Archives de catégorie : backdoor

backdoor, Bitcoin, Cybersécurité

Stantinko, un botnet déployant un module de cryptomining

Des chercheurs découvrent que des cybercriminels exploitent le botnet Stantinko, composé de près de 500 000 ordinateurs. Les pirates le déploie maintenant avec un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs.

Ils ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan.

Récemment, ils ont déployé un nouveau modèle économique. Aprés les NAS et autre caméra de surveillance. Voici le minage de cryptomonnaie.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Depuis août 2018 au moins, les cybercriminels déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection.

En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement. Chaque nouvelle victime, et chaque échantillon sont uniques.

Stantinko utilise plusieurs techniques intéressantes

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage. Il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube.

Le malware bancaire Casbaneiro utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie. Lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution. Il est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant.

pour conclure, il est conseillé aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace. Sa télésurveillance numérique !

Argent, backdoor

Découverte du cheval de Troie bancaire Android, Ginp.

Le cheval de Troie Ginp est apparu dans le paysage des menaces en juin 2019 en tant qu’outil d’espionnage. Il vise avant tout les données bancaires. Découverte de cette malveillance.

Le logiciel pirate Ginp, encore peu connu, vise banques et données bancaires transitant par votre smartphone et tablette. Un outil malveillant sous Android.

En tant que logiciel malveillant bancaire, Ginp incite ses victimes à fournir des informations personnelles et sensibles, telles que des informations d’identification de connexion en ligne, des codes de sécurité bancaires et même des détails de carte de crédit grâce à des attaques par superposition.

Ginp est un trojan construit à partir de rien et recevant de nouvelles fonctionnalités via un autre cheval de Troie, Anubis.

Une méthode qui a tendance à indiquer des acteurs sélectifs et ciblés.

La liste des cibles indique un intérêt évident pour les banques espagnoles. Du moins, pour le moment.

Un total de 24 cibles uniques pour 7 banques différentes. Bien que les objectifs se concentrent sur les institutions espagnoles, la structure utilisée par le ou les auteurs semble indiquer un élargissement possible des objectifs à d’autres pays. Il serait même étonnant que ces pirates n’agissent pas de la sorte.

Ginp est peut-être un test, voir un leurre.

C’est déjà le deuxième nouveau cheval de Troie bancaire découvert cette année. Des logiciels espion qui commencent par une focalisation claire sur des banques européennes.

Étonnante envie et intérêts à commettre une fraude en Europe.

L’attaque par superposition fonctionne toujours en deux étapes: voler les identifiants bancaires et les détails de carte de crédit, maximisant ainsi les chances de recueillir des informations personnelles précieuses auprès des victimes.

The Reat Fabric revient sur ce piège numérique dans une analyse complète qui sera diffusée ce 21 novembre.

Android, backdoor, Sécurité

Nouvelle tactique furtive de faux-clics publicitaires dans des apps du Google Play Store

Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.

Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.

Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.

Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.

Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.

L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.

Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)

backdoor, Cybersécurité

La Gendarmerie Nationale coupe l’infiltration de Retadup

7 commentaires

960 000 ordinateurs de part le monde désinfectés du code malveillant Retadup par le centre de lutte contre les criminalités numériques de la Gendarmerie Nationale.

Les militaires du centre de lutte contre les criminalités numériques (C3N) ont frappé fort en faisant taire le code malveillant Retadup. Après une prise de contrôle du serveur permettant de contrôler plus de 960 000 machines de part le monde, les cyber gendarmes ont désinfectés les machines zombies.

Un sacré coup de frein aux actions malveillantes d’un groupe de pirates connus pour agir de Palestine.

Retadup est un cheval de Troie permettant de surveiller un ordinateur, intercepter les frappes claviers. Il peut aussi mettre la main sur les données financières, dont des cryptomonnaies. ZATAZ explique que la furtivité du logiciel pirate fait de lui un code malveillant redoutable.

backdoor, Cybersécurité, Securite informatique

Mobile Malware Report – Une application malveillante toutes les 8 secondes

Les experts en sécurité de G DATA ont compté plus de 10 000 nouvelles applications malveillantes chaque jour au cours du premier semestre 2019. Près de 2 millions de nouvelles applications malveillantes au cours des six premiers mois de 2019. En moyenne cela représente une application infectée pour Android qui apparaît toutes les huit secondes.

Le nombre de nouvelles applications malveillantes pour les appareils Android a légèrement diminué au premier semestre 2019. Alors que les experts de G DATA avaient comptabilisé plus de 2 millions d’applications infectées entre janvier et juin 2018, ils en ont trouvé 1,85 million cette année. « Le risque pour les smartphones et autres appareils mobiles reste très élevé « , déclare Alexander Burris, chercheur mobile en chef chez G DATA. « Parce que les smartphones sont devenus des compagnons indispensables, ils sont une cible attrayante pour les cybercriminels. Les logiciels publicitaires ou de rançon, qui nuisent directement à l’utilisateur, sont particulièrement lucratifs. » Fin juin, le nombre total d’applications malveillantes connues s’élevait à près de 94,2 millions.

Trop de versions d’Android

Le potentiel de menace toujours élevé d’Android est favorisé par la forte fragmentation du système d’exploitation. Actuellement, seulement 10 % du parc Android dispose de la dernière version 9. Quant à Android 8 – Oreo – il est seulement utilisé sur 28 % des appareils en circulation. Cela signifie que près de 60 % des appareils utilisent encore des versions datant d’avant août 2017, autrement dit qui sont totalement obsolètes.

Le label Android One de Google tend à corriger ce problème. En optant pour un smartphone portant ce label, l’acheteur est assuré que son appareil recevra les mises à jour du système pendant 2 ans.

L’annonce de la conversion d’une grande partie de l’infrastructure de mise à jour vers la nouvelle version Android Q et de la mise à jour des composants du système indépendamment des surcouches des fabricants permet également d’espérer que le problème des mises à jour sera résolu à terme.

Appareils obsolètes et imports bon marché

Les systèmes d’exploitation et les smartphones obsolètes qui n’ont pas les correctifs les plus récents permettent aux pirates d’installer facilement des logiciels malveillants sur l’appareil. Les raisons de cette situation sont doubles : soit il n’y a pas de mises à jour pour l’appareil, soit les clients ne les installent pas. Mais il peut également arriver que des appareils bon marché importés d’Asie soient vendus avec des logiciels malveillants préinstallés. Ces logiciels malveillants, principalement des spywares, permettent au constructeur malhonnête de récolter des informations sur l’utilisateur et de monétiser ce client par l’affichage de publicités ou l’installation d’applications à son insu. Bref, un logiciel de supervision destiné aux DSI peut faire parti de l’arsenal pour surveiller les installations « bancales ».

Haro sur le Google Play

Depuis quelques mois, le Play store ne fait plus recette auprès des gros éditeurs. Epic Games avait lancé les hostilités l’ année dernière en choisissant de ne pas  sortir son application Android sur la plateforme d’applications de Google. D’autres, tels que Tinder ou Netflix ont fait le choix de détourner le paiement vers leur propre boutique. La commission de 30 % demandée par Google ne passe plus… Si une telle tendance se confirmait, l’émergence de plateformes parallèles pourrait devenir une opportunité pour les cybercriminels.

Des pertes en millions

SimBad, Operation Sheep et Agent Smith sont trois exemples qui illustrent le succès des cybercriminels. 150 millions d’utilisateurs auraient une application Android avec le malware SimBad installé. La deuxième campagne de malware réussie est connue sous le nom d’Operation Sheep. Les applications infectées ont été téléchargées plus de 111 millions de fois. Toutes les applications se trouvent principalement dans les boutiques d’applications tierces. L’agent Smith est le nom de la troisième grande campagne. Elle a infecté 25 millions de smartphones en Asie. Une fois installé, l’agent remplace les applications par des clones infectés afin qu’ils affichent de la publicité. Bref, La transformation numérique des organisations doit prendre en compte ce genre de malveillance.

Android, backdoor, Cybersécurité, Identité numérique

Une nouvelle campagne de ransomware Android propagée par le carnet d’adresses des victimes

Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Des chercheurs ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.

Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; Après avoir été alertés, les opérateurs ont retiré les messages malveillants.

La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon. Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse.

Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », explique Lukáš Štefanko de che ESET.

Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.

Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.

Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.

backdoor, Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Justice, Paiement en ligne, ransomware, Securite informatique

Des experts en sécurité paient les ransomwares et facturent leurs clients

Des experts en sécurité informatique annonçaient posséder une technologie pour déchiffrer le ransomware SamSam. Il s’avère qu’ils payaient les maîtres chanteurs pour récupérer les fichiers. Ils facturaient ensuite les clients piégés.

Deux entreprises spécialisées dans la sécurité informatique annonçaient posséder une technologie capable de déchiffrer les fichiers pris en otage par le ransomware SamSam.

Il s’avère que ces experts de la cybersécurité payaient les auteurs du rançonnage. Les sociétés facturaient ensuite les clients piégés.

C’est ProPublica qui a mené une enquête sur ce phénomène. Les entreprises, Proven Data Recovery et MonsterCloud, annonçaient être capable de déchiffrer les fichiers pris en otage par le ransomwate SamSam.

Samsam, une attaque informatique qui avait perturbé le port de San Diego ou encore les ville d’Atlanta (11 millions de dollars), de Newark, des hôpitaux (dont celui d’Epinal en France) … Au USA, le Hollywood Presbyterian Medical Center avait avoué avoir payé pour récupérer ses données.

SamSam (MSIL/Samas) s’attaque aux serveurs  JBoss obsolète. Pour déchiffrer une machine, cela coute 1.7 Bitcoin (BTC). Samsam aurait été créé par deux pirates Iraniens.

Payer pour mieux déchiffrer ?

De nombreuses sociétés agissent de la sorte, l’indiquent à leurs clients. Elles agissent de la sorte par facilité et permettre de retrouver les données ! Pour MonsterCloud et Proven Data Recovery, c’est différent. Elles affirmaient avoir la technologie pour déchiffrer les informations prises en otage. Proven Data Recovery indique que cela était nécessaire, quand par exemple la santé/vie de patients pouvaient être mis en danger.

Comme l’indiquait en mars 2019 l’ANSSI, SamSam cible des entreprises estimées très rentables, appartenant à des secteurs d’activités variés, ainsi que des entités publiques à même de payer un montant conséquent en guise de rançon.

Les deux pirates Iraniens ne peuvent plus être payés par bitcoin, du moins via une entreprise américaine. L’Oncle Sam a mis sous embargo le moindre commerce avec ce pays et des entreprises américaines ou basées aux USA, faisant commerce avec les Etats-Unis. Bilan, plus possible de payer !

backdoor, Cybersécurité, IOT, Securite informatique

Faille iLnkP2P : découverte de 2 millions d’objets connectés affectés

Faille de sécurité dans iLnkP2P : 2 millions d’objets connectés sont affectés. Trois mois après la divulgation de cette faille, le correctif n’est toujours pas disponible.

En tout, iLnkP2P présente deux failles de sécurité. L’une d’elle permet à un attaquant de se connecter à un périphérique. L’autre problème permet de voler les données d’accès au périphérique et de prendre le contrôle total.
Un vrai danger, surtout si une webcam impactée est située dans une zone telle que la chambre d’un enfant ou votre chambre à coucher.
De nombreux appareils intelligents utilisent des composants prêts à l’emploi. Une partie de ces composants exploite la communication P2P. Cette communication fluide et sans problème permet de relier les périphériques entre-eux.

iLnkP2P dangereux !

Une des solutions prêtes à l’emploi s’appelle iLnkP2P, fabriquée par la société chinoise Shenzen Yunni Technologies.
L’approvisionnement en composants auprès de fournisseurs externes est une pratique courante dans de nombreux secteurs. Par exemple, les constructeurs automobiles achètent souvent certains groupes de composants, tels que des faisceaux de câbles, auprès de fournisseurs externes. En conséquence, tout problème avec un composant fabriqué par un fournisseur donné affecte plusieurs fournisseurs.
Parmi les sociétés affectées par les failles de sécurité : VStarcam, Eye Sight et HiChip.
Il serait «difficile» d’énumérer tous les fournisseurs concernés, comme l’a expliqué Paul Marrapese. À ce stade, aucun correctif n’est en vue – et il est peu probable qu’il en existe un prochain, étant donné que le fournisseur de iLnkP2P n’a pas réagi à plusieurs tentatives d’alertes.
Le chercheur a rendu publique les vulnérabilités au bout de trois mois.
APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

SneakyPastes : une opération basique mais efficace du cybergang Gaza frappe des cibles liées au Moyen-Orient dans 39 pays

En 2018, le cybergang Gaza, dont nous savons désormais qu’il comprend plusieurs groupes plus ou moins sophistiqués, a lancé une opération de cyberespionnage ciblant des personnes et des institutions ayant un intérêt politique en lien avec le Moyen-Orient. La campagne, nommée SneakyPastes, utilisent des adresses e-mail jetables pour propager l’infection par phishing, avant de télécharger le malware par étapes successives depuis divers sites gratuits. Cette méthode peu coûteuse mais efficace a permis au groupe de frapper environ 240 victimes d’envergure dans 39 pays à travers le monde, notamment des responsables politiques, des diplomates, des activistes ou des médias.

Le cybergang Gaza est un collectif arabophone à motivations politiques, rassemblant des groupes malveillants étroitement liés qui ciblent activement le Moyen-Orient et l’Afrique du Nord, en particulier les Territoires palestiniens. Kaspersky Lab a identifié au moins trois de ces groupes ayant des objectifs et des cibles similaires – pour du cyberespionnage lié à des intérêts politiques dans la région – mais présentant des outils, techniques et niveaux de sophistication très différents. Il existe cependant des éléments communs à chacun d’entre eux.

Le cybergang Gaza

Parmi ces groupes, les plus avancés sont Operation Parliament et Desert Falcons, identifiés respectivement depuis 2018 et 2015, aux côtés d’un groupe sous-jacent moins complexe, également connu sous le nom de MoleRats, actif depuis au moins 2012. Au printemps 2018, ce groupe de base a lancé l’opération SneakyPastes.

SneakyPastes a commencé par des attaques de phishing autour de thèmes politiques, propagées à l’aide d’adresses e-mail et de domaines « jetables » (à usage unique). Les liens ou fichiers joints malveillants sur lesquels les destinataires cliquaient ou où qu’ils téléchargeaient installaient ensuite l’infection sur leur machine.

SneakyPastes

Afin d’échapper aux systèmes de détection et de masquer la localisation du serveur de commande et de contrôle (C&C), un malware supplémentaire était téléchargé sur les machines des victimes par étapes successives depuis divers sites gratuits, notamment Pastebin et Github. Les différents implants malveillants utilisaient PowerShell, VBS, JS et dotnet pour assurer leur résilience et leur persistance à l’intérieur des systèmes infectés. La dernière étape de l’intrusion était un cheval de Troie à accès distant (RAT), qui contactait le serveur C&C puis collectait, compressait, cryptait et transférait vers celui-ci un large éventail de documents volés (tableaux de chiffres, par exemple). L’opération SneakyPastes tire son nom de l’utilisation massive, par les auteurs de l’attaque, de sites de collage (paste) pour infiltrer progressivement le RAT dans les systèmes des victimes.

Les chercheurs ont collaboré avec les autorités afin de mettre au jour le cycle complet d’attaque et d’intrusion de l’opération SneakyPastes. Ces efforts ont permis d’aboutir, non seulement à une connaissance détaillée des outils, techniques, cibles, etc., mais aussi au démantèlement effectif d’une grande partie de l’infrastructure.

Territoires palestiniens, en Jordanie, en Israël et au Liban

L’opération SneakyPastes a connu son pic d’activité entre avril et mi-novembre 2018, se concentrant sur une liste restreinte de cibles constituées d’entités diplomatiques et gouvernementales, d’ONG et de médias. D’après les données télémétriques, il semble exister environ 240 victimes d’envergure – individus ou institutions – dans 39 pays à travers le monde, dont la majorité se trouve dans les Territoires palestiniens, en Jordanie, en Israël et au Liban. Il s’agit notamment d’ambassades, d’administrations, de médias et de journalistes, d’activistes, de partis politique ou de particuliers, ainsi que d’établissements dans les secteurs de l’éducation, de la banque et de la santé ou encore des organisations contractantes.

« La découverte de Desert Falcons en 2015 a marqué un tournant dans le paysage des menaces car il s’agissait alors de la première APT connue qui soit entièrement arabophone. Nous savons à présent que ses auteurs, le cybergang Gaza, ciblent activement des intérêts moyen-orientaux depuis 2012. Celui-ci s’appuyait au départ sur les activités d’une équipe assez peu sophistiquée mais acharnée, à l’origine de l’opération SneakyPastes en 2018. SneakyPastes montre que le manque d’infrastructures et d’outils avancés n’est pas un obstacle au succès. Nous nous attendons à voir les dommages causés par les trois groupes du cybergang Gaza s’intensifier et leurs attaques s’étendre à d’autres régions du monde qui sont également liées à la question palestinienne », commente Amin Hasbini, responsable du centre de recherche pour le Moyen-Orient au sein de l’équipe GReAT (Global Research & Analysis Team).

backdoor, Leak

TajMahal, le petit palais de la malveillance numérique

TajMahal, une rare plate-forme de cyberespionnage forte de 80 modules malveillants, avec des fonctionnalités inédites et sans liens connus avec des menaces existantes.

Des chercheurs ont mis à jour une plate-forme de cyberespionnage techniquement très élaborée, active depuis au moins 2013 et sans liens apparents avec des menaces connues. Cette plate-forme, nommée TajMahal par les chercheurs, compte environ 80 modules malveillants et présente des fonctionnalités jusque-là inédites dans une menace persistante avancée (APT), par exemple la capacité de voler des informations dans les files d’attente d’imprimante et de capturer des fichiers, repérés précédemment sur une clé USB, lors de sa connexion suivante. Kaspersky Lab a observé jusqu’à présent une seule victime, une ambassade d’un pays d’Asie centrale, mais il est probable que d’autres ont été touchées.

Les chercheurs de Kaspersky Lab ont découvert TajMahal vers la fin de 2018. Il s’agit d’une plate-forme APT techniquement très élaborée, conçue pour des activités poussées de cyberespionnage. L’analyse du malware révèle que la plate-forme a été développée et utilisée depuis au moins cinq ans, l’échantillon le plus ancien datant d’avril 2013 et le plus récent de 2018. Le nom « TajMahal » est celui du fichier servant à exfiltrer les données volées.

TajMahal 2.0

Il semble que la plate-forme TajMahal comporte deux principaux packages, qui se nomment eux-mêmes « Tokyo » et « Yokohama ».

Tokyo est le plus petit des deux, comptant environ trois modules. Il contient les principales fonctionnalités du backdoor (la porte dérobée) et se connecte périodiquement aux serveurs de commande et de contrôle (C&C). Tokyo exploite PowerShell et demeure présent sur le réseau même après le passage à la phase 2 de l’intrusion.

Cette seconde phase est Yokohama, une plate-forme dotée d’armes complètes d’espionnage. Celle-ci comprend un système de fichiers virtuel (VFS) regroupant l’ensemble des modules, des bibliothèques tierces open source et propriétaires, ainsi que des fichiers de configuration. On y dénombre en tout près de 80 modules, notamment de chargement, d’orchestration, de communication C&C, d’enregistrement audio, d’enregistrement des frappes clavier, de copie d’écran et de piratage de webcam ou encore destinés au vol de documents et de clés cryptographiques.

TajMahal peut également dérober des cookies de navigateur, collecter la liste de sauvegarde des appareils mobiles Apple ou de voler les données d’un CD gravé par une victime ainsi que des documents dans la file d’attente d’une imprimante. Le malware peut aussi commander le vol d’un fichier particulier sur une clé USB vue précédemment, fichier dérobé lors de la prochaine insertion de celle-ci dans l’ordinateur.

Les systèmes ciblés infectent à la fois par Tokyo et Yokohama

Cela donne à penser que Tokyo constituait la première phase de l’infection, déployant les fonctionnalités complètes de Yokohama chez les victimes qui présentent un intérêt, puis restant sur place à des fins de sauvegarde. Jusqu’à présent, une seule victime identifiée : une représentation diplomatique d’un pays d’Asie centrale, infectée en 2014. Les vecteurs de diffusion et d’infection de TajMahal sont pour l’instant inconnus.

« La plate-forme TajMahal est une découverte très intéressante et très curieuse. Sa complexité technique ne fait aucun doute et elle présente des fonctionnalités encore jamais observées auparavant dans une menace avancée. Un certain nombre de questions se posent. Par exemple, il paraît hautement improbable qu’un tel investissement ait été engagé à l’encontre d’une seule victime. Cela laisse penser qu’il existe d’autres victimes non encore identifiées et/ou que des versions supplémentaires de ce malware sont en circulation. Les vecteurs de diffusion et d’infection de la menace sont eux aussi inconnus. D’une manière ou d’une autre, celle-ci a échappé aux radars pendant plus de cinq ans. Que ce soit dû à son inactivité relative ou à une autre raison, cela constitue un autre mystère. Aucun indice ne nous permet d’attribuer cette menace ni de la relier à des groupes malveillants connus », commente Alexey Shulmin, analyste principal en malware.

backdoor, Chiffrement, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

De nouvelles vulnérabilités des routeurs Verizon exposent des millions de consommateurs

Selon une étude Tenable, des pirates pourraient obtenir le contrôle complet des routeurs domestiques Verizon et l’accès au trafic du réseau sans avoir besoin d’un accès physique à l’appareil.

Une équipe de recherche a découvert de multiples vulnérabilités dans les routeurs Verizon Fios Quantum Gateway. Si elles étaient exploitées, les vulnérabilités donneraient à l’attaquant un contrôle total sur le routeur et une visibilité sur tout ce qui y est connecté. Des millions de ces appareils sont actuellement utilisés dans les foyers américains.

L’essor de la maison intelligente a fait du simple routeur une cible de choix pour les cybercriminels. Ces dernières vulnérabilités découvertes par Tenable Research (CVE-2019-3914, CVE-2019-3915 et CVE-2019-3916) ouvrent la voie à un certain nombre de scénarii d’attaque qui permettent d’accéder aux dispositifs intelligents, comme les systèmes de sécurité domestiques, qui sont connectés au routeur et peuvent être compromis à distance. Un attaquant pourrait altérer les paramètres de sécurité de l’appareil, modifier les règles du pare-feu ou supprimer les contrôles parentaux. Ils pourraient surveiller le trafic réseau pour compromettre davantage les comptes en ligne d’une victime, voler ses coordonnées bancaires et récupérer ses mots de passe.

« Les routeurs sont aujourd’hui la plaque tournante de toute la maison intelligente. Ils nous permettent de rester connectés à Internet, de sécuriser nos maisons et même de déverrouiller les portes à distance, explique Renaud Deraison, cofondateur et CTO chez Tenable. Mais ils servent aussi de point d’entrée virtuel au cœur même de la maison moderne, contrôlant non seulement ce qui sort, mais aussi qui entre. »

Verizon a indiqué que la version 02.02.00.13 du firmware traitera ces vulnérabilités et que les périphériques concernés seront mis à jour à distance.

APT, Argent, backdoor, Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Particuliers, Securite informatique, Téléphonie

Anubis : cheval de Troie bancaire décortiqué

Anubis 2 est apparu dans le « paysage des menaces » en 2017 en tant que cheval de Troie bancaire en location (disponible pour les fraudeurs dans des forums undergrounds), l’auteur et créateur du malware se surnomme « maza-in ». Si ce dernier a disparu des radars, son outil malveillant est toujours en action.

En tant que malware bancaire, Anubis incite ses victimes à fournir des informations personnelles et sensibles, telles que les logins bancaires, des codes de sécurité bancaire et même des informations de carte de crédit. Mais ce logiciel malveillant va au-delà des attaques « overlay » bien connues, utilisées par les chevaux de Troie bancaires, car il combine des fonctionnalités avancées telles que le streaming d’écran du téléphoné infecté, l’accès à tous les fichiers à distance, l’enregistrement sonore, le key-logging et même un proxy réseau, ce qui en fait un malware bancaire efficace, mais également un potentiel outil pour espionnage.

D’un point de vue opérationnel, Anubis peut être considéré comme l’un des chevaux de Troie bancaires Android les plus utilisés depuis fin 2017. En ce qui concerne les banques Françaises, les suivantes sont ciblées : Axa, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, Crédit Agricole, Crédit Mutuel, LCL, Palatine ou encore la Société Générale.

L’auteur a disparu, par son code malveillant

Au cours du premier trimestre 2019, l’auteur et créateur du cheval de Troie a disparu, laissant les clients existants sans assistance ni mises à jour; mais le risque demeure et pourrait même augmenter. Les campagnes d’infection d’Anubis comptent parmi les plus importantes jamais enregistrées pour les malwares bancaires : De nombreuses victimes ne sont pas conscientes du fait que le malware ne se déguise pas comme l’app de la banque, il se déguise principalement en tant qu’application tierce et reste inaperçu par les usagers. Anubis se fait par exemple passer pour : de faux jeux mobiles, de fausses mises à jour de logiciels, de fausses applications postales, de fausses applications Flash Player, de fausses applications utilitaires, de faux navigateurs et même de fausses applications de réseau social et de communication.

Les caractéristiques du cheval de Troie en font une menace importante : Habituellement, les chevaux de Troie bancaires effectuent principalement des attaques de type « overlay » afin de collecter les informations personnelles puis volent les SMS pour acquérir les codes bancaires, mais Anubis va plus loin que ça avec la streaming de l’écran du téléphone infecté, l’accès de fichiers à distance (accès au stockage du téléphone), l’enregistrement sonore, le key-loggign et même un proxy réseau (permettant au criminel de se connecter à la banque via le téléphone infecté).

300 banques dans le monde ciblées

Les campagnes d’infection d’Anubis ciblent en moyenne, plus de 300 banques dans le monde: La liste observée dans les campagnes Anubis contient environ 360 cibles, contenant la plupart des banques les plus grandes et les plus connues dans le monde, mais également des applications de communication et de réseautage social largement utilisées, ce qui signifie que personne n’est vraiment protégée, car même si une victime ne fait pas de banque en ligne le malware abusera d’autres applications (Liste complète de cibles en Annexe du blog).

Les malware qui deviennent orphelins ne sont pas toujours un bon signe : Beaucoup de gens pourraient penser que lorsque le propriétaire / auteur du malware disparaît, les opérations s’arrêtent… Malheureusement, ce n’est pas toujours le cas, surtout pas avec Anubis. Bien que l’acteur ait disparu, le cheval de Troie est toujours actif et le pire est que son code a été divulgué/fuit, ce qui pourrait amener de nombreux autres criminels à utiliser le programme malveillant. Toute l’analyse complète à découvrir sur Threat fabric.

backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Des pirates mettent la main sur des mises à jour du logiciel ASUS

Des pirates informatiques ont réussi à s’infiltrer dans les mises à jour du constructeur Coréen ASUS. Ils ont installé, durant plusieurs semaines, des backdoors sur des milliers d’ordinateurs.

Imaginez, 12% des ordinateurs ASUS en France seraient concernés par cette infiltration. Selon des chercheurs de la société de cybersécurité Kaspersky Lab, « des pirates ont réussi l’année dernière à installer des logiciels malveillants à plus d’un million de propriétaires de PC de la marque ASUS – l’un des plus grands fabricants d’ordinateurs au monde –« . Ils auraient exploité le système de mise à jour logicielle du fabricant. Le fichier malveillant a été signé avec des certificats numériques ASUS légitimes pour donner l’impression qu’il s’agit d’une mise à jour logicielle authentique de la société.

Les certificats de signature de code utilisés pour savoir quelles sont les mises à jour à faire et quelles sont les machines à qui nous pouvons faire confiance. Ils sont dans les applications qui alimentent les voitures, les ordinateurs portables, les avions et plus encore. Presque tous les systèmes d’exploitation dépendent de la signature de code, et nous verrons beaucoup plus de certificats dans un avenir proche en raison de l’essor des applications mobiles, des DevOps et des périphériques IoT. « Cependant, les cybercriminels considèrent les certificats de signature de code comme une cible précieuse en raison de leur puissance extrême. explique à Data Security Breach Kevin Bocek, VP security strategy and threat intelligence chez Venafi. Avec un certificat de signature de code, les hackers peuvent donner l’impression que leurs logiciels malveillants sont dignes de confiance et échapper aux systèmes de protection contre les menaces.« 

Infiltration et manipulation

Malheureusement, dans de nombreuses organisations, la protection des processus de signature de code incombe principalement aux développeurs qui ne sont pas prêts à défendre ces actifs. En fait, la plupart des équipes de sécurité ne savent même pas si leurs développeurs utilisent la signature de code ou qui peut avoir accès au processus de signature de code. « Il est impératif que les organisations sachent quels certificats de signature de code elles utilisent et où, d’autant plus qu’il est probable que des attaques similaires se produiront à l’avenir.« 

Cette nouvelle attaque utilisant le matériel ASUS est parfaitement emblématique du nouveau cyber-monde dans lequel nous vivons. Elle présente toutes les caractéristiques d’une opération précise : ciblée, exige beaucoup de ressources et presque impossible à détecter. « Tout acteur menaçant aurait besoin de ressources et d’un soutien considérables pour acquérir les certificats authentiques d’ASUS afin de faire son entrée dans la chaîne logistique. Ceci initie bien sûr le jeu qui consiste à deviner qui pourrait être derrière la campagne et il n’est pas exagéré de prétendre que des États manquant de lois sur les cyber-infractions et hébergeant des réseaux internationaux de cyber-crimes pourraient être à l’origine de cette activité. » indique Justin Fier, de chez Darktrace.

Ciblage !

Mais la nature très ciblée de l’attaque est peut-être encore plus alarmante: c’est là que nous devrions concentrer notre attention. Dans le monde entier, ces pirates ne ciblaient que 600 machines. Ce n’est qu’une question de temps avant que nous apprenions que ces machines ou ces personnes ciblées ont un fil conducteur unique les reliant entre elles. Pour l’instant, la question pour toutes les entreprises utilisant du matériel ASUS devrait être d’identifier si l’une de leurs machines se trouvait dans la cible. Et au-delà de cela, toutes les organisations doivent réaliser qu’ASUS n’est qu’une seule entreprise. Y aura-t-il des attaques similaires contre Dell et Apple ?

Voler des certificats authentiques et les utiliser pour signer des codes malveillants ne fait que renforcer les arguments en faveur de technologies d’IA sophistiquées capables d’identifier même les plus petites anomalies indiquant une menace. Ce type de comportement serait si proche de la normale que seule l’IA pourrait comprendre la différence entre normal et malveillant. En luttant contre des attaques aussi sophistiquées que celles-ci, les approches traditionnelles deviendront inefficaces: la cyber IA doit être la voie à suivre.

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Un nouveau malware BabyShark cible les « Think Tanks » américains en charge de la sécurité intérieure

En février 2019, les chercheurs de l’Unité 42 au sein de Palo Alto Networks ont identifié des mails d’hameçonnage ciblé (spear phishing) envoyés en novembre 2018 qui contenaient un nouveau malware partageant la même infrastructure avec des playbooks(c’est-à-dire des feuilles de route listant les actions et les objectifs utilisés par un malware ou une famille de malware) associés aux campagnes nord-coréennes.

Ces mails étaient écrits comme s’ils émanaient d’un expert en sécurité nucléaire travaillant actuellement comme consultant pour des think tanks liés à la sécurité intérieure aux États-Unis. Ils ont été envoyés depuis une adresse publique avec le nom de l’expert et un sujet faisant référence au nucléaire nord-coréen. Ces messages avaient en pièce jointe un document Excel avec une macro infectée, qui ,quand elle était exécutée, menait à une nouvelle famille de malwares basée sur Microsoft Visual Basic (VB) que nous avons surnommé « BabyShark »

BabyShark est un malware récent. La version la plus ancienne que nous avons pu trouver dans des dépôts open source et nos propres jeux de données internes remontent à novembre 2018. Le malware se lance en exécutant à distance une requête HTML, qui peut être alors livrée au travers de différents types de fichiers comme des fichiers contenant des exécutables ou des documents malveillants. Babyshark extrait alors les informations du système vers un serveur C&C (Command and Control), se maintient au cœur du système et attend de nouvelles instructions de la part de l’opérateur.

BabyShark est utilisé pour une campagne limitée de spear phishing toujours en cours depuis novembre 2018. L’acteur derrière cette menace cherche clairement à glaner des informations liées à la sécurité nationale (américaine) en Asie du Nord-Est. Le soin apporté à la conception des mails d’hameçonnage et du camouflage laisse à penser que cet acteur connaît bien les cibles, et surveille de près les événements de cette communauté pour y récupérer les dernières informations. Sans pouvoir en être certains, nous pensons que l’acteur derrière BabyShark doit être en relation avec l’acteur (ou être le même groupe) qui a utilisé la famille de malwares KimJongRAT, et qui du moins partage des ressources avec l’acteur responsable de la campagne STOLEN PENCIL. Nous avons également remarqué des tests qui semblent indiquer que les attaquants travaillent sur de nouvelles versions d’exécutables pour envoyer BabyShark. Dans les prochaines campagnes, l’attaquant pourrait utiliser différentes méthodes pour déployer BabyShark.

backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Les tendances phares en matière de cybersécurité pour 2019

Du point de vue de la cybersécurité, l’année 2018 s’est révélée assurément riche en événements ! En mai, le RGPD est finalement entré en vigueur en Europe. Cette avancée a démontré que les instances dirigeantes prennent enfin au sérieux la protection des données personnelles de leurs citoyens. Les entreprises qui travaillent en Europe se trouvent soudainement confrontées à de nouvelles conséquences si elles ne parviennent pas à protéger leurs données sensibles, nous propulsant tous à l’étape suivante de la cybersécurité mondiale.

Par ailleurs, nous avons vu la cybersécurité occuper une place centrale dans le paysage géopolitique tandis que les conversations sur le piratage financé par l’état et les attaques ciblant des infrastructures critiques attisaient les tensions à travers le monde. La société McAfee nous en a récemment donné un exemple en révélant qu’une nouvelle opération de piratage organisé, « Sharpshooter », ciblait spécifiquement les fournisseurs d’infrastructures critiques dans les secteurs de l’énergie, de la finance et de la défense.

Dans les entreprises, une certaine crainte envers la cybersécurité se ressent parmi les décideurs, beaucoup d’entre eux citent la sécurité et la protection de la vie privée comme des facteurs empêchant la progression de leur transformation numérique. De récentes études montrent que 40 % des personnes interrogées ont mentionné les problèmes de sécurité comme un thème récurrent, 37 % évoquant également la protection de la vie privée.

Alors qu’une perspective morose semble ainsi se dessiner tandis que 2018 touche à sa fin, nous avons le temps de réfléchir à l’année écoulée et de commencer à préparer notre défense pour 2019, et au-delà. Pour vous aider à élaborer ces plans, voici quelques-unes des principales tendances en matière de cybersécurité que nous anticipons pour 2019 :

Les nouvelles réglementations influencent les politiques de protection des données

L’entrée en vigueur de nouvelles réglementations sur la protection des données, telles que le RGPD européen, influencera fortement l’année 2019. Même si le RGPD est une bonne nouvelle car il améliore la sécurité des données, il représente un défi majeur pour les entreprises. Par ailleurs, même s’il est déjà en place depuis quelques mois, les importantes pénalités prévues en cas de non-conformité ne verront probablement le jour qu’à partir de 2019. Les entreprises de toute taille doivent repenser entièrement leurs politiques de protection des données pour faire face à plusieurs séries de réglementations internationales sur la confidentialité des données, en constante évolution.

L’IA joue un rôle croissant dans la cybersécurité

L’intelligence artificielle (IA) a émergé comme l’une des technologies qui a le plus changé le monde ces dernières années. En réalité, la valeur générée par les activités dérivées de l’IA atteindra presque 3,9 trillions de dollars d’ici 2022, selon Gartner. Cependant, cette technologie pourrait également être utilisée par des pirates informatiques pour lancer des attaques de plus en plus sophistiquées. La bonne nouvelle est que l’IA peut aussi être mise à profit par les entreprises pour identifier et contrer de telles menaces. Par exemple, des plateformes de prédiction des cyberattaques, basées sur la technologie de l’apprentissage automatique (Machine Learning), peuvent aider les chercheurs en sécurité à trier les menaces et à traiter les plus urgentes aussi rapidement que possible.

Les compétences en cybersécurité sont de plus en plus demandées

Les compétences requises pour traiter les cybermenaces, qui changent constamment, doivent évoluer et les entreprises doivent relever le défi afin de garder l’avantage. Cependant, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité sur le marché du travail. Selon un rapport récent de l’organisation International Information System Security Certification Consortium, ou (ISC)2, il existe 2,9 millions de postes vacants dans le domaine de la cybersécurité, ce qui représente une augmentation considérable par rapport au 1,8 million enregistré l’année précédant le rapport. Avec un nombre croissant d’entreprises s’engageant dans la transformation numérique, une attention accrue sera apportée à cultiver les compétences requises en cybersécurité au sein de la main d’œuvre existante et à recruter plus de spécialistes.

La prévention cède le pas à la résilience

En 2019, nous continuerons de nous éloigner de la prévention pour nous concentrer sur la résilience pour tout ce qui concerne les failles de sécurité. Il n’est plus possible d’éviter complètement ces menaces. Il faut donc se concentrer désormais sur l’identification de ces failles afin d’y remédier le plus rapidement possible. Les ressources jusqu’alors tournées vers la prévention des cyberattaques continueront d’être réattribuées à la protection, en 2019 et après.

La technologie IoT au cœur de la sécurité nouvelle génération

La technologie de l’Internet des Objets (IoT) devenant de plus en plus répandue, l’enjeu de la protection des données clients sensibles se complexifie considérablement. Les fabricants et les fournisseurs de services doivent s’assurer que leurs appareils, plateformes et logiciels garantissent un certain niveau de sécurité à leurs utilisateurs. La technologie IoT est largement utilisée non seulement pour le matériel de consommation, tel que les appareils de domotique, mais également dans les secteurs de la fabrication et du commerce de détail, ce qui fait de la sécurité une priorité. L’essor de l’IoT contribue à favoriser le développement de cadres de sécurité nouvelle génération. Ceux-ci peuvent être adaptés pour prendre en charge les technologies émergentes et les nouvelles menaces de sécurité au fur et à mesure qu’elles se développeront. Mieux encore, les données générées par les appareils IoT pourront également aider à détecter les failles de sécurité.

Les entreprises de toutes tailles sont la cible de cybercriminels

Alors que les grandes entreprises sont clairement une cible privilégiée des cyberattaques majeures, quelque 58 % des victimes de violation de données sont en réalité des petites entreprises, selon un rapport Verizon. Avec un budget sécurité moindre, les petites entreprises peuvent être considérées par les pirates informatiques comme des proies faciles, leur offrant un profit élevé pour des efforts minimums. Les cybermenaces les plus fréquentes sont les rançongiciels, les attaques par déni de service (DDoS) et les logiciels malveillants. Selon le rapport, des données à caractère personnel ont été compromises dans 36 % des cas de violation de données l’année dernière, ce qui souligne l’importance de la protection contre de telles attaques. Le rapport indique que le secteur de la santé a été le plus touché par les cyberattaques tandis que les atteintes dans le secteur de la finance ont chuté, suite à des investissements massifs dans la cybersécurité. (Srinivasan C.R., Chief Digital Officer, Tata Communications)

backdoor, Cybersécurité, Emploi, Entreprise, Fuite de données, Propriété Industrielle, Sauvegarde, Securite informatique

Cybersécurité : la DGSI communique sur l’ingérence économique

2 commentaires

La Direction Générale de la Sécurité Intérieur, la DGSI (ex. DST), vient de publier un flash évoquant l’ingérence économique dont des sociétés françaises sont régulièrement victimes. Les chasseurs d’espions de la République reviennent sur plusieurs exemples qui additionnent malveillances, mails et informations d’entreprises emportées par des sous-traitants.

Dans son flash du mois de février 2019, la Direction Générale de la Sécurité Intérieur (DGSI) montre du doigt un problème récurent qu’il est possible de croiser dans de nombreuses sociétés : les consultants extérieurs. « De nombreuses entreprises ont recours à des consultants externes à l’entreprise aux fins de sous traiter des missions de conseil dans des domaines spécifiques (ressources humaines, management, finances, RSSI, réorganisation, etc.). » indique la DGSI. Les missions de ces consultants peuvent parfois se dérouler au sein de sociétés stratégiques ou innovantes. « Certains consultants, totalement intégrés aux équipes et présents au sein de l’entreprise pendant plusieurs mois, voire parfois plusieurs années, peuvent néanmoins avoir accès à des informations sensibles, induisant une potentielle vulnérabilité pour le patrimoine informationnel de la structure hébergeante« .

Sous-traitants malveillants !

Parmi les exemples, une entreprise spécialisée dans le transport de matières premières qui découvre qu’un ingénieur consultant, prestataire pour le compte d’une société de conseil, avait exfiltré des données confidentielles portant sur des technologies innovantes. Un autre cas, un téléphone portable volé au sein d’une unité à accès réglementé d’une grande entreprise française. Dans le smartphone, une carte « micro SD » contenant des informations et des logiciels portant sur une technologie innovante de l’entreprise.

backdoor, Bitcoin, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Securite informatique

Cybercriminels : évolution des systèmes sophistiqués de menaces

Utilisation massive des attaques par email, détection difficile des attaques phishing ou encore chute des ransomwares… Quelles ont été les tendances des cybercriminels ce dernier trimestre ?

Dans son Rapport Trimestriel Q4 2018, Proofpoint met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances en matière de cyberattaques.

Parmi les principales menaces du dernier trimestre 2018, nous notons Une utilisation massive des attaques BEC contre des entreprises. Une augmentation des fraudes par email de 226% au quatrième trimestre et de 476% par rapport au quatrième trimestre 2017. Les chevaux de Troie bancaires restent la principale menace véhiculée par email : ils représentent 56% de toutes les charges utiles malveillantes au quatrième trimestre ; parmi celles-ci, 76% des attaques proviennent de Emotet. Egalement, les chevaux de Troie d’accès à distance représentaient 8,4 % de toutes les charges utiles malveillantes au quatrième trimestre et 5,2 % pour l’année, marquant un changement significatif par rapport aux années précédentes où ils étaient rarement utilisés.

Les ransomware toujours très présents

Les ransomwares ont chuté à seulement 0.1% du volume total de messages malveillants. Les messages malveillants qui contiennent de fausses mise à jour ou lien de téléchargement corrompus ont grimpé à plus de 230 % en 1an. Les messages exploitant des URL malveillantes se sont révélés plus nombreux que les messages contenant des pièces jointes.

Les attaques sur le web : quand les cryptomonnaies se font miner. L’activité de Coinhive, ce logiciel de minage de moneros, a littéralement explosé en décembre (augmentation de 23 fois la moyenne de l’année en deux semaines). Dans l’ensemble, l’activité Coinhive a continué de croître lentement, à l’exception de ce pic. Il y a eu une augmentation de 150% de menace ciblant l’humain, bien qu’il s’agisse d’une croissance plus lente que les trimestres précédents. Ce chiffre confirme l’importance des techniques d’ingénierie sociale.

Sur les réseaux sociaux, les attaques par « angler phishing » restent difficiles à détecter. Le phishing sur les réseaux sociaux, communément appelé ‘angler phishing a augmenté de 442 % par rapport à l’année précédente. En revanche, les liens de phishing sur les réseaux sociaux diminuent à mesure que les plateformes renforcent leurs algorithmes pour contrer ce problème. Le phishing reste malgré tout une technique difficile à détecter car les attaques sont causées par des interactions humaines. (Le rapport)

backdoor, Chiffrement, Communiqué de presse, cryptage, Hacking, Securite informatique, Social engineering

les logiciels malveillants dédiés aux cryptomonnaies touchent 10 fois plus d’entreprises que les ransomwares

Les extracteurs de cryptomonnaie touchent 10 fois plus d’entreprises que les logiciels rançonneurs. Le Rapport Sécurité 2019 de Check Point révèle pourtant que seul 1 professionnel de l’informatique sur 5 anticipe les infections.

La seconde partie de son Rapport Sécurité 2019 souligne combien les outils et les services utilisés pour mener des activités cybercriminelles se sont démocratisés. Non seulement les méthodes d’attaque se sont perfectionnées mais elles sont désormais accessibles à toute personne disposée à en payer le prix, et c’est précisément rendu possible grâce au marché en plein essor des logiciels malveillants sous forme de service.

Cette seconde partie du rapport révèle les principales tendances en matière de cyberattaques observées en 2018, et pointe du doigt la croissance significative du nombre d’attaques furtives et complexes conçues pour échapper aux équipes de sécurité des entreprises. Il précise également les types de cyberattaques que les équipes informatiques et de sécurité des entreprises considèrent comme représentant la plus grande menace pour eux.

Les éléments clés du rapport

  • Les extracteurs de cryptomonnaie s’activent sur les réseaux sans être détectés : Les extracteurs de cryptomonnaie ont infecté 10 fois plus d’entreprises que les logiciels malveillants en 2018, mais seulement un professionnel de la sécurité informatique sur cinq a été en mesure de détecter une infection sur son réseau. 37 % des entreprises dans le monde ont été touchées par des extracteurs de cryptomonnaie en 2018. 20 % des entreprises continuent d’être touchées par ce phénomène chaque semaine, malgré une baisse de 80 % de la valeur des cryptomonnaies.
  • Les risques présentés par les extracteurs de cryptomonnaie sont sous-estimés par les entreprises : Lorsque CP a demandé aux entreprises quelles étaient les menaces les plus importantes pour leur entreprise, 16 % seulement des professionnels de l’informatique ont cité les extracteurs de cryptomonnaie, contre 34 % pour les attaques DDoS, 53 % pour les fuites de données, 54 % pour les logiciels rançonneurs et 66 % pour le phishing. C’est assez préoccupant, car les extracteurs de cryptomonnaie peuvent facilement servir de portes dérobées pour télécharger et activer d’autres types de logiciels malveillants. 
  • Les logiciels malveillants sous forme de service se développent : Le programme d’affiliation du logiciel malveillant sous forme de service GandCrab permet désormais à des amateurs de se lancer dans le business lucratif des logiciels rançonneurs. Ils conservent jusqu’à 60 % du montant des rançons perçues auprès des victimes et les développeurs en conservent jusqu’à 40 %. GandCrab compte plus de 80 affiliés actifs, et plus de 50 000 victimes ont été infectées en seulement deux mois en 2018, totalisant entre 300 000 et 600 000 dollars de rançons. 

« La seconde partie de notre Rapport Sécurité 2019 montre comment les cybercriminels s’intéressent à de nouvelles approches furtives et de nouveaux modèles commerciaux, tels que les programmes d’affiliation de logiciels malveillants, afin de maximiser leurs revenus illégaux tout en réduisant le risque d’être détectés. Même s’ils agissent à l’abri des regards on ne doit pas les oublier. Bien que discrètes, les cyberattaques de 2018 ont été nombreuses et préjudiciables, » déclare Thierry Karsenti, Vice-Président EMEA Sales Engineering de Check Point Software Technologies. « Grâce à notre rapport sécurité et aux analyses des évolutions récentes qu’il propose, les entreprises peuvent mieux appréhender les menaces auxquelles elles sont confrontées, et mieux anticiper pour qu’elles n’aient pas d’incidence sur leurs activités. »

Le Rapport Sécurité 2019 s’appuie sur des données provenant du plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données sur les menaces et des tendances en matière d’attaques issues d’un réseau mondial de capteurs ; d’études effectuées par Check Point au cours des 12 derniers mois ; et d’une toute nouvelle enquête menée auprès de professionnels de l’informatique et de cadres supérieurs, qui évalue leur niveau de préparation face aux menaces actuelles. Le rapport examine les toutes dernières menaces émergentes dans différents secteurs d’activité, et fournit un aperçu complet sur les tendances observées dans le paysage des logiciels malveillants, des vecteurs de fuites de données émergents et des cyberattaques commanditées par des États.

Android, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Securite informatique, Smartphone, Social engineering, Téléphonie

Google Play : le premier malware capable de détourner des crypto-monnaies par copier-coller.

Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.

« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.

Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.

Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).

Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !

Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.

Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.

« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.

Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.

Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.

Pour se protéger de tels malwares Android, nous vous conseillons

  • Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
  • Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
  • Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
  • Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.
Android, backdoor, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Patch, Piratage, Securite informatique, Smartphone, Social engineering, Téléphonie

Google corrige 3 failles critiques : l’une d’elle permet de piéger une image

Google a corrigé une faille critique dans son système d’exploitation Android. La faille permettait à un pirate d’envoyer un fichier image PNG spécialement conçu pour pirater un périphérique cible.

PNG dangereux ?! Le nombre total de problèmes critiques corrigés en ce mois de février 2019 est de 11. Le géant de la technologie a traité un total de 42 problèmes, dont 30 ont été classés comme graves.

Parmi les failles, trois vulnérabilités critiques CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988 corrigées.

Elles affectent des millions d’appareils Android exécutant des versions du système d’exploitation Google, allant d’Android 7.0 Nougat à la dernière Android 9.0 Pie. Google a corrigé les trois vulnérabilités du projet Open Source Android (AOSP) dans le cadre de ses mises à jour de sécurité Android en ce mois de février 2019. Même si Google a corrigé les failles, chaque fournisseur devra distribuer le correctif pour ses modèles et ce processus sera long, très long !

Les chercheurs de Google n’ont pas fourni de détails techniques sur les failles, le géant de la technologie a seulement indiqué que les mises à jour de sécurité traitaient une « faille de dépassement de mémoire tampon », « d’erreurs dans SkPngCodec » et de vulnérabilités dans certains composants générant des images PNG.

Pour finir, selon l’avis de sécurité publié par Google, la plus grave des trois vulnérabilités pourrait permettre la création d’une image piégée, au format PNG. Image malveillante qui peut exécuter du code arbitraire sur les appareils Android vulnérables. Les experts ont souligné qu’un attaquant pourrait exploiter cette faille en incitant les victimes potentielles à ouvrir un fichier image PNG malicieusement conçu sur leur Android.

backdoor, Chiffrement, cryptage, Cybersécurité, Securite informatique

La France, le second pays le mieux sécurisé au monde

Selon une étude, la France serait le second pays le mieux sécurisé au monde, juste derrière le Japon. L’Algérie serait le pire des pays sur le sujet de la cybersécurité !

Les résultats de l’étude de Comparitech ont révélé que le Japon était le pays le plus sécurisé au monde en matière de cyber-sécurité. Il a atteint des niveaux incroyablement bas dans la majorité des catégories prises en compte par l’étude. Les autres pays les plus performants sont la France, le Canada, le Danemark et les États-Unis.

Catégories et cyber-attaques

Certains pays ont obtenu de bons résultats dans une catégorie, mais d’autres ont élevé leur moyenne. Il s’agit notamment de l’Ukraine, qui affichait le taux de logiciels malveillants financiers le plus faible en 2018, ainsi que de l’Ouzbékistan, du Sri Lanka et de l’Algérie, qui affichaient les scores d’attaque par telnet les plus faibles.

Les pays les moins bien classés par catégorie

Plus faible pourcentage d’infections par logiciels malveillants mobiles – Japon – 1,34% des utilisateurs. Le plus petit nombre d’attaques de logiciels malveillants financiers – Ukraine – 0,3% des utilisateurs.

Plus faible pourcentage d’infections par logiciels malveillants – Danemark – 5,9% des utilisateurs.

+ faible pourcentage d’attaques telnet (par pays d’origine) – Algérie, Ouzbékistan et Sri Lanka – 0,01%.

Pourcentage d’attaques de cryptominers – Danemark – 0,61% des utilisateurs.

Meilleur préparé pour les cyberattaques – Singapour – 0.925 score.

Législation la plus récente en matière de cybersécurité – France, Chine, Russie et Allemagne.

Bien que certains pays aient des forces et des faiblesses évidentes, il y a une marge d’amélioration possible pour chacun d’entre eux. Qu’ils aient besoin de renforcer leur législation ou que les utilisateurs aient besoin d’aide pour mettre en place de meilleures protections sur leurs ordinateurs et leurs téléphones portables, il reste encore un long chemin à parcourir pour rendre nos pays cyber sécurité. De plus, alors que le paysage de la cybersécurité change constamment (la prévalence des cryptominers augmente, par exemple), les pays doivent essayer de devancer les cybercriminels.

Le pays le moins sécurisé au monde

Selon l’étude, l’Algérie est le pays le moins sécurisé au monde en matière de cyber-sécurité. C’était le pays le mieux classé en raison de l’absence de législation et de taux de logiciels malveillants, et a également obtenu un score élevé dans les catégories des logiciels malveillants pour mobiles et de la préparation aux cyber-attaques. L’Indonésie, le Vietnam, la Tanzanie et l’Ouzbékistan comptaient parmi les pays les moins biens classés.

Plus fort pourcentage d’infections par logiciels malveillants mobiles – Bangladesh – 35,91% des utilisateurs.

+ grand nombre d’attaques de logiciels malveillants financiers – Allemagne – 3% des utilisateurs.

Pourcentage d’infections par logiciels malveillants – Algérie – 32,41%.

Plus fort pourcentage d’attaques telnet (par pays d’origine) – Chine – 27,15%.

Plus fort pourcentage d’attaques de cryptominer – Ouzbékistan – 14,23% des utilisateurs.

Les moins préparés aux cyber-attaques – Vietnam – 0.245 score. 92829. Pire législation mise à jour en matière de cybersécurité – Algérie. (comparitech)

backdoor, Cybersécurité, Justice, loi, Mise à jour, Securite informatique

Vulnerability Disclosure : Une loi Européenne en préparation pour protéger les lanceurs d’alerte ?

Vulnerability Disclosure – Le podcast spécial FIC 2019 « La french connexion » a interviewé un chercheur du CNRS, Afonso Ferreira, qui confirme que l’Europe se penchera bientôt sur une loi dédiée aux lanceurs d’alerte.

C’est dans le podcast La French Connexion, sous le micro de Damien Bancal et Nicolas-Loïc Fortin, qu’Afonso Ferreira chercheur au CNRS, enseignant à l’école informatique de Toulouse est venu expliquer son rapport écrit pour le CEPS Task Force. Un scientifique qui a déjà participé à l’élaboration du RGPD, le Règlement Général de la Protection des Données.

Baptisé « Software Vulnerability Disclosure in Europe Technology, Policies and Legal Challenges » l’étude revient sur l’importance des lanceurs d’alerte en informatique.

D’abord, comment la loi doit protéger ces cybercitoyens lanceur d’alerte ?

Ensuite, pourquoi protéger ceux qui tentent d’alerter d’une faille, d’une fuite…

Pour conclure, le rapport est à télécharger ici.

backdoor, Base de données, Chiffrement, cryptomonnaie, Cybersécurité, Entreprise, Mise à jour, Patch, ransomware, Securite informatique

Matrix et les ransomwares ciblés : petites attaques mais grand danger

Dans sa dernière étude « SophosLabs 2019 – Rapport sur les menaces », l’éditeur annonce une recrudescence des attaques ciblées par des ransomwares. Le procédé utilisé est déjà bien connu, notamment l’attaque Matrix. Une cyberattaque ciblée de type agile qui ne cesse d’évoluer depuis sa découverte en 2016.

Des attaques moins sophistiquées que celles de SamSam, ne s’en prenant qu’à une seule machine à la fois, un ransomware tel que Matrix représente un véritable danger. Il a en effet développé de nouvelles variantes capables de scanner le réseau à la recherche de nouvelles victimes potentielles, une fois introduit dans le réseau.

Sophos, spécialiste de la sécurité, présente son nouveau rapport « Matrix: A Low-Key Targeted Ransomware », dans lequel il dévoile ses recommandations afin de garantir un niveau de protection optimal :

  • Limiter l’accès aux applications de contrôle à distance telles que Remote Desktop (RDP) et VNC.-
  • Réaliser des analyses complètes et régulières et des tests d’intrusion sur le réseau. Correction au plus vite afin de ne pas laisser la porte ouverte aux cybercriminels.
  • Mettre en place une authentification multi-facteurs pour les systèmes internes sensibles, que ce soit pour les employés travaillant en LAN ou en VPN.
    Créer des sauvegardes hors ligne et hors site, et développer un plan de reprise après attaque qui couvre la restauration des données et des systèmes pour toute l’organisation de façon simultanée.

Pour de plus amples informations sur le sujet, vous pouvez d’ores et déjà parcourir le rapport « Matrix: A Low-Key Targeted Ransomware ».

A noter que le contrôle du RDP est à prendre très au sérieux. Des boutiques du black market commercialisent des accès RDP piratés. Comme le révèle le site ZATAZ, du business juteux à l’image du portail Xdedic dont les trois administrateurs ont été arrêtés en Ukraine. Gain estimé par le FBI, 68 millions de dollars !

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, Securite informatique

De multiples vulnérabilités zéro day découvertes dans les technologies d’accès aux bâtiments

Un commentaire

Un attaquant pourrait prendre le contrôle sur des bâtiments en exploitant des failles non corrigées pour créer des badges frauduleux et désactiver les serrures des bâtiments.

La société de « Cyber Exposure » Tenable, annonce avoir découvert plusieurs vulnérabilités du système de contrôle d’accès PremiSys™ développé par IDenticard. Lorsqu’elle est exploitée, la vulnérabilité la plus grave donne à l’attaquant un libre accès à la base de données du système de badges, ce qui lui permet d’entrer clandestinement dans les bâtiments en créant des badges frauduleux et en désactivant les serrures des bâtiments. D’après les informations disponibles sur son site Web, IDenticard compte des dizaines de milliers de clients dans le monde entier, y compris des entreprises Fortune 500, des écoles primaires et secondaires, des universités, des centres médicaux et des agences gouvernementales.

Zero-day

Aujourd’hui, toute entreprise dispose d’une infrastructure numérique extrêmement complexe composée à la fois d’actifs classiques et récents – depuis les postes de travail, les serveurs sur site jusqu’aux systèmes de sécurité des bâtiments. Sans oublier les dispositifs intelligents. Ce niveau de complexité a rendu de plus en plus difficile pour les équipes de sécurité d’établir des réseaux sécurisés. D’autant plus que les environnements d’entreprises en perpétuelle évolution.

Les « zero-days » nous rappellent que l’adoption massive des technologies émergentes brouille les frontières entre la sécurité physique et numérique. Cette découverte survient quelques mois à peine après que Tenable Research ait découvert une autre faille appelée Peekaboo, dans des logiciels de vidéosurveillance déployés à l’international.

Accès illimités

La technologie PremiSys permet aux clients d’accorder et de restreindre l’accès aux portes. Mais aussi aux installations de verrouillage et à la vidéosurveillance.

La faille la plus grave donnerait l’accès à l’ensemble de la BDD du système de badges. un accès via le terminal de service PremiSys Windows Communication Foundation (WCF). En utilisant les privilèges d’administrateur, les attaquants peuvent effectuer différentes actions. Télécharger le contenu intégral de la base de données du système, modifier son contenu ou supprimer des utilisateurs.

Bâtiments à l’ère numérique

« L’ère numérique a rapproché les mondes cybernétique et physique grâce, en partie, à l’adoption de l’IoT. La sécurité d’une organisation ne repose plus sur un pare-feu, des sous-réseaux ou un périmètre physique – elle n’a maintenant plus de frontières. C’est pourquoi il est essentiel que les équipes de sécurité aient une visibilité complète sur l’endroit où elles sont exposées et dans quelle mesure« , a déclaré Renaud Deraison, co-fondateur et directeur de la technologie chez Tenable. « Malheureusement, de nombreux fabricants d’IoT ne comprennent pas toujours les risques des logiciels non corrigés, laissant les consommateurs et les entreprises vulnérables à une cyberattaque.« 

Dans ce cas, les organisations qui utilisent PremiSys pour le contrôle d’accès courent un risque énorme. Les correctifs ne sont pas disponibles.

Au-delà de cette problématique spécifique, l’industrie de la sécurité a besoin d’un dialogue plus large sur les systèmes embarqués. Sans oublier leur maintenance dans le temps.

La complexité de l’infrastructure numérique ainsi que sa maintenance augmentent. Les fournisseurs doivent s’engager à livrer les correctifs de sécurité en temps opportun et de façon entièrement automatisée. Tenable Research s’engage à collaborer avec les fournisseurs qui le souhaite. Mission, coordonner les diffusions afin d’assurer la sécurité des consommateurs et des organisations. La collaboration de l’industrie est essentielle pour aider les clients à gérer, mesurer et réduire leur exposition.

Cinq CVE

Pour conclure, Tenable Research a divulgué les vulnérabilités (CVE-2019-3906, CVE-2019-3907, CVE-2019-3908, CVE-2019-3908, CVE-2019-3909). Ils affectent la version 3.1.190 chez IDenticard selon les procédures standard décrites dans sa politique de diffusion de vulnérabilité. L’équipe a tenté à plusieurs reprises de communiquer avec le fournisseur. Le 19 novembre 2018, Tenable a informé le CERT.

Pour réduire les risques, les utilisateurs doivent segmenter leur réseau. S’assurer que les systèmes comme PremiSys sont isolés autant que possible des menaces internes et externes.

Pour plus d’informations, lisez l’article du blog Tenable Research Advisory.

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, RGPD, Securite informatique

Vulnérabilités pour les caméras de surveillance Guardzilla Indoor Security

Des experts en cybersécurité passent au banc d’essai la caméra de surveillance pour la maison, Guardzilla Indoor Security. Ils découvrent de nombreuses vulnérabilités.

Guardzilla produit des caméras de surveillance, discrètes, faciles à utiliser et à installer à la maison. Il s’agit de produits très abordables dont l’objectif principal est de fournir une sécurité physique contre l’effraction. Elles s’intègrent également de manière transparente aux réseaux domestiques et sont faciles à utiliser via des smartphones et une application Guardzilla dédiée. Il n’y a pas de frais et de coûts supplémentaires associés au produit.

Un produit assez populaire dans sa catégorie : plus de 100 000 installations et 4000 commentaires vérifiés enregistés par Google Play. En plus des utilisateurs d’Android, il existe une forte communauté Apple qui utilise Guardzilla. Les recherches de Bitdefender Labs estiment le nombre d’appareils Guardzilla activés à environ 410 000, ce qui donne un bon indice sur leur popularité.

Prise de contrôle à distance, accès au flux vidéo en direct…

L’analyse révéle de nombreuses vulnérabilités au sein de la caméra Guardzilla Indoor Security. Ces vulnérabilités peuvent être exploitées pour compromettre totalement la caméra, ce qui se traduitrait par un grave impact sur la vie privée de ses utilisateurs. Les criminels peuvent se connecter à distance à la caméra, avoir un accès complet pour faire fonctionner l’appareil, et également accéder au flux vidéo en direct.

Trois types d’attaques potentielles, offrant chacune un contrôle total à la caméra :

A – Prise de contrôle total de la caméra en altérant le service d’authentification Guardzilla et en usurpant l’identité d’un utilisateur légitime. En forçant brutalement des ID de comptes uniques, l’attaquant peut demander des noms d’utilisateurs (adresses e-mail) et des mots de passe et les modifier sans aucune confirmation.

B – Prise de contrôle total de la caméra et exécution du code à distance en exploitant un composant Cloud.

C – Obtention du contrôle total de l’appareil en usurpant l’identité d’une fausse mise à jour. Connaissant l’ID utilisateur et le mot de passe des périphériques (voir attaque A), l’attaquant peut accéder au système en abusant de la commande de mise à jour à distance.

Informé en août 2018, le fabricant n’a pas donné suite aux alertes

Les chercheurs ont établit un premier contact avec le fournisseur en août 2018. Ils demandent une clé PGP ou un canal sécurisé pour une divulgation privée des vulnérabilités. Aucun accusé de réception, ni réponse. Après une relance en septembre 2018, les CVE (Common Vulnerabilities Exposures) suivants : CVE-2018-18600, CVE-2018-18601, CVE-2018-18602 en préparation pour publication. Ces CVE accordés en moins de 24h. Finalité, un rapport publié. Une décision de diffusion motivée par l’absence complète de réponse du fournisseur. Le délai de 90 jours pour la divulgation des vulnérabilités expire. Bitdefender décide de prolonger ce délai. Une partie des vulnérabilités identifiées sont toujours à ce jour présentes dans le firmware de la caméra.

Adobe, backdoor, Communiqué de presse, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

47 vulnérabilités dont 7 critiques corrigées en janvier 2019

De taille moyenne, le premier Patch Tuesday de l’année 2019 permet de résoudre 47 vulnérabilités dont seulement 7 sont considérées comme critiques.

26 de ces vulnérabilités concernent les serveurs Windows et des systèmes d’exploitation pour postes de travail. Deux des vulnérabilités critiques concernent Hyper-V et pourraient conduire à l’exécution de code à distance (RCE) sur le système hôte. En outre, Microsoft a publié un correctif en urgence en décembre pour les versions 9 à 11 d’Internet Explorer en raison d’attaques actives à l’aveugle. Quant à Adobe, l’éditeur a publié des correctifs en urgence la semaine dernière pour Acrobat et Reader afin de résoudre deux vulnérabilités critiques.

Patches pour postes de travail

Les patches pour les navigateurs et le moteur de script sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à sa messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multi-utilisateurs comme poste de travail distant. Quatre des sept vulnérabilités critiques concernent Chakra / Microsoft Edge. ils devraient être traitées rapidement pour ces types de systèmes.

Patch pour IE en urgence

Le 19 novembre, Microsoft a publié un patch en urgence (CVE-2018-8653) pour les versions 9 à 11 d’Internet Explorer à cause d’attaques actives en mode aveugle contre cette vulnérabilité. Ce patch est également une priorité pour tous les équipements de type poste de travail.

Hyper-V

Deux des vulnérabilités concernent Hyper-V et pourraient conduire à un exploit de type Évasion de machines virtuelles (VM). Microsoft les considère comme moins susceptibles d’être dangereuse, mais le déploiement de ces correctifs critiques sur les hôtes Hyper-V doit rester prioritaire.

Patches Adobe

Adobe a publié des patches pour Flash, mais ces derniers ne contiennent pas de mises à jour de sécurité. Des patches sécurité publiés pour Adobe Digital Editions et Adobe Connect afin de traiter deux vulnérabilités CVE importantes. En outre, Adobe a publié des patches urgents pour traiter deux vulnérabilités critiques dans Acrobat et Reader.

Ces patches doivent également être déployés en priorité sur tous les équipements de type poste de travail. (Par Jimmy GrahamThe Laws of Vulnerabilities)

backdoor, Chiffrement, cryptage, Cybersécurité, IOT, Justice, Securite informatique, Social engineering, Téléphonie, VPN

Le baron de la drogue El Chapo utilisait son propre réseau de communication chiffré

Joaquin Guzman, plus connu sous le pseudonyme d’El Chapo, l’un des plus important baron de la drogue utilisait un réseau de communication chiffré spécialement créé pour lui. Le FBI va réussir à le mettre sur écoute avec l’aide de son administrateur.

En informatique, la première faille reste l’humain. Le baron de la drogue mexicain Joaquin Guzman, alias El Chapo, aujourd’hui dans les mains des autorités américaines, en a fait les frais.

Pour converser avec ses clients et fournisseurs, El Chapo utilisait un réseau de communication privé et chiffré spécialement créé à son intention. Bilan,les autorités ne pouvaient n’y le suivre, ni l’écouter.

Un système de sécurité mis en place par un informaticien qui apparaît dans les documents du FBI sous le nom de Cristian Rodriguez, très certainement un pseudonyme.

Cristian se retrouve chez El Chapo. Son travail pour un autre baron de la drogue, le colombien Jorge Cifuentes, attire Guzman. De la VoIP interne sécurisée.

Seulement, le FBI a réussi à convaincre Rodriguez à collaborer.

Infiltration du FBI

Dans un premier temps, février 2010. L’agent du FBI se fait passer pour un dealer Russe. Il souhaite acquérir son système de chiffrement. Quelques semaines plus tard, le FBI « propose » de collaborer. L’histoire n’indique pas la proposition : argent, risque de prison, finir dans un bloc de béton …

Bilan, Rodriguez va migrer son serveur de communication au Pays-Bas. Préalablement installé au Canada, le serveur se retrouve aux Pays-Bas. Un pays choisi pour être plus souple avec les demandes de la justice américaine.

Finalité, l’agence fédérale a pu mettre sur écoute ce système chiffré. 1 500 appels téléphoniques sur écoute avec l’aide du service cybercrime (Team High Tech Crime) néerlandais.

L’existence de ce stratagème – et de plusieurs appels téléphoniques – a été révélée pour la première fois mardi 8 janvier 2019 lorsque Stephen Marston, un agent du FBI qui a aidé à diriger l’opération, a comparu en tant que témoin lors du procès de Guzmán.

Marston a déclaré aux jurés que l’étape cruciale de l’enquête consistait à recruter Rodriguez. Il fallait qu’il collabore avec les autorités américaines.

Les voix ont pu être comparées et authentifiées à partir, entre autre, d’une interview donnée par El Chapo à l’acteur Sean Penn pour le journal Rolling Stone.

El Chapo est locataire d’une prison fédérale américaine depuis 2016.

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, RGPD, Securite informatique, Téléphonie

Espionnage des vidéos des sonnettes de porte d’entrée Ring

Les employés de la filiale d’Amazon, Ring, pouvaient consulter les vidéos et photos prises par les sonnettes de portes connectées installées partout dans le monde.

Ambiance espionnage pour la société Ring, filiale d’Amazon. Cette société, créée en Ukraine et racheté en 2018 par le géant de la vente en ligne américain (environ 1 milliard de dollars), commercialise des objets connectés, dont une sonnette pour porte d’entrée. L’objet permet de recevoir sur son smartphone des photos et vidéos des personnes pouvant sonner à l’entrée de votre domicile. Ring indique que sa mission est de « diminuer la criminalité dans les voisinages du monde entier« .

Les développeurs pouvaient accéder aux vidéos. Un espionnage des visiteurs sans véritable intérêt. Mais une fuite de données, reste une fuite de données d’autant plus pour les clients qui versent une abonnement de quelques euros par mois pour un stockage de 6 mois des documents créés par les sonnettes. The Information explique que les employés de l’ex-bureau de Ring en Ukraine accédait aux serveurs de stockage 3S d’Amazon.

Ensuite, les vidéos n’étaient pas chiffrées. Lisibles par tous, et cela depuis 2016. Il suffisait de taper le mail d’un client et utilisateur de Ring pour accéder aux clichés. Les employés se servaient des images pour « se taquiner ». La filiale d’Amazon a diffusé un communiqué de presse stipulant qu’elle prenait « très au sérieux la confidentialité et la sécurité des informations personnelles de ses clients. »

Pour conclure, le communiqué indique que les employés et son intelligence artificielle continuent de visionner les images prises par son matériel « afin d’améliorer ses services« . Des vidéos partagées publiquement. Les clients de Ring peuvent aussi donner leur accord de visionnage.

APT, backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

Sofacy, un groupe de pirates omniprésent sur la toile

L’Unité42, unité de recherches de Palo Alto Networks, dévoile aujourd’hui une nouvelle étude sur le groupe Sofacy et le nouveau malware utilisé par le groupe pour mener des attaques de cyber-espionnage contre différentes agences gouvernementales partout dans le monde.

Sofacy continue ses attaques mondiales et sort un nouveau cheval de Troie « Cannon ». Découverte d’un nouveau malware « Canon », un cheval de Troie pour donner un accès distant (RAT pour Remote Access Trojan) : ce nouveau malware a été utilisé par Sofacy pour mener des attaques de cyber-espionnage. Ce groupe continue aussi à utiliser Zebrocy (un RAT déjà connu) dans leurs attaques. Utilisation de diverses techniques pour éviter d’être détecté et analysé : 1) au lieu d’inclure le code malicieux en pièce jointe, Sofacy le télécharge à distance à l’ouverture du document, 2) le groupe utilise des courriels pour envoyer et recevoir des instructions et 3) le groupe utilise également des macros spécifiques pour détourner les tentatives d’analyse du code malicieux. Ingénierie sociale : Sofacy a utilisé le récent crash aérien affectant Lion Air comme leurre dans l’une de leurs attaques — ce qui est un exemple de leur volonté permanente d’utiliser l’ingénierie sociale pour déployer leur malware.

Sofacy, l’ogre à données piratées

Depuis la fin du mois d’octobre 2018, Unit 42 a intercepté une série de documents vérolés en utilisant une technique qui fait appel à des modèles de mise en page distants contenant des macros dangereuses. Ce genre de document infecté n’est pas rare.

Les systèmes d’analyses automatisés ont plus de mal à les identifier comme dangereux en raison de leur nature modulaire. La particularité de cette technique est la suivante : si le serveur C2 (ou C&C pour Command and Control, le serveur utilisé par les cybercriminels pour finaliser l’infection et contrôler les machines infectées) n’est pas disponible au moment de l’exécution, le code malicieux ne peut être récupéré, et les documents délivrés sont alors sans danger.

Documents infectés

Ensuite, ces documents infectés ciblaient différentes agences gouvernementales à travers le monde, y compris en Amérique du Nord, en Europe, ou dans un des États de l’ancienne URSS. Heureusement, les serveurs C2 de plusieurs de ces documents étaient encore opérationnels, ce qui a permis de retrouver les macros dangereuses et les téléchargements qui y sont liés. L’analyse a révélé que le premier téléchargement lié était le cheval de Troie bien connu Zbrocy. D’autres données collectées ont dévoilé un deuxième téléchargement que l’Unit42 a surnommé « Canon ». Enfin, canon n’avait jusqu’ici pas encore agi via le groupe Sofacy, il contient une nouvelle voie de communication avec les serveurs C2 en passant par la messagerie électronique.

crash list(Lion Air Boeing 737).docx

Pour conclure, l’activité concerne plus précisément deux documents infectés bien spécifiques qui partage des données communes comme une adresse IP commun pour le serveur C2, un nom d’auteur commun, et des tactiques communes. Des données complémentaires ont révélé une campagne d’attaque importante associée avec le cheval de Troie Canon sur lequel l’Unit42 reviendra dans un prochain billet de blog. Un des aspects les plus intéressants des documents les plus récents utilisés par l’adversaire pour son infiltration était le nom du fichier : crash list(Lion Air Boeing 737).docx. Ce n’est pas la première fois qu’un groupe ennemi utilise les événements récents comme un leurre. Il est intéressant de voir que ce groupe essaie de miser sur des événements catastrophiques pour lancer leurs attaques. (U42)

Android, backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, Espionnae, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Piratage, Securite informatique, Smartphone, Téléphonie, Vie privée

Les cyberattaques ciblant Android en hausse

Les analystes de G DATA ont comptabilisé plus de 3,2 millions de nouvelles applications malveillantes à la fin du troisième trimestre 2018. Cela représente une augmentation de plus de 40 % par rapport à la même période en 2017. Les cybercriminels se concentrent sur les appareils mobiles, en particulier sous le système d’exploitation Android. La raison : huit personnes sur dix dans le monde utilisent un appareil Android.

À la fin du troisième trimestre, les analystes de G DATA ont recensé près de 3,2 millions de nouvelles applications malveillantes Android sur l’année, soit en moyenne 11 700 nouveaux dangers par jour. Il s’agit d’une augmentation de plus de 40 % par rapport à la même période de l’année précédente. En termes de sécurité, Android doit également lutter contre les équipements obsolètes. Dès 2017, Google a réagi avec le Project Treble, une fonctionnalité sous Android 8 qui permet une distribution plus rapide des mises à jour. Mais Android 8 est pour le moment dans un peu moins d’un appareil sur cinq – plus d’un an après son lancement en août 2017. Quant à la version actuelle 9, sa diffusion est inférieure à 0,1 % du parc.

Distribuer plus rapidement les mises à jour de sécurité

L’une des clés d’une meilleure protection réside dans la distribution rapide de mises à jour de sécurité. Selon « The Verge », depuis cet été Google oblige contractuellement les fabricants de smartphones sous Android à fournir des mises à jour de sécurité pour au moins deux ans. En détail, les appareils doivent recevoir au moins quatre mises à jour de sécurité Google au cours de la première année. Au cours de la deuxième année, les fabricants doivent assurer une fréquence de mise à jour qui permet de protéger les appareils des vulnérabilités datant de plus de 90 jours.

Un contrat qui comporte toutefois certaines limites. Seuls les smartphones de 100 000 utilisateurs concernés. En outre, l’accord ne s’applique qu’aux équipements mis sur le marché à partir de février 2018, avec une certaine tolérance admise jusqu’au 31 janvier 2019.

Le risque des logiciels espions

Les fonctionnalités étendues des logiciels espions ciblant le système Android sont une source d’incertitude. Ces codes malveillants rivalisent de techniques pour accéder au contenu des appareils. Dernièrement, les analystes de G DATA détaillaient le fonctionnement d’un trojan capable de lire les conversations WhatsApp. Les Smartphones contenant un nombre croissant d’informations sensibles, les attaquants ont bien compris l’intérêt de ces types de codes malveillants.

Virus Bulletin : Google parle d’Android

Lors de la conférence Virus Bulletin qui s’est tenue à Montréal en octobre, des chercheurs de Google ont fait deux présentations qui montrent que la sécurisation de la plateforme Android est un défi quotidien. L’analyste Maddie Stone a par exemple présenté une application malveillante qui déploie un niveau inhabituellement élevé de techniques pour ne pas être détecté par les systèmes automatisés de Google.

L’expert en sécurité Łukasz Siewierski a quant à lui présenté une campagne de logiciels malveillants préinstallés sur les smartphones Android. Selon son analyse, le malware était déjà installé pendant la phase de développement. G DATA a traité d’un sujet similaire lors du Virus Bulletin 2015 et pour la première fois en 2014.