Archives quotidiennes :

Cyber-attaque, Cybersécurité, Securite informatique

Des traducteurs logiciels malveillants mis en place dans une cyberattaque

Une récente analyse révèle que des applications de traduction compromises sont utilisées pour cibler les Tibétains dans une campagne de cyber espionnage initiée en septembre 2023.

Selon l’entreprise spécialisée en cybersécurité ESET, les pirates responsables seraient affiliés au groupe Evasive Panda, un groupe de hackers malveillants liés au gouvernement chinois. Ils viseraient des individus tibétains résidant en Inde, à Taiwan, à Hong Kong, en Australie et aux États-Unis.

La campagne inclut la corruption de logiciels pour Windows et macOS, ainsi que la compromission du site d’un organisateur du Monlam Festival, un événement religieux annuel se déroulant en Inde. Les assaillants ont injecté du code malicieux sur ce site, créant ainsi une attaque par empoisonnement d’eau, ciblant des groupes spécifiques via des plateformes populaires.

L’attaque était vraisemblablement planifiée pour coïncider avec le festival de Monlam en janvier et février 2024, afin de compromettre les visiteurs du site devenu un vecteur d’attaque. La chaîne d’approvisionnement d’un développeur d’applications de traduction en tibétain a également été corrompue.

Evasive Panda a recouru à divers outils malveillants déjà utilisés dans des attaques en Asie de l’Est, dont MgBot, une porte dérobée pour Windows utilisée par le groupe depuis au moins 2012 pour dérober des données et enregistrer les frappes clavier. En avril, ce malware a été utilisé contre une entreprise de télécommunications en Afrique.

MgBot cible principalement les applications chinoises populaires comme QQ, WeChat, QQBrowser et Foxmail. Il a été identifié une porte dérobée inédite nommée « Nightdoor », employée depuis 2020, notamment contre une cible de premier plan au Vietnam.

La campagne a été découverte en janvier, suite à la détection de code malicieux sur un site géré par le Kagyu International Monlam Trust, promouvant le bouddhisme tibétain. La compromission semble viser à exploiter l’intérêt pour le festival de Bodhgaya. En parallèle, une entreprise indienne développant un logiciel de traduction tibétain a été corrompue, infectant les systèmes Windows et macOS avec des téléchargeurs malveillants.

Un site d’information tibétain, Tibetpost, a également été compromis pour diffuser ces logiciels malveillants. L’utilisation de MgBot a permis d’attribuer ces attaques à Evasive Panda, un groupe actif depuis 2012 et réalisant des attaques alignées sur les intérêts géopolitiques de la Chine.

Cybersécurité, Entreprise, Justice

Spy to love me : un espion chez Google

Un ancien ingénieur logiciel de Google a été accusé par les États-Unis d’avoir volé des secrets commerciaux sur l’intelligence artificielle (IA) alors qu’il travaillait secrètement pour deux sociétés chinoises.

Linwei Ding, également connu sous le pseudonyme de Leon Ding, fait face à des accusations aux États-Unis pour avoir dérobé des secrets d’affaires liés à l’intelligence artificielle (IA) de Google, tout en étant employé simultanément par deux entreprises basées en Chine. Inculpé en Californie sur quatre chefs d’accusation, Ding a été arrêté mercredi. Le citoyen chinois est accusé d’avoir subtilisé plus de 500 documents confidentiels. En cas de condamnation, il encourt une peine maximale de 10 ans de prison et une amende de 250 000 $ pour chaque accusation.

À ce jour, aucun représentant légal de Ding n’a été cité pour réagir à ces allégations, selon des rapports de presse locaux. Ding est suspecté d’avoir collecté des informations critiques sur l’infrastructure des data centers de supercalcul de Google, essentiels pour l’hébergement et l’entraînement de vastes modèles d’IA. D’après l’accusation, Google l’avait recruté en 2019 pour développer ce type de logiciel. Il aurait entamé le téléchargement de données depuis le réseau de Google vers un compte personnel en mai 2022, une activité qui s’est étendue sur un an.

Pendant ce temps, il a séjourné plusieurs mois en Chine pour collaborer avec Beijing Rongshu Lianzhi Technology, une startup qui lui avait proposé un poste de directeur de la technologie avec un salaire mensuel de 14 800 $. Il est également le fondateur de Shanghai Zhisuan Technology, une entreprise spécialisée dans l’IA et l’apprentissage automatique, dont il est le PDG. Des tentatives de communication avec Rongshu ont été faites par la BBC, tandis que Zhisuan n’était pas joignable pour commentaire.

Les procureurs soulignent que Ding n’a jamais informé Google de son engagement avec ces sociétés. Selon l’acte d’accusation, il a sollicité l’aide d’une organisation chinoise pour développer son entreprise, qu’il a présentée lors d’une conférence d’investisseurs en Chine en novembre 2023. Il a été dénoncé par Google le mois suivant alors qu’il tentait de télécharger davantage de fichiers en Chine, mais a prétendu à l’enquêteur de Google que c’était pour prouver son affiliation avec le géant tech.

Après son retour aux États-Unis, et à l’insu de Google, Ding aurait planifié un voyage sans retour de San Francisco à Pékin, avant de démissionner le 26 décembre. Google a ensuite suspendu son accès après avoir découvert ses actions durant la conférence, révélant ainsi les téléchargements non autorisés à travers son historique d’activités.

Android, Cybersécurité, Logiciels, Mise à jour

Correctifs importants pour Android

Google a publié de nouveaux correctifs pour Android, éliminant un total de 38 failles.

Début mars 2024, Google a mis en place 38 correctifs corrigeant son outil Android. Deux vulnérabilités affectant le composant Système ont été classées comme critiques. Ces derniers portent les identifiants CVE-2024-0039 et CVE-2024-23717.

Tout d’abord, ils sont dangereux pour les utilisateurs d’Android 12, 12L, 13 et 14. Grâce à CVE-2024-0039, les attaquants peuvent exécuter du code malveillant à distance, et CVE-2024-23717 permet une élévation des droits dans le système d’exploitation.

Dans l’avis officiel, Google indique que « La plus dangereuse des vulnérabilités corrigées réside dans le composant système. Cela peut conduire à l’exécution de code à distance sans qu’il soit nécessaire d’obtenir des droits supplémentaires sur le système. »

Les développeurs ont corrigé les deux failles critiques avec la publication de la première partie des mises à jour Android de mars. 11 lacunes supplémentaires ont été corrigées. Huit vulnérabilités sont contenues dans le composant Framework, et trois autres dans le même système. Tous ces problèmes comportent un degré de risque élevé et peuvent conduire à une élévation de privilèges, à une divulgation d’informations et à une interruption de service (DoS).

La deuxième partie de l’ensemble de correctifs – niveau de correctif de sécurité 2024-03-05 – comble 25 trous dans les composants AMLogic, Arm, MediaTek et Qualcomm. De plus, Google a signalé avoir éliminé plus de 50 vulnérabilités dans les smartphones Pixel.

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.

cyberattaque, Cybersécurité

Phishing : le bilan alarmant de la cybersécurité

Un acteur majeur dans la lutte contre les cybermenaces a récemment publié les résultats édifiants de sa deuxième édition du baromètre annuel de la cybersécurité. Cette étude, basée sur l’analyse de 5,9 milliards de courriels et représentant plus de 2 millions d’utilisateurs, dévoile un panorama complexe et inquiétant de la cybersécurité actuelle.

En 2023, 1,6 milliard de courriers indésirables ont été interceptés et 143 millions de tentatives de cyberattaques, principalement sous forme de phishing, ont été neutralisées par la société MailingBlack, mettant en lumière l’ingéniosité et la persévérance des cybercriminels. L’étude révèle que des marques de confiance telles que La Poste, WeTransfer, Amazon, Microsoft, et Google sont fréquemment imitées dans le but de leurrer les utilisateurs. 7,6 % des spams contiennent des cybermenaces. 77,5 % de ces assauts numériques se manifestent par un hameçonnage exploitant des biais cognitifs humains tels que le stress, la curiosité, et l’appât du gain pour piéger les employés.

Les petites et moyennes entreprises (PME), suivies des administrations publiques, figurent parmi les cibles privilégiées. Ces entités, souvent moins armées contre les cybermenaces, se retrouvent en première ligne face à des adversaires numériques de plus en plus sophistiqués. Le secteur du commerce se distingue particulièrement, victime de 82 % des attaques exploitant des macros malveillantes dans des documents Word ou Excel, par exemple.

Par ailleurs, les postes de direction et les fonctions marketing sont particulièrement visés, soulignant la stratégie des attaquants de cibler les maillons clés au sein des organisations pour maximiser leur impact. Les postes de direction sont visés, en moyenne, 25 fois par mois. Vient ensuite, les postes marketing, avec 21 tentatives. Les postes administratifs arrivent quant à eux en troisième position, avec 9 tentatives par mois.

Les biais cognitifs auxquels les collaborateurs sont le plus sensibles, sont aussi les plus triviaux : le stress, la curiosité et l’appât du gain. Les messages pour les piéger varient peu, ou pas. Ils restent cependant très efficace. Voici quelques exemples repérés par ZATAZ et MailingBlack.

Promotions et événements spéciaux : “Profitez de notre offre exclusive Black Friday ! Des surprises incroyables vous attendent” ;
Facturation et paiements : “Alerte de facture impayée !” ;
Offres d’entreprise et bien-être : “Améliorez le bien-être de votre équipe ! Découvrez nos solutions exclusives” ;
Logistique et livraison : “Alerte de colis en attente ! Confirmez vos détails de livraison immédiatement !” ;
Sécurité et authentification : “Action requise pour votre sécurité ! Veuillez confirmer votre numéro de téléphone pour protéger votre compte”.

backdoor, Cybersécurité

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Récemment, Talal Haj Bakry et Tommy Mysk, experts en cybersécurité, ont mis en lumière une méthode de phishing particulièrement préoccupante qui cible les propriétaires de véhicules Tesla. Grâce à l’utilisation d’un dispositif Flipper Zero, les chercheurs ont démontré qu’il est possible de compromettre un compte Tesla, permettant ainsi de déverrouiller et potentiellement voler un véhicule. Cette vulnérabilité persiste même après la mise à jour vers la dernière version de l’application Tesla (4.30.6) et du firmware (version 11.1 2024.2.7).

https://twitter.com/mysk_co/status/1765783975056851004

Le processus d’attaque détaillé

L’exploit décrit par Bakry et Mysk repose sur la création d’un faux réseau Wi-Fi nommé « Tesla Guest », simulant ceux fréquemment trouvés dans les centres de service Tesla. En se connectant à ce réseau, les victimes sont redirigées vers une page de connexion imitant celle de Tesla, où leurs identifiants sont capturés par l’attaquant. L’étape suivante du processus consiste à obtenir un mot de passe à usage unique (OTP) nécessaire pour contourner l’authentification à deux facteurs, permettant à l’attaquant de se connecter à l’application Tesla et d’accéder à la localisation du véhicule en temps réel.

Les implications de l’attaque

Le succès de cette attaque repose sur la possibilité d’ajouter une nouvelle clé de téléphone au compte Tesla compromis, une opération qui ne requiert pas la présence physique de l’attaquant à l’intérieur du véhicule, mais seulement à proximité immédiate. Cette méthode expose les propriétaires de Tesla à un risque accru, d’autant plus que l’ajout d’une nouvelle clé n’engendre aucune notification ni alerte via l’application ou sur le tableau de bord du véhicule.

Recommandations de sécurité

Face à cette menace, qu’il faut tout de même modérer [il faut de nombreuses interactions] les chercheurs suggèrent que l’ajout d’une nouvelle clé de téléphone devrait exiger une authentification supplémentaire, telle que la présentation d’une clé de carte Tesla physique. Cette mesure renforcerait considérablement la sécurité, ajoutant une couche d’authentification pour le nouvel appareil.

Malgré la remise en question de cette procédure par Tesla, qui considère le comportement observé comme normal, il est clair que des mesures supplémentaires doivent être envisagées pour protéger les propriétaires de Tesla contre ces attaques de phishing de plus en plus sophistiquées.

Cybersécurité, Entreprise, Mise à jour, Patch

Qnap alerte sur des vulnérabilités critiques dans ses systèmes d’exploitation

Dans le monde toujours connecté d’aujourd’hui, la sécurité des systèmes informatiques est devenue une priorité absolue pour les entreprises et les particuliers. QNAP, une entreprise leader dans le domaine du matériel de sauvegarde informatique, a récemment mis en lumière des vulnérabilités critiques dans plusieurs de ses systèmes d’exploitation.

QNAP a identifié des failles de sécurité dans ses systèmes d’exploitation QTS, QuTS hero, QuTScloud et myQNAPcloud. Ces vulnérabilités, si elles sont exploitées, pourraient permettre à des attaquants d’accéder aux appareils des utilisateurs et de compromettre la sécurité des systèmes concernés. Les vulnérabilités affectent un large éventail de versions des systèmes d’exploitation de QNAP, ce qui rend un grand nombre d’appareils potentiellement vulnérables.

Comprendre les risques

Les vulnérabilités identifiées par QNAP comprennent un contournement d’authentification (CVE-2024-21899), une injection de commandes (CVE-2024-21900) et une injection SQL (CVE-2024-21901). La nature de ces failles varie, mais elles partagent un point commun : elles pourraient toutes compromettre gravement la sécurité des systèmes affectés.

La plus préoccupante des vulnérabilités, CVE-2024-21899, permet à des utilisateurs non autorisés de compromettre à distance la sécurité du système sans nécessiter d’authentification. Cela signifie que cette vulnérabilité pourrait être exploitée par n’importe qui ayant accès à Internet, rendant les systèmes non mis à jour extrêmement vulnérables aux attaques.

Mesures correctives de qnap

En réponse à ces vulnérabilités, QNAP a rapidement publié des mises à jour pour ses systèmes d’exploitation, visant à corriger les failles de sécurité et à renforcer la protection des appareils des utilisateurs. Les versions mises à jour qui résolvent ces vulnérabilités sont les suivantes :

QTS 5.1.3.2578 20231110 et versions ultérieures ;
QTS 4.5.4.2627 20231225 et versions ultérieures ;
QuTS hero h5.1.3.2578 20231110 et versions ultérieures ;
QuTS hero h4.5.4.2626 20231225 et versions ultérieures ;
QuTScloud c5.1.5.2651 et versions ultérieures ;
myQNAPcloud 1.0.52 (2023/11/24) et versions ultérieures.

L’importance de la mise à jour

QNAP conseille vivement à tous les utilisateurs de ses systèmes d’exploitation de procéder à ces mises à jour sans délai. La mise à jour des systèmes d’exploitation est une étape cruciale pour garantir la sécurité des données et la protection contre les attaques extérieures. Dans un monde où les menaces informatiques évoluent constamment, maintenir ses systèmes à jour est le meilleur moyen de se prémunir contre les vulnérabilités potentielles.

Cybersécurité, Entreprise, Mise à jour

Alerte sécurité : une vulnérabilité critique chez Fortinet menace 150 000 appareils

La cybersécurité est un domaine en constante évolution, où les menaces et les vulnérabilités émergent à un rythme alarmant. Un récent rapport de la Shadowserver Foundation met en lumière une vulnérabilité critique affectant les appareils Fortinet FortiOS et FortiProxy. 

Identifiée et corrigée le mois dernier, la vulnérabilité CVE-2024-21762 a reçu un score CVSS alarmant de 9,6, soulignant sa gravité. Ce bug critique réside dans FortiOS et est lié à un enregistrement hors limites. Il permet à des attaquants non authentifiés d’exécuter à distance du code arbitraire en envoyant des requêtes HTTP spécialement conçues. Ce qui rend cette vulnérabilité particulièrement dangereuse, c’est sa capacité à permettre l’exécution de code sans nécessiter d’authentification préalable.

L’exploitation active de la vulnérabilité

Le caractère critique de CVE-2024-21762 a attiré l’attention de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), qui a rapidement ajouté cette vulnérabilité à sa liste de failles déjà exploitées par des attaquants. Cette inclusion souligne non seulement la gravité du problème mais aussi le fait qu’il est activement exploité dans des attaques de cyberpirates.

L’ampleur de la menace : 150 000 appareils vulnérables

La Shadowserver Foundation a lancé un avertissement concernant l’ampleur de cette menace. Selon leurs analyses, environ 150 000 appareils Fortinet FortiOS et FortiProxy restent vulnérables à CVE-2024-21762. Les États-Unis comptent le plus grand nombre de ces appareils vulnérables, avec plus de 24 000 cas recensés. Des nombres significatifs d’appareils affectés ont également été identifiés en Inde, au Brésil et au Canada, soulignant l’impact global de cette vulnérabilité.

Comment vérifier et protéger vos appareils

Les administrateurs de système ne sont pas sans défense face à cette vulnérabilité. Un script Python spécial, développé par les spécialistes en sécurité de l’information de BishopFox, est disponible pour aider à identifier les appareils vulnérables. Il est crucial pour les administrateurs de vérifier l’état de leurs systèmes et d’appliquer les correctifs nécessaires pour se protéger contre les exploitations potentielles de cette faille critique.