrocités. À ce jour, au moins 16 victimes auraient déjà vu leurs données divulguées.
Pour y arriver, Moses Staff aurait exploité des faiblesses que le public connaitrait pour atteindre les serveurs des entreprises et aurait obtenu un accès initial. Ensuite, il y aurait déployé un Shell Web personnalisé pour supprimer d’autres logiciels malveillants afin d’avoir un accès complet.
Moses Staff semble vouloir causer des dommages irréversibles
Une fois dans le système, le groupe de hackers se déplace sur le réseau et y déploie des logiciels malveillants pour verrouiller les machines de chiffrement. Pour ce faire, il emploie PyDCrypt, spécialement cet effet.
Les attaques reposent sur la bibliothèque open source DiskCryptor pour le chiffrement du volume. Il infecte par la suite les systèmes avec un chargeur de démarrage qui les empêche de démarrer sans la clé de chiffrement correcte. Leurs dégâts pourraient être sans possibilité de retour à la normale.
Le groupe utiliserait un mécanisme de clé symétrique pour générer les clés de cryptage, ce qui permet d’envisager la récupération des données. Cependant, il n’y aurait toujours pas assez de preuves pour situer la provenance des attaques. Ce qui est connu est que certains artefacts de l’ensemble d’outils du groupe avaient été soumis à VirusTotal depuis la Palestine des mois avant leur première attaque.
Une fin encore lointaine ?
L’équipe Moses agit également sur Telegram et Twitter pour faire connaitre ses actions. Le site Web du groupe dit avoir ciblé plus de 257 sites Web ainsi que des données et des documents volés s’élevant jusqu’à 34 téraoctets. En plus, elle invite le public à les rejoindre dans leur combat.
Selon les chercheurs, le groupe « est toujours actif, diffusant des messages et des vidéos provocateurs sur leurs comptes de réseaux sociaux. Les vulnérabilités exploitées dans les attaques du groupe ne datent pas d’un jour, et donc toutes les victimes potentielles peuvent se protéger en corrigeant immédiatement tous les systèmes accessibles au public ».