Archives par mot-clé : brazil

Poseidon : un groupe de pirates informatiques opérant sur terre, dans les airs et en mer

Poseidon, une campagne de piratage ciblant des établissements financiers ainsi que des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et des groupes médias. La France visée par l’attaque.

L’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab annonce la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.

Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent dans les pays suivants :

  • Etats-Unis
  • France
  • Kazakhstan
  • Emirats Arabes Unis
  • Inde
  • Russie

Cependant, la répartition des victimes penche très nettement vers le Brésil, où bon nombre d’entre elles réalisent des opérations via des joint-ventures ou des partenaires.

L’une des caractéristiques du groupe Poseidon réside dans l’exploration active des réseaux d’entreprise sur la base des noms de domaine. Selon le rapport d’analyse consulté par DataSecurityBreach.fr, Poseidon recourt à des e-mails de spear-phishing accompagnés de documents RTF/DOC, comportant généralement un appât sur le thème des ressources humaines, qui installent un fichier binaire malveillant dans le système cible lorsque le destinataire clique dessus. Un autre trait marquant est la présence de chaînes de caractères en portugais du Brésil. La prédilection du groupe pour les systèmes lusophones, comme le révèlent les échantillons, est une pratique inédite.

Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware. De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration.

Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.

« Le groupe Poseidon est une équipe de vétérans intervenant sur tous les théâtres d’opérations : terre, air et mer. Certains de ses centres de commande sont implantés chez des fournisseurs d’accès Internet desservant des navires en mer, des connections sans fil ou encore des opérateurs classiques », commente Dmitry Bestuzhev, Directeur de l’équipe GREaT de Kaspersky Lab en Amérique latine. « En outre, plusieurs de ses implants présentent une durée de vie très courte, ce qui a permis à ce groupe de sévir aussi longuement sans se faire repérer. »

Le groupe Poseidon étant en activité depuis au moins 10 ans, les techniques de conception de ses implants ont évolué, ce qui complique pour de nombreux chercheurs la mise en corrélation des indicateurs et l’assemblage des pièces du puzzle. Cependant, en réunissant soigneusement tous les indices, en étudiant la signature de la menace et en reconstituant la chronologie des attaques, les experts ont pu établir vers la mi-2015 que des traces détectées précédemment mais non identifiées appartenaient bien à la même menace, c’est-à-dire le groupe Poseidon.

Piratage : +197% pour le Brésil

Le Brésil, un nid à pirates depuis plusieurs années. En 2014, les attaques ont augmenté de 197%.

Depuis plusieurs années, le Brésil est devenu l’un des pays à pirates le plus couru du web. Défaceurs, phishing, cartes bancaires, piratage de consoles de jeux, bref, il y en a pour tous les goûts. Le pays se classe au deuxième rang mondial de la fraude bancaire en ligne et des logiciels malveillants. Il faut rappeler les nombreux « camps » d’entrainements numériques ou encore le départ de l’attaque ayant visé TV5 Monde, il y a quelques mois.

Il semble que ce piratage ne fasse qu’empirer. Selon des sources officielles, le nombre de cyberattaques dans le pays a augmenté de 197% en 2014, et la fraude bancaire en ligne, +40%. Le coût de la cybercriminalité sur l’économie brésilienne est clair. Un rapport affirme que le vol de données au Brésil a représenté 4,1 milliards $ à 4,7 $ de pertes en 2013. Selon RSA, l’équivalent de 3,75 milliards $ aurait été piraté de la Boleto Bancario, une méthode de paiement géré par la Fédération brésilienne des banques. Cela équivaut à environ 495.000 transactions impliquant 30 banques et affectant plus de 192.000 victimes. Bref, comme un peu partout, les banques restent muettes et le public est laissé dans un silence criminel.

Le document que le Cert Brésil montre que 0,95% des attaques ayant visé le pays provenait de France. La Chine et les USA se partagent quasiment 14% des malveillances. 75,38% des attaques sont internes au pays. Cependant, rien n’empêche un Français de passer par la Chine pour infiltrer un ordinateur Brésilien pour attaquer une banque locale.

L’Union Internationale des Télécommunication (ITU) classe le Brésil en 5ème place des pays ayant le plus conscience des problèmes liés au cyber crime. On ne doute pas une seconde de la capacité du gouvernement à comprendre les enjeux du cyber crime, pour preuve, il était eux même client de l’entreprise Hacking Team, commerçant de logiciels d’espionnages. (FA)

World Cup 2014 : Pirate 1 / Brésil 0

Ce ne sont pas seulement les fans qui se frottent les mains à l’idée de la prochaine Coupe du Monde au Brésil. Les fraudeurs du monde entier sont entrés en action : ils offrent en ligne une foule d’articles autour de l’événement allant des maillots de football et objets promotionnels des équipes, mais aussi des applications mobiles ou de faux sites de paris en ligne. Mais la plus grande menace liée au succès du tournoi reste la vente illégale de billets.

MarkMonitor, le spécialiste de la protection de marque a suivi la présence de sites de vente en ligne de billets depuis début avril et a identifié 510 annonces de vente de billets pour la Coupe du Monde, tous expédiés en France ou dans le reste de l’Europe, ce qui équivaut à plus de 275 000 €, pour un prix moyen de 553 € le billet. Malgré la politique de revente de billets stricte de la FIFA, des billets non valables, sont toujours proposés à la vente en ligne. En les achetant, les fans s’exposent à être refoulés à l’entrée de stades, incapables de profiter des jeux qu’ils ont payés pour voir.

Et autant dire que se retrouver au Brésil, avec de faux billets, face à un stade hurlant, ça risque de faire drôle au porte monnaie.