Archives mensuelles : avril 2017

Chiffrement, Cyber-attaque, Cybersécurité, Piratage

Hajime: le botnet qui détrône Mirai

Le botnet Hajimé sort de l’ombre. Une arme numérique mise en lumière par la société Radware et plus dangereuse que Mirai !

Hajime est un botnet IoT très sophistiqué et adaptable conçu pour durer dans le temps. Il est capable de se mettre à jour et d’enrichir les facultés de ses membres avec des fonctions supplémentaires. Le système distribué utilisé pour la commande, le contrôle et la mise à jour d’Hajimé est assimilable à un torrent sans tracker utilisant des informations dynamiques qui changent quotidiennement. Toutes les communications via BitTorrent sont signées et cryptées à l’aide de RC4 et des clés privées / publiques.

Le module d’extension actuel fournit des services de numérisation et de chargement pour découvrir et infecter de nouvelles victimes. L’implémentation efficace du scanner SYN scanne les ports ouverts TCP / 23 (telnet) et TCP / 5358 (WSDAPI).

Lors de la découverte des ports Telnet ouverts, le module d’extension essaie d’exploiter la victime en utilisant une connexion shell brute force similaire à ce que faisait Mirai. Pour cela, Hajime utilise une liste composée des 61 mots de passe par défaut et ajoute 2 nouvelles entrées ‘root / 5up’ et ‘Admin / 5up’ qui sont des valeurs par défaut  pour les routeurs sans fil et les points d’accès Atheros.

En outre, Hajime est capable d’exploiter les modems ARRIS à l’aide d’une «porte dérobée». Pour en savoir plus, lire le rapport de Radware.

 

Apache, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Piratage

299 failles corrigées par Oracle

Oracle corrige un total de 299 failles dont la vulnérabilité Struts dévoilée par les pirates de la NSA, Shadow Brokers.

Un total de 299 nouveaux correctifs de sécurité viennent d’être publiés par Oracle pour l’ensemble de ses gammes de produits. Cette mise à jour de sécurité corrige 25 instances de la tristement célèbre vulnérabilité qui sévissait au sein du composant Apache Struts et permettait à un attaquant distant de prendre le contrôle total du serveur exécutant Struts. Le correctif pour Struts a été appliqué à 19 instances de cette vulnérabilité qui affectaient Oracle Financial Services Applications ainsi que WebCenter, WebLogic, Siebel, Oracle Communications, MySQL et Oracle Retail.

Oracle a également publié le patch 25878798 pour Solaris 10 et 11.3 pour corriger l’exploit EXTREMEPARR (CVE-2017-3622), la deuxième vulnérabilité dévoilée par le groupe de pirates Shadow Brokers. Si elle est exploitée avec succès, la vulnérabilité EXTREMEPARR, avec un score de sévérité CVSS de 7,8 sur 10, facilite une élévation de privilèges locaux dans le composant « dtappgather ». L’autre vulnérabilité CVE-2017-3623 dévoilée par Shadow Brokers, baptisée « Ebbisland » ou « Ebbshave », a déjà été corrigée par Oracle lors de plusieurs distributions de patches pour Solaris 10, diffusées depuis le 26 janvier 2012 et elle n’affecte pas Solaris 11.

Sur un ensemble de 299 correctifs, MySQL, Financial Services, Retail et Fusion Middleware se taillent la part du lion des correctifs. La majorité des vulnérabilités au sein de Financial Services, Retail et Fusion Middleware étaient exploitables via le protocole HTTP, les attaquants pouvant prendre le contrôle total du système à distance sans avoir besoin d’aucun certificat.

Concernant les bases de données, le volume de vulnérabilités MySQL a sensiblement augmenté par rapport au serveur de base de données Oracle. Il en va de même pour la mise à jour des 39 correctifs pour MySQL, dont 11 exploitables à distance sans authentification. Soit un nombre important de failles par rapport aux 3 seuls problèmes affectant le serveur de base de données. Toutes les vulnérabilités pour MySQL étaient exploitables via le protocole MySQL utilisé par les systèmes clients pour se connecter au serveur de bases de données. Les entreprises devraient donc dresser un inventaire détaillé de leurs serveurs MySQL concernant leur exposition, que ce soit à l’intérieur ou à l’extérieur de l’entreprise.

Java SE a bénéficié de 8 correctifs de sécurité, notamment pour 7 vulnérabilités exploitables à distance sans authentification. AWT, JCE ainsi que d’autres composants réseau Java étaient affectés et susceptibles d’être exploités via FTP, SMTP et de nombreux autres protocoles. 21 produits Sun Systems ont été corrigés dont Solaris, l’appliance de stockage Sun ZFS et Solaris Cluster. Parmi ces derniers, 8 vulnérabilités étaient exploitables à distance. Le composant le plus affecté dans Oracle Linux était la solution de virtualisation Oracle VM Virtual Box avec 6 vulnérabilités exploitables à distance.

(Cf tableau – liste de vulnérabilités exploitables à distance et résolues par le pack de correctifs).

En résumé, il s’agit d’une mise à jour de sécurité d’envergure avec 299 correctifs publiés pour toute la gamme de produits Oracle, corrigeant la vulnérabilité Apache Struts embarquée dans certains produits, ainsi que 162 vulnérabilités exploitables à distance. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Sécurité, Smartphone, voiture

Pirater une voiture connectée : Bosch corrige une faille dans son application mobile

Pirater une voiture connectée! Une faille dans l’outil Drivelog Connect de Bosch permettait de prendre la main sur une voiture connectée et d’arrêter son moteur, alors qu’elle était en marche.

Arrêter une voiture en marche ? Pirater une voiture connectée ? un fantasme informatique ? Le groupe de cyber-recherche Israélien Argus a détecté des lacunes de sécurité dans le dongle Bosch Drivelog Connector et dans son processus d’authentification utilisant l’application Drivelog Connect. Des vulnérabilités qui ont permis aux hackers de prendre le contrôle d’une voiture connectée par le Bluetooth. Une prise de contrôle des systèmes de véhicule essentiels à la sécurité via un dongle Bosch Drivelog Connector installé dans le véhicule.

Une vulnérabilité identifiée dans le processus d’authentification entre le dongle et l’application de smartphone Drivelog Connect a permis de découvrir le code de sécurité en quelques minutes et de communiquer avec le dongle à l’aide d’un appareil Bluetooth standard, tel qu’un smartphone ou un ordinateur portable. Après avoir accédé au canal de communications, il a été facile de reproduire la structure de commande et injecter des messages malicieux dans le réseau embarqué du véhicule.

Pirater une voiture connectée avec un smartphone

En contournant le filtre de messages sécurisé qui était conçu pour autoriser uniquement des messages spécifiques, ces vulnérabilités ont permis de prendre le contrôle d’une voiture en marche, ce qui a été démontré en arrêtant le moteur à distance. Une description technique complète de l’attaque est publiée dans le blog d’Argus. L’équipe d’intervention en cas d’incident de sécurité des produits (Product Security Incident Response Team, PSIRT) de Bosch a agi de manière décisive et immédiate pour éliminer ces vulnérabilités.

Il est important de noter que l’évolutivité d’une attaque malicieuse potentielle est limitée par le fait qu’une telle attaque requiert une proximité physique au dongle. Autrement dit, le dispositif attaquant doit être dans le rayon Bluetooth du véhicule. Qui plus est, une attaque initiale requiert le crack du code PIN pour un dongle donné et l’envoi d’un message CAN malicieux adapté aux contraintes du dongle et du véhicule. Un travail supplémentaire est également réalisé pour limiter encore plus la possibilité d’envoyer des messages CAN non désirés et sera déployé avec d’autres améliorations plus tard dans l’année.

backdoor, Cybersécurité, Hacking, Microsoft, Mise à jour

La faille de Microsoft Office CVE-2017-0199 utilisée pour diffuser l’espion LatentBot

Une faille dans Microsoft Office utilisée depuis des semaines par des pirates pour diffuser le logiciel espion LatentBot.

L’espion LatentBot aimait Office ! Microsoft vient de corriger une vulnérabilité dans Office. Une faille qui permet de cacher des instructions malveillantes dans un document sauvegardé au format .RTF. Dès le 4 mars 2017, des documents malicieux exploitant CVE-2017-0199 ont été utilisés pour délivrer le malware LATENTBOT. Le malware, qui possède une capacité de vol d’identités, n’a depuis lors été observé que via des pirates aux motivations financières. LATENTBOT est un type de malware modulaire et extrêmement bien caché qui a été découvert pour la première fois par FireEye iSIGHT Intelligence en décembre 2015. Il possède une variété de capacités, dont le vol d’identités, l’effacement de disque dur et de données, la désactivation de logiciel de sécurité, et l’accès à distance du poste de travail. Récemment, nous avons identifié des campagnes LATENTBOT utilisant Microsoft Word Intruder (MWI). Les documents leurre distribuant le malware LATENTBOT utilisent des méthodes de manipulation génériques, de type document.doc ou hire_form.doc.

Des échantillons de FINSPY et de LATENTBOT partagent la même origine

Cette faille a permis à d’autres pirates de diffuser un autre outil d’espionnage, FINSPY. Un logiciel légalement commercialisé par la société Gamma group. Des artefacts partagés dans les échantillons de FINSPY et de LATENTBOT suggèrent que le même assembleur a été utilisé pour créer les deux, ce qui indique que l’exploit 0day a été fourni à la fois pour des opérations criminelles et de cyber espionnage en provenance de la même source.

Des campagnes de spam DRIDEX juste après la divulgation de CVE-2017-0199

A la suite de la divulgation des caractéristiques de la faille zero day le 7 avril 2017, celle-ci a été utilisée dans des campagnes de spam DRIDEX, qui continuent encore à ce jour. Nous ne pouvons confirmer le mécanisme par lequel les acteurs ont obtenu l’exploit. Ces acteurs peuvent avoir exploité les connaissances sur la faille obtenues dans les termes de la divulgation, ou y avoir eu accès lorsqu’il est devenu clair que la diffusion d’un patch était imminent. Une campagne de spams a été diffusée le 10 avril 2017, exploitant un leurre « Scan Data. » Le document en attachement exploitait CVE-2017-0199 pour installer DRIDEX sur l’ordinateur de la victime.

Perspectives et implications

Même si un seul utilisateur de FINSPY a été observé exploitant cet exploit zero day, la portée historique de ce malware, dont les capacités ont été utilisées par plusieurs états nations, suggère que d’autres clients y ont eu accès. De plus, cet incident confirme la nature globale des cyber menaces et l’intérêt de disposer d’une perspective mondiale – un incident de cyber espionnage ciblant des russes peut fournir l’occasion d’en savoir plus et d’interdire des activités criminelles visant des individus parlant une autre langue ailleurs.

backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Piratage, Social engineering

Turla, les cyber-espions de l’espace

Le groupe de cyber-espions Turla détourne les liaisons Internet par satellite pour infecter leurs victimes. Un rapport détaillé porte sur l’analyse des techniques et méthodologies employées par le groupe, dont la backdoor Carbon.

L’éditeur de solutions de sécurité informatique ESET révèle que le groupe Turla dispose d’un large éventail d’outils visant à récolter les données provenant d’institutions européennes et américaines (USA). Pour éviter de se faire repérer, le groupe Turla change ses outils à chaque nouvelle opération et modifie également les mutex et les noms de dossier de chaque version : dans les trois années qui ont suivi le développement de la version nommée Carbon, les chercheurs ont détecté huit versions actives à ce jour.

Connu pour être minutieux, le groupe Turla effectue d’abord un travail de reconnaissance sur les systèmes de leur victime avant de déployer leurs outils tels que Carbon :

  • la première étape d’infection peut avoir lieu soit parce que l’utilisateur reçoit un e-mail infecté (spear-phishing), soit parce qu’il navigue sur un site Internet compromis
  • généralement, les pirates ciblent les sites fréquemment utilisés par leur victime (technique connue sous le nom d‘attaque de point d’eau : surveillance des habitudes de navigation de la victime)
  • lorsque le système est infecté, une backdoor (comme Tavdig ou Skipper) s’installe sur la machine de la victime
  • une fois la phase de reconnaissance terminée, une seconde backdoor (comme Carbon) est installée sur des systèmes clés

L’architecture de Carbon repose sur un dropper qui installe les composants du malware et le fichier de configuration, ainsi qu’un composant qui communique avec les serveurs C&C et un orchestrateur qui gère les tâches et les expédie vers d’autres ordinateurs du réseau. Pour communiquer avec le serveur C&C et exécuter l’orchestrateur, Carbon s’injecte dans un processus légitime (DLL).

« On note des ressemblances entre la backdoor Carbon et les autres outils utilisés par ce groupe (rootkit Uroburos), notamment dans l’implémentation des objets de communication. Les structures et les tables virtuelles sont identiques, si ce n’est qu’il y a moins de canaux de communication pour Carbon », explique le rapport d’ESET. « Cette backdoor pourrait être la version allégée de Uroburos, sans composant de noyau ni d’exploits ».

Communiqué de presse, Cyber-attaque, Cybersécurité, Justice, Leak, Piratage, Social engineering

À la poursuite de « Lazarus »

À la poursuite de « Lazarus » : sur les traces du groupe chasseur de grandes banques internationales

Kaspersky Lab vient de publier les conclusions d’une enquête menée par ses experts pendant plus d’un an au sujet du groupe de hackers « Lazarus », présumé responsable du vol de 81 millions de dollars à la Banque Centrale du Bangladesh en 2016. L’analyse scientifique des indices laissés par les pirates dans des banques situées dans le Sud-est asiatique et en Europe, a permis de cerner leur mode opératoire. Ses experts ont mis au jour le type d’outils utilisés pour les attaques visant des institutions financières, des casinos, des éditeurs de logiciels dédiés aux sociétés de placement du monde entier, ainsi que des entreprises de crypto-monnaies. Ces renseignements ont permis d’interrompre au moins deux opérations lancée dans le but de dérober de très grosses sommes à des institutions financières.

En février 2016, un groupe de pirates (non-identifié lors des faits) a tenté de dérober 851 millions de dollars, réussissant à transférer 81 millions de dollars depuis la Central Bank of Bangladesh. Ce vol est considéré comme l’un des plus grands jamais perpétrés par des pirates informatiques à ce jour. Des experts de sociétés spécialistes de la sécurité informatique ont conclu que les attaques avaient très probablement été perpétrées par Lazarus, un groupuscule passé maître dans l’art du cyberespionnage et du cybersabotage. Cette cellule est connue pour avoir perpétré une série d’attaques de grande envergure ayant ciblé des fabricants, des médias et des institutions financières dans au moins 18 pays aux quatre coins du monde depuis 2009.

Très discret pendant plusieurs mois après l’attaque contre la banque du Bangladesh, le groupe Lazarus n’est en pas moins demeuré actif. Ses membres préparaient une autre opération visant d’autres banques. Lorsqu’ils ont été prêts, ils avaient déjà réussi à trouver un point d’entrée dans une institution financière du Sud-est asiatique. Après avoir été interrompus par des solutions Kaspersky Lab et par l’enquête menée ensuite, ils se sont mis au vert pendant plusieurs mois avant de changer de continent. Ils ont alors ciblé des établissements en Europe, où là encore les logiciels de sécurité de Kaspersky Lab ont repéré leurs tentatives et les ont bloquées, aidés par ses équipes d’intervention, d’analyse scientifique et de reverse engineering ainsi que par ses meilleurs chercheurs.

Le modus operandi de Lazarus

Les experts ont passé au crible les indices collectés sur les lieux des attaques. Cette analyse scientifique leur a permis de reconstituer le mode opératoire des pirates.

  • Compromission initiale : les pirates ouvrent une brèche dans un seul des systèmes informatiques de la banque, soit en exploitant à distance des portions de code vulnérables (sur un serveur web par exemple), soit à l’aide d’une attaque dite de « watering hole » qui consiste à piéger un site web légitime. Lorsqu’une victime (un employé de la banque ciblée) consulte ce dernier, son ordinateur est infecté par des composants additionnels.
  • Trouver ses marques : les membres du groupe migrent vers d’autres ordinateurs hôtes au sein de la banque où ils déploient des backdoors persistants, qui leur permettent d’aller et venir à leur guise à l’aide des programmes malveillants installés.
  • Reconnaissance interne : le groupe passe ensuite des jours et des semaines à étudier scrupuleusement le réseau afin d’identifier les ressources intéressantes. Il peut s’agir d’un serveur de sauvegarde qui conserve les données d’authentification, des serveurs de messagerie, des contrôleurs de noms de domaine donnant accès à l’ensemble de l’entreprise, ou encore de serveurs où sont stockées les archives des transactions financières.
  • Passage à l’acte : l’ultime étape consiste, pour les pirates, à déployer leur malware conçu pour passer outre les dispositifs de sécurité internes des logiciels financiers et effectuer des transactions illicites au nom de la banque.

Empreinte géographique et attribution

Les attaques passées au crible par les experts se sont étalées sur plusieurs semaines, sachant que les pirates ont réussi à opérer pendant des mois sans se faire repérer. À titre d’exemple, pendant l’analyse de l’incident survenu dans le Sud-est asiatique, les experts ont découvert que les pirates avaient en fait corrompu le réseau de la banque 7 mois avant qu’elle ne réagisse et sollicite l’intervention des équipes de réponse aux incidents. Le groupe avait même eu accès au réseau de la banque bien avant l’incident survenu au Bangladesh.

Le groupe Lazarus a fait parler de lui à partir de décembre 2015 : des échantillons de malwares en lien avec ses activités ont été repérés sur les réseaux d’institutions financières, de casinos, d’éditeurs de logiciels dédiés à des sociétés de placement et d’entreprises de crypto-monnaies en Corée, au Bangladesh, en Inde, au Vietnam, en Indonésie, au Costa Rica, en Malaisie, en Pologne, en Irak, en Ethiopie, au Kenya, au Nigeria, en Uruguay, au Gabon, en Thaïlande et dans plusieurs autres pays. Les derniers échantillons malveillants repérés datent de mars 2017, ce qui laisse penser que les pirates ne comptent pas s’arrêter là.

S’ils ont pris soin d’effacer leurs traces, ils se sont grossièrement trahis sur au moins l’un des serveurs utilisés dans une autre campagne. En préparation de l’attaque, ce serveur avait été configuré pour faire office de centre de commande et de contrôle (C&C) du malware. Les premières connexions effectuées le jour de la configuration provenaient de nouveaux serveurs VPN/proxy, laissant penser à une période de test du C&C. Les pirates ont laissé un indice : une connexion très brève a été détectée, émanant d’une plage d’adresses IP très rare en Corée du Nord.

Selon les chercheurs, cela pourrait avoir plusieurs significations :

  • Les attaquants se sont connectés depuis cette adresse IP en Corée du Nord ;
  • Il s’agit d’un leurre savamment orchestré par quelqu’un d’autre ;
  • Quelqu’un en Corée du Nord a visité par accident l’URL du C&C.

Le groupe Lazarus investit énormément pour créer de nouvelles variantes de son malware. Ses membres ont, pendant des mois, essayé de mettre au point une version totalement indétectable par les solutions de sécurité. Mais à chaque nouvelle tentative de leur part, les spécialistes ont réussi à repérer leurs créations en identifiant des paramètres récurrents au niveau du code. À l’heure actuelle, ceux-ci ne montrent aucun signe d’activité, ce qui laisse penser qu’ils les ont suspendues pour renforcer leur arsenal.

« Nous sommes persuadés qu’ils referont surface prochainement. Les attaques comme celles menées par le groupe Lazarus montrent qu’une erreur de configuration, même minime, peut ouvrir une brèche importante dans le réseau d’une entreprise, avec à la clé la perte potentielle de centaines de millions de dollars. Nous espérons que les dirigeants des banques, des casinos et de sociétés de placement du monde entier apprendront à se méfier de Lazarus », témoigne Vitaly Kamluk, Directeur de l’équipe de recherches et d’analyses APAC chez Kaspersky Lab.