Note sur la portée: les sources de cette recherche comprennent la plateforme Recorded Future, la détonation du logiciel malveillant Recorded Future, les résultats et les méthodes du Citizen Lab, Shodan, VirusTotal, Censys, ReversingLabs, et les métadonnées de tiers. Recorded Future tient à remercier Rapid7 et son indice d'exposition nationale qui ont permis de quantifier le paysage actuel de la propriété intellectuelle au Yémen. Recorded Future souhaite également remercier Monsieur Sécurité pour l'utilisation de leur produit dans le cadre de l'analyse d'échantillons de logiciels malveillants sur des appareils Android.

Executive Summary

In the midst of the ongoing Yemeni civil war, local and international players are waging a secondary war through internet control and other cyber means. Recorded Future’s Insikt Group assesses that dynamics of the Yemeni civil war are manifesting themselves online through a struggle over Yemeni access, use, and control of the internet. Recorded Future identified both censorship controls and traffic attempting to subvert those controls within Yemen, as well as spyware activity. This report intends to establish a baseline of internet activity, use, and access in Yemen.

Key Judgments

• Since taking Yemen’s capital, Sana’a, in September 2014, the Houthi rebels have supervised the main ISP YemenNet, as well as the same access controls and censorship tools previously used to disrupt, degrade, or monitor internet activity for the last three years.
• Recorded Future assesses with medium confidence that the Houthi rebels within Sana’a are taking advantage of YemenNet’s vast IP infrastructure to host Coinhive mining services to generate revenue.
• While official government sites hosted on YemenNet and the .ye domain space have been changed to reflect the Houthi government in Sana’a, rather than the Hadi government in Aden, Recorded Future has noted some vulnerabilities within YemenNet’s main name server and multiple servers that, until recently, hosted over 500 official .ye domains.
• The Hadi government, now in Aden instead of Sana’a, produced a new ISP, AdenNet, in June 2018. We believe this could lead to new internet resiliency within the country as internet subscriptions and mobile subscriptions continue to rise.
• A small percentage of internet users in Yemen are using either VPNs, Tor, or routers with DNS recursion to circumvent government controls.
• Suspicious internet-related activity out of Yemen suggests low levels of adware and spyware, but information as to the actors behind it is inconclusive.
• Major international players, including the United States, Russia, and China, are using malware, military activity, political leverage, and investments to further their interests in the Saudi-Iranian regional conflict for hegemony within Yemen.

Graphical representation of this analysis.

Background

Le Yémen est en proie à une guerre civile depuis 2015. Le conflit est alimenté par des divisions sectaires, religieuses et politiques, le Yémen étant relativement multiculturel par rapport au reste de la péninsule arabique. Les Yéménites ont traversé plusieurs guerres civiles, notamment un conflit dans le nord du pays de 1962 à 1970, puis une guerre sanglante en 1994 après s'être opposés à la réunification du pays en 1990. Malgré toutes ses luttes internes, Ali Abdullah Saleh, ancien président du Yémen, a décrit la gouvernance du pays comme « une danse sur la tête de serpents »."

La guerre civile actuelle trouve son origine dans une série de manifestations sanglantes, déclenchées par le Printemps arabe, qui ont conduit le président Ali Abdullah Saleh à démissionner du pouvoir en 2011. Cela a placé le vice-président, Abdrabbuh Mansur Hadi, au pouvoir dans une situation difficile, avec pour mission de former un gouvernement unifié au Yémen. Hadi n'a finalement pas réussi à unifier le pays, le laissant largement sans gouvernement. L'absence de contrôle a entraîné un vide politique qui a favorisé la montée en puissance de factions rebelles, l'émergence de gouvernements rivaux soutenus par des puissances étrangères et l'aggravation du problème de l'extrémisme.

Les Houthis zaïdites chiites sont largement considérés comme la faction rebelle et sont soutenus et approvisionnés par le régime iranien. Cette faction a été formée par des membres de l'armée yéménite qui étaient auparavant fidèles à Saleh avant qu'il ne se retourne contre son propre camp et ne soit tué en 2017. Cette faction combat le gouvernement d'Abdrabbuh Mansour Hadi, soutenu par l'Arabie saoudite, qui revendique actuellement le contrôle politique du Yémen et est reconnu par la communauté internationale comme le gouvernement légitime du pays. Cela alimente les tensions sectaires, car les partisans du gouvernement Hadi sont en grande majorité des musulmans sunnites, contrairement aux Houthis, qui sont majoritairement chiites. Les Émirats arabes unis financent un troisième groupe de séparatistes du sud, une faction dissidente du Mouvement du Sud qui tente activement de faire sécession du Yémen depuis 2007. Le groupe espère rétablir les frontières de 1990, lorsque le Yémen du Nord et le Yémen du Sud, auparavant séparés, ont été réunis pour former un seul pays. Le Mouvement du Sud est également majoritairement chiite. Ces groupes représentent en grande partie les différentes catégories démographiques présentes à l'intérieur des frontières du Yémen.

De plus, des vestiges d'Al-Qaïda dans la péninsule arabique (AQPA) continuent de contrôler d'importantes poches de territoire dans le centre du pays. AQAP est l'une des branches les plus importantes d'Al-Qaïda. Elle revendique les attentats commis par des loups solitaires à Fort Hood, Little Rock, contre l'USS Cole et l'attentat manqué contre un avion à Détroit, ainsi qu'une évasion de prison au Yémen. Le groupe a tenté de se rebaptiser Ansar al-Sharia en 2011 et a commencé à se concentrer sur la consolidation de son territoire au Yémen. Ces dernières années, le groupe a principalement agi en tant que milice et organisation terroriste visant les installations houthis. Un modèle d'affiliation similaire a été tenté par l'État islamique, qui n'a toutefois pas réussi à s'imposer. Les récentes informations concernant l'État islamique au Yémen font état d'affrontements entre AQAP et l'EI.

Le Yémen, en tant que champ de bataille, constitue un microcosme intéressant où s'affrontent les puissances régionales et mondiales qui tentent d'exercer leur pouvoir et de défendre leurs intérêts. La guerre civile au Yémen est au cœur de la lutte par procuration que se livrent l'Iran et l'Arabie saoudite pour l'hégémonie régionale. Le territoire contrôlé par les Houthis est la cible de l'opération « Tempête décisive » menée par l'Arabie saoudite, une campagne de frappes aériennes qui, selon les Nations unies, continue de faire des victimes parmi les civils. Selon l'armée américaine, la campagne iranienne a introduit des armes qui ont permis aux Houthis d'interdire les routes maritimes dans le détroit de Bab al-Mandeb. Alors que les tensions s'intensifient entre les États-Unis et l'Iran, ce dernier a la capacité de contrôler le détroit d'Ormuz qui traverse la péninsule et a menacé de le bloquer s'il estimait que les États-Unis se montraient trop agressifs. Recorded Future a déjà fait état du conflit cybernétique entre l'Iran et l'Arabie saoudite au Yémen en 2015, lorsque l'Armée cybernétique yéménite est apparue comme un groupe de hackers patriotiques attaquant des agences gouvernementales saoudiennes. Depuis lors, ce groupe a été associé à l'Iran.

Ce conflit régional coïncide avec des intérêts contradictoires entre la Russie et les États-Unis dans la péninsule arabique et les voies maritimes de la région. Les États-Unis ont également mené une campagne active pour éliminer la présence de l'État islamique (EI) et d'Al-Qaïda dans la région. Ils ont remporté des succès contre l'EI, mais au prix de nombreuses victimes civiles lors de frappes aériennes et d'opérations spéciales coûteuses. À l'inverse, la Jamestown Foundation a émis l'hypothèse que la Russie aurait déployé des mercenaires privés au Yémen afin de superviser une solution politique au conflit. Le Carnegie Endowment estime que la Russie est impliquée dans le but d'étendre son influence et de projeter sa puissance dans la mer Rouge.

La Chine s'intéresse également de plus en plus à la stabilité de la péninsule et s'est alignée sur le gouvernement Hadi et ses forces soutenues par l'Arabie saoudite depuis environ 2017. Bien que la Chine et l'Arabie saoudite entretiennent déjà des relations dans le domaine de la défense, une résolution du conflit au Yémen contribuerait à réduire les risques pour le transport maritime chinois dans le détroit de Bab al-Mandeb et ses environs. Le détroit est une voie de transit essentielle pour l'initiative chinoise « Belt and Road » (la « Ceinture et la Route »), une série de projets d'infrastructure de grande envergure visant à projeter la puissance nationale chinoise en Arabie saoudite et dans l'ensemble du Moyen-Orient.

Infrastructure

L'infrastructure Internet au Yémen reflète les puissances internationales à l'œuvre dans le pays. Le conflit actuel a freiné l'attribution d'espaces Internet et la capacité des citoyens à accéder à Internet. L'indice d'exposition nationale de Rapid7 a révélé que, bien que les ASN yéménites aient attribué 135 168 adresses IP, seules 17 934 adresses ont été attribuées, ce qui indique une faible utilisation. Selon DomainTools, il n'y a eu que 1 152 .ye domaines enregistrés (.ye est contrôlé par YemenNet). Les personnes déclarant être originaires du Yémen ont enregistré 7 845 noms de domaine, dont le plus populaire est .com. Le quatrième TLD le plus populaire est .ye. Le Yémen occupe la 50e place mondiale en termes de population, mais seulement la 148e place en termes d'enregistrements de noms de domaine.

Au cours des quatre dernières années, le territoire yéménite a changé de mains, tout comme le contrôle des ressources Internet. Lorsque les forces houthistes ont pris le contrôle de la capitale Sanaa, elles ont également pris le contrôle de YemenNet, le principal fournisseur d'accès à Internet au Yémen. YemenNet est sujet à des pannes et a déjà été perturbé par des attaques cybernétiques et physiques.

Submarine Cables

Quatre câbles sous-marins desservent le Yémen à partir de trois points d'atterrissage. Comme le montre l'image ci-dessous, le câble sous-marin FALCON dispose de points d'atterrissage à Al-Ghaydah et Al-Hudaydah, tandis que SEA-ME-WE 5 dispose également d'un point d'atterrissage à Al-Hudaydah, et AAE-1 et Aden-Djibouti disposent de points d'atterrissage à Aden.

Under Houthi control, TeleYemen (and therefore YemenNet) makes use of the submarine cables for routing traffic, most likely to avoid routing through the fiber-optic connections provided by Saudi Telecom. Currently, YemenNet peers with Reliance Globalcom, Cogent Communications, Omantel, and PCCW Global — all partners in the Asia Africa Europe-1 (AAE-1) submarine cable, which has a landing point in Aden. AdenNet, on the other hand, primarily makes use of the overland fiber-optic cables provided by Saudi Telecom.

Deux des trois points d'atterrissage sous-marins au Yémen sont actuellement sous le contrôle du gouvernement Hadi. Le troisième, à Al-Hudaydah, est actuellement sous le contrôle des rebelles houthis, mais comme le montre l'image ci-dessous, il s'agit d'une zone que le gouvernement Hadi cible de manière agressive. Le port d'Al-Hudaydah est essentiel pour l'acheminement de denrées alimentaires et de fournitures médicales vers un pays qui est confronté à la famine et à une épidémie de choléra. Si les forces gouvernementales de Hadi prennent le contrôle du port, elles pourraient couper l'accès à Internet entre le monde extérieur et les abonnés de YemenNet. Bien que moins critique que la crise humanitaire qui touche actuellement le Yémen, l'absence d'accès à Internet rendrait plus difficile la compréhension de la situation dans le pays.

Access and Censorship

En 2015, le Citizen Lab a signalé que le gouvernement yéménite censurait le contenu destiné aux citoyens yéménites sur YemenNet, son seul fournisseur d'accès Internet national contrôlant l'espace de noms.ye. Une grande partie de l'espace IP et des noms de domaine utilisés dans YemenNet est filtrée par deux serveurs de mise en cache, cache0.yemen.net[.]ye. et cache1.yemen.net[.]ye. Cela peut permettre la surveillance du contenu ou l'interdiction du trafic. Recorded Future a découvert des traces de cette tentative via Shodan, avec un seul dispositif NetSweeper, un outil de filtrage de contenu Web, installé sur l'adresse IP 82.114.160.98. L'adresse IP utilisait un certificat SSL auto-signé, mais Recorded Future n'a pu identifier aucun trafic entrant ou sortant de cette adresse IP. Aucun autre dispositif similaire de censure ou de contrôle d'accès n'a été détecté via Shodan ou Censys.

Geographic breakdown of internet access and territory control. Source: Created from Al Jazeera, Reuters, World Energy Atlas, and Critical Threats (November 2018).

Après avoir pris le contrôle de la capitale yéménite, Sanaa, en septembre 2014, les rebelles houthis ont pris le contrôle de YemenNet, TeleYemen et de tous les autres fournisseurs de télécommunications basés dans la ville. En juin 2018, ils ont également pris le contrôle de l'opérateur mobile dominant, MTN Yemen. Ainsi, les rebelles houthis disposent désormais des mêmes outils de contrôle d'accès et de censure précédemment utilisés pour perturber ou surveiller l'activité Internet, qui peuvent être activés ou désactivés en fonction de la sécurité physique des opérateurs utilisant les boîtiers. Selon Al Arabiya, les Houthis ont utilisé ces mesures pour bloquer l'accès à WhatsApp, Facebook, Twitter et Telegram, ainsi qu'aux domaines qui rendaient compte des mouvements de troupes houthies. Il est probable qu'ils aient utilisé ces commandes pour ce faire.

Timeline of Yemeni internet activity and prominent airstrike operations.

Les Houthis ont également pris des mesures pour couper complètement l'accès à Internet sur l'ensemble du territoire qu'ils contrôlent. Le 7 décembre 2017, le ministère des Communications et des Technologies de l'information, contrôlé par les Houthis, a procédé à une coupure d'Internet pendant 30 minutes. Auparavant, les Houthis avaient coupé l'accès à Internet dans la ville portuaire d'Aden. De nombreux rapports ont révélé que les Houthis ont coupé plus de 80 % des lignes de fibre optique de YemenNet, adoptant une approche plus brutale pour contrôler l'information dans tout le pays.

Major internet service provider IP holdings.

Contraint de fuir la capitale, le gouvernement Hadi a établi une base opérationnelle à Aden. La nouvelle base avait également besoin d'un accès à Internet. Plutôt que de divulguer des secrets ou de verser de l'argent à YemenNet, contrôlé par les Houthis, ou d'être à la merci du gouvernement houthi qui coupait régulièrement l'accès, le régime de Hadi a créé AdenNet, un nouveau fournisseur d'infrastructure réseau, en juin 2018. Le nouvel ISP a été financé par les Émirats arabes unis (EAU), utilise un flux unique provenant de Saudi Telecom (AS39386) et a été construit à l'aide de routeurs de l'entreprise technologique chinoise Huawei. Huawei est une entreprise étroitement liée au gouvernement et à l'armée chinois. Elle a été interdite d'utilisation par les gouvernements américain et australien en raison de soupçons d'espionnage.

Much of AdenNet’s infrastructure is located outside of Yemen. The AdenNet website www.adennet4g[.]net was registered through GoDaddy on June 20, 2018, and is hosted at Bluehost, as is the AdenNet mail server (mail.adennet4g.net). Both hosts have the same IP address, 162.241.226.169, which according to Recorded Future research is shared by 886 other domains. Customer service functions, such as the self-service portal ssp.adennet4g[.]net, do make use of assigned AdenNet IP space.

The use of the .net gTLD for AdenNet and outside infrastructure may reflect the reluctance of the Hadi regime to use Houthi-controlled resources. It could also be indicative of the challenges that come with trying to build out new internet infrastructure, especially in the middle of a war zone. Earlier reports suggested that President Hadi is attempting to regain control of the .ye ccTLD, as well as the AS30873 and AS12486 ASNs. A review of documents at ICANN, IANA, and RIPE indicate that, as of this report, no formal process has been started. In addition, the likelihood of control of these resources being transferred by internet-governing bodies in the middle of a civil war is very low.

Baselining Internet Activity

Les frappes aériennes et les pénuries alimentaires pendant la guerre civile au Yémen ont laissé 18 millions de personnes dans le besoin d'une aide humanitaire et ont provoqué une situation alimentaire d'urgence. Cependant, l'activité Internet dans le pays n'a pas diminué pendant la guerre. Selon le CIA World Factbook, le nombre d'utilisateurs d'Internet est passé de 19,1 % de la population avant la guerre en 2014 à 24,6 % en 2016. Internet World Stats affirme également que le nombre d'utilisateurs d'Internet est resté stable au cours des deux dernières années, oscillant autour de 24,3 % en 2018. De plus, plusieurs sources affirment que le taux de pénétration des téléphones portables était supérieur à 50 % avant la guerre civile et qu'il est resté stable ou a augmenté au cours des quatre dernières années.

There is evidence of five different forms of users utilizing internet services within Yemen. The Houthi rebels used their control of YemenNet and the .ye domain space after taking Sana’a, and government websites reflect the current Houthi government within the capital. For example, the website of Yemen’s Ministry of Foreign Affairs contains an up-to-date list on the current Houthi-led ministry. Additionally, with the creation of AdenNet, the Hadi government will likely be using internet services more frequently.

Screenshot of Yemen’s Houthi-led Ministry of Foreign Affairs website under the domain mofa.gov[.]ye.

Les universités ont également toujours accès à Internet dans le pays, et les étudiants universitaires continuent d'utiliser les services Internet pour effectuer des recherches, communiquer entre eux et naviguer sur le Web. Cependant, cette source de trafic diminue progressivement, car les universités sont de plus en plus souvent la cible de frappes aériennes et d' attentats à la bombe perpétrés par les factions houthistes et pro-Hadi, ce qui entraîne une baisse des inscriptions. De plus, les universités du pays sont de plus en plus souvent réquisitionnées comme centres de détention, ce qui explique probablement aussi la baisse de l'utilisation d'Internet dans les universités.

Un nombre disproportionné d'utilisateurs particuliers et professionnels au Yémen ont activé la récursivité DNS sur leurs routeurs, ce qui permet à ces derniers d'agir comme des serveurs DNS de mise en cache pour les utilisateurs connectés à leur réseau. Selon Shodan, il existe plus de 12 000 routeurs CPE ( Customer Premise Equipment ) sur lesquels la récursivité DNS est activée. Il est possible que cette mesure ait été prise pour contourner la censure draconienne imposée par les Houthis. Comme mentionné précédemment, ces derniers utiliseraient Netsweeper, un outil combinant filtrage Web et filtrage DNS, pour bloquer les contenus jugés inappropriés.

For comparison, the countries of Mozambique and Ghana, which have similar population sizes to Yemen, only report around 670 and 1200 open DNS servers in Shodan, respectively.

Breakdown of Yemeni traffic destinations to OpenVPN endpoints, according to third-party metadata.

Enfin, plusieurs sources ont indiqué que les citoyens yéménites ont utilisé soit le navigateur Tor, soit des VPN pour contourner les coupures d'Internet et la censure au Yémen. Ce groupe d'utilisateurs serait susceptible d'accéder à des sources qui ne sont approuvées ni par les rebelles houthis (qui ont temporairement coupé l'accès à Internet dans tout le pays le 7 décembre 2017), ni par le gouvernement Hadi, qui a déjà bloqué divers réseaux sociaux par le passé. Recorded Future a détecté des preuves d'utilisation de VPN et de Tor depuis le Yémen au cours du mois d'octobre 2018. De petites quantités de trafic provenant de plusieurs adresses IP AdenNet tentaient d'accéder à des adresses IP non yéménites dont les ports 9001 (Tor), 1194 (OpenVPN) ou 110 (tunneling IPSEC VPN) étaient ouverts.

Breakdown of Yemeni traffic destinations to Tor endpoints, according to third-party metadata.

Quantifying Internet Use in Hadi-Controlled Yemen

AdenNet est beaucoup plus petit que YemenNet, désormais contrôlé par les Houthis. Afin d'évaluer les types de trafic provenant du FAI, Recorded Future a procédé à une analyse des métadonnées entre le 1er octobre 2018 et le 6 novembre 2018. Recorded Future a choisi de surveiller AdenNet en raison de sa création récente et du fait qu'il est sous le contrôle du gouvernement Hadi, ce qui rend l'analyse de ce FAI utile pour mieux comprendre ce qui se passe dans le Yémen contrôlé par Hadi. Bien que la plupart des grandes villes du Yémen aient été touchées par des attentats à la bombe depuis la création d'AdenNet en juin 2018, YemenNet et AdenNet semblent fonctionner sans problème majeur, d'après le trafic entre les deux FAI et les hébergeurs YemenNet connus du public.

Recorded Future map of airstrikes or bombings in Yemen since June 2018.

Top Ports and Protocols: Web Browsing and VPNs

Most of the activity we observed during our analysis of the Yemeni internet, somewhat unsurprisingly, was web browsing activity over HTTP or HTTPS. In addition, we also identified sporadic DNS, POP3, SMTP, and IMAP activity. We observed some IPSEC tunneling activity utilizing the Encapsulating Security Payload (ESP) protocol, which is indicative of VPN application use. This could be further evidence of Yemeni users attempting to circumvent either government’s internet controls in order to get online. Other activity included the use of internet administrative protocols TELNET, SSH, and the network news transfer protocol (NNTP), one of the internet’s oldest protocols, allowing for news article transfer between servers of the internet USENET newsgroup world. Finally, evidence of BitTorrent and online gaming activity as well as the possible use of XMPP messaging applications such as Jabber were also found.

Because most of the traffic we observed was web browsing activity, it is no surprise that most traffic originating from AdenNet IPs within the Recorded Future dataset were headed toward large hosting sites and content distribution network (CDN) providers like Highwinds, Amazon, and Akamai. What is surprising is the distribution between Western and Chinese-owned hosts. Alibaba and Tencent hosting services, while not as frequently accessed as their western counterparts, still show up as a sizable percentage of Yemeni internet traffic.

Suspicious Internet Activity

Internet Infrastructure Vulnerabilities

Recorded Future a détecté plusieurs cas d'activités suspectes au sein de l'infrastructure Internet du Yémen et provenant de ce pays. D'une part, AdenNet ne semble pas être la première fois que le Yémen confie son infrastructure Internet principale à une entreprise chinoise. L'intégration de Shodan par Recorded Future montre que l'adresse IP de l'un des principaux serveurs de noms de YemenNet, ns1.yemen.net[.]ye, contient un module « tenda-backdoor ». Bien que ce module ne soit plus consultable dans Shodan, le module tenda-backdoor fait référence à une porte dérobée dans le micrologiciel qui utilise la vulnérabilité CVE-2017-16923 pour exécuter des commandes à distance sur les modèles de routeurs fabriqués par le fabricant chinois de réseaux Tenda.

Il est difficile de déterminer s'il s'agit d'une porte dérobée intentionnelle de la part du fournisseur ou d'une erreur accidentelle. Si le serveur de noms est connecté à d'autres infrastructures au sein de YemenNet, ce qui est probable, des attaquants étatiques et non étatiques pourraient exploiter cette porte dérobée pour infiltrer le FAI.

Screenshot of the Recorded Future Shodan extension for ns1.yemen.net[.]ye.

Additionally, Houthi-controlled servers 82.114.162.66 and 82.114.162.10 that, up until June 2018, hosted upwards of 500 Yemeni government, educational, and corporate websites, are riddled with old vulnerabilities like CVE-2003-1582, CVE-2009-2521, CVE-2008-1446, and other older issues that, if left unpatched, could allow attackers easy access into said systems. Even though many of the original websites are no longer hosted on these servers, it is entirely possible that old system logs and data remain.

Screenshot of PassiveTotal domain results for the IP 82.114.162[.]66 on given days in 2018. Source: PassiveTotal.

Command and Control Servers

Les collections de Recorded Future, en collaboration avec Shodan, ont identifié un certain nombre de serveurs de commande et de contrôle de base exposés dans des réseaux yéménites exécutant des chevaux de Troie d'accès à distance. Il s'agissait notamment des chevaux de Troie Bozok, DarkComet et NetBus.

Malware Samples

Recorded Future noted a significant increase in the number of software samples submitted to VirusTotal from Yemen, from 13 samples from between 2015 and 2017 to a total of 164 samples in 2018. The cause remains unclear. This may be due to the introduction of AdenNet, as internet access becomes more consistently available to more citizens and residents of Yemen; however, it may also be due to increased threat activity.

Of these samples, approximately half were malicious, and the overwhelming majority of those malicious samples were Android applications. From the 84 Android samples uploaded to VirusTotal since 2015, Recorded Future was able to use Joe Security to identify variants of widely disseminated malware families, including AhMyth, DroidJack, Hiddad, and Dianjin, as well as multiple fake Altcoin wallets, fake Whatsapp applications, and spyware posing as antivirus, video playing, and VPN applications. In addition, Recorded Future used Joe Security dynamic analysis and Recorded Future malware detonation to determine that 50 percent of the adware obtained from the Android samples reached out to both Chinese and Western advertisement sites. Two-thirds of the fake antivirus spyware apps, as well as some AhMyth samples found, connected to Chinese IPs.

La plupart des applications contenues dans l'ensemble de données VirusTotal semblent être de fausses applications de bas niveau servant à diffuser des logiciels publicitaires. Cependant, certains logiciels espions de l'ensemble de données ont été compressés à l'aide de JiaGuBao, un compresseur commercial provenant de Chine. De plus, le faux logiciel antivirus qui cible les adresses IP chinoises accède aux informations contenues dans les téléphones Android, notamment les anciens e-mails, les SMS, les journaux d'appels et l'historique du navigateur. Il est probable qu'il utilise des services d'accessibilité pour contrôler d'autres applications installées et qu'il soit capable de modifier la configuration Wi-Fi, de démarrer des services lorsque l'écran du téléphone est éteint, de prendre des photos et de supprimer d'autres paquets. Il ne fait aucun doute que la Chine s'intéresse à l'issue de la guerre civile au Yémen, tant d'un point de vue commercial que diplomatique. Cependant, bien que certains des logiciels malveillants ciblant des adresses IP chinoises correspondent à d'éventuels intérêts de surveillance de la part de la Chine, Recorded Future n'a pas été en mesure de déterminer si les logiciels malveillants obtenus provenaient d'une campagne d'espionnage menée par l'État chinois. En outre, Recorded Future a découvert plusieurs applications mobiles chinoises qui demandaient des autorisations étendues sur les téléphones Android utilisés par des personnes au Yémen. Étant donné que ces applications ne sont actuellement disponibles que sur les boutiques d'applications chinoises, il est peu probable qu'elles aient été utilisées par des Yéménites de souche, mais plutôt par des ressortissants chinois basés au Yémen, probablement dans le cadre d'un programme de renforcement des capacités. Dans le passé, des entreprises chinoises, dont Huawei, ont envoyé des travailleurs chinois à l'étranger pour participer à des projets de construction d'infrastructures. Les ressortissants chinois sont susceptibles de télécharger des applications adaptées à leurs besoins lorsqu'ils se trouvent au Yémen.

Coin Mining Activity

Recorded Future a identifié 973 hôtes au Yémen exécutant le service de minage de cryptomonnaie Coinhive. Coinhive, un mineur Monero basé sur JavaScript, a été lancé début 2017, deux ans après la prise de contrôle de YemenNet par les rebelles houthis. Il est généralement intégré à des sites web et utilise le processeur ou la puissance de traitement d'un utilisateur pour miner des cryptomonnaies au profit du propriétaire du site web. Cela bloque souvent le navigateur de l'utilisateur et épuise la batterie de son appareil tant qu'il navigue sur le site. Les 973 hôtes sont tous des routeurs MikroTik appartenant à l'ASN AS30873 de YemenNet, et 213 d'entre eux partagent le même domaine, dynamic.yemennet[.]ye.

En octobre 2018, Avast a publié un rapport sur plusieurs campagnes de cryptojacking dans lesquelles des attaquants utilisaient une^faille largement répandue exploitant CVE-2018-14847 et injectaient le code JavaScript nécessaire pour exécuter Coinhive sur les routeurs compromis. Recorded Future a identifié des mineurs de Monero utilisant les ports SSH et Telnet uniques mentionnés par Avast, et a déterminé qu'environ 427 des 973 routeurs étaient impliqués dans des campagnes précédentes, plus largement ciblées, déjà mentionnées dans le rapport d'Avast. Les 546 autres routeurs n'ont jusqu'à présent reçu aucune information concernant les campagnes précédentes. Un tiers des hôtes non recensés (189) se trouvent à Sanaa, la capitale contrôlée par les Houthis. Les clés de site « uniques » générées par les comptes administrateurs de Coinhive ont été réutilisées pour plusieurs hôtes, ce qui suggère que quelques comptes contrôlent la grande majorité de ces hôtes.

Additionally, all of the infected routers are part of the YemenNet network, while identical MikroTik routers owned by TeleYemen have not been infected. We were unable to determine who was responsible for infecting these YemenNet routers or why TeleYemen routers were also not victimized. However, available data leads us to three possible scenarios:

1. The TeleYemen hosts could be part of another criminal Coinhive campaign, due to partial overlap in Coinhive keys with previously discovered non-Yemeni hosts mentioned in the Avast report.
2. Parties interested in degrading the capacity of Houthi internet services during airstrikes or other conventional battles could be using the available Coinhive exploit to slow down YemenNet’s machines, which would restrict government communications and civilian online services and even take hosts offline.
3. The Houthi-led government could be attempting to use their own hosts to generate alt-currency for the regime. Additional sources of revenue during a time of famine and economic crisis would bolster Houthi-led efforts to legitimize themselves domestically by providing aid to Houthi regions where famine is harshest and purchasing additional conventional weapons to use against the Hadi-led government.

Quels que soient les acteurs impliqués, nous estimons que la campagne actuelle de minage de cryptomonnaies épuise les ressources Internet contrôlées par les Houthis. L'algorithme de minage de Monero est spécialement conçu pour que les ordinateurs ordinaires puissent générer la cryptomonnaie aussi facilement que les ordinateurs équipés de puces de minage sur mesure (ASIC). C'est l'inverse pour le minage de bitcoins, où la puissance de minage des ASIC rend les PC standard inefficaces. Recorded Future n'a pas été en mesure de déterminer le montant exact généré par ces activités.

Expected Cyber Targeting Profiles

Recorded Future expected certain targeting profiles for each of the major belligerents in the Yemen conflict. This section will explore that expected activity, along with any differences or lack of data affecting those parties.

Houthi Supreme Political Council

Le fait que les Houthis contrôlent une grande partie des ressources Internet au Yémen, bénéficient du soutien de l'Iran et exercent un contrôle de facto sur le pays continue d'irriter le gouvernement saoudien. Cela les rend probablement la cible de la surveillance saoudienne. Recorded Future estime que cette surveillance servirait principalement à identifier les intentions des Houthis et leurs plans de combat pour les escarmouches à travers le Yémen, et qu'elle ciblerait les routeurs, les hôtes traditionnels et les appareils mobiles Android. Le Citizen Lab a établi un lien entre l'utilisation par l'Arabie saoudite des outils d'espionnage Pegasus du groupe NSO pour cibler des appareils iOS, démontrant ainsi l'intention relative du royaume d'externaliser le développement de ses logiciels malveillants.

Lookout a découvert que le logiciel espion Chrysaor développé par NSO Group pour les appareils Android utilise le protocole MQTT (Message Queue Telemetry Transport) pour communiquer. Le protocole utilise les ports TCP/IP 1883 et 8883 lorsque le trafic est crypté via SSL. Ce protocole est également utilisé par la plateforme de réseau social MeetMe et est couramment utilisé pour les connexions dans des endroits éloignés qui ne disposent pas toujours d'une connexion permanente. Malgré le contrôle de YemenNet par les Houthis, Recorded Future n'a pu identifier aucune infection utilisant la configuration Chrysaor classique sur YemenNet ou dans l'une de ses collections.

Hadi Government

Le gouvernement Hadi est directement soutenu par l'Arabie saoudite, qui cherche à renforcer l'influence sunnite et saoudienne dans ce pays voisin, et combat directement les forces houthistes soutenues par l'Iran. Recorded Future prévoit, en raison de la coopération du gouvernement Hadi avec la Chine, qu'il y aura une certaine surveillance chinoise des activités yéménites, ne serait-ce que pour contrôler leurs investissements. En outre, Recorded Future s'attend à ce que des logiciels malveillants de surveillance mobile iraniens soient déployés contre ces forces, lesquels ont été identifiés par CheckPoint comme étant utilisés contre des civils dissidents iraniens et des sympathisants potentiels de l'État islamique.

Southern Secessionists

Le Mouvement du Sud, officiellement connu sous le nom de Conseil de transition du Sud (CTS), est largement soutenu par les Émirats arabes unis, mais se trouve dans une alliance fragile avec la coalition saoudienne, qui a souvent été mise à l'épreuve et s'est brisée. En octobre 2018, les forces du STC ont appelé à un soulèvement à Aden, entrant ainsi en conflit direct avec le gouvernement Hadi qui contrôle la ville. Cette action a incité l'ONU à lancer de nouveaux appels à la paix, permettant ainsi au groupe d'obtenir une plus grande reconnaissance internationale pour son objectif d'autonomie du Yémen du Sud. Compte tenu de la coopération et de l'alliance générale entre les gouvernements des Émirats arabes unis et de l'Arabie saoudite, Recorded Future ne prévoit pas que l'Arabie saoudite cible les forces du STC. De même, bien que le STC soit en conflit direct avec les Houthis, en raison de leur manque d'infrastructures Internet permanentes et de réseaux cellulaires définis, Recorded Future ne prévoit pas de ciblage particulier par des logiciels malveillants iraniens contre le STC.

Al-Qaeda in the Arabian Peninsula

La branche d'Al-Qaïda au Yémen se trouve étonnamment dans une situation particulière en matière de ciblage. Selon le Carnegie Endowment, ce groupe bénéficie largement du soutien de la coalition dirigée par l'Arabie saoudite, avec laquelle il partage l'objectif commun de lutter contre les Houthis. Les Saoudiens ont même signé un pacte de non-agression avec les extrémistes. Cela est en contradiction avec le soutien apporté par les États-Unis aux intérêts saoudiens, dans la mesure où les États-Unis ciblent presque exclusivement les forces d'AQPA au Yémen. Les Iraniens s'opposent probablement au ciblage des forces houthies par les extrémistes alignés sur l'Arabie saoudite.

Kaspersky a découvert que le framework Slingshot ciblait des routeurs individuels au Yémen et dans d'autres pays entre 2012 et 2018. Le Slingshot aurait été utilisé par l'armée américaine pour cibler des membres de l'État islamique et d'Al-Qaïda, ce qui constitue peut-être l'exemple le plus médiatisé de l'utilisation du cyberespace pour la surveillance terroriste. Recorded Future n'a pu identifier aucune de ces activités.

Outlook

Malgré la poursuite des frappes aériennes, les affrontements armés entre factions yéménites et la dégradation générale des infrastructures et de la santé publique au Yémen, l'accès à Internet dans le pays pourrait s'avérer résilient. La mise en place d'AdenNet afin de créer un double réseau dorsal au Yémen a permis à des milliers de citoyens privés d'accès à Internet lors de la prise de Sanaa par les Houthis de bénéficier d'un nouveau point d'accès au réseau. Cependant, les vulnérabilités de YemenNet pourraient donner lieu à des activités d'espionnage, voire à des campagnes destructrices au sein de son infrastructure, ce qui nuirait à l'accès à Internet dans le territoire contrôlé par les Houthis.

Recorded Future estime avec un degré de confiance moyen que, à mesure que l'inflation s'intensifie dans le pays, le gouvernement houthi à Sanaa poursuivra ses efforts pour créer des formes alternatives de monnaie afin de soutenir son aide et ses efforts militaires. Les logiciels malveillants au sein du pays continueront de représenter un facteur constant, en particulier avec les nouvelles formes d'accès à Internet. De même, certains citoyens yéménites continueront probablement à contourner les contrôles gouvernementaux sur Internet, conscients de la volonté des deux gouvernements de contrôler l'accès à Internet dans le passé. Malheureusement, l'accès à l'information ou aux moyens numériques ne suffira probablement pas à sortir le Yémen du gouffre de la famine, d'une épidémie de choléra et des atrocités d'une guerre civile qui perdure.

¹https://www[.]github[.]com/BasuCert/WinboxPoC