Archives de catégorie : APT

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Hacking, Piratage, Securite informatique

TEMP.Periscope : Des pirates Chinois, amateurs d’éléctions présidentielles ?

4 commentaires

Il n’y aurait pas que les pirates Russes amateurs d’éléctions ? Le groupe d’espionnage chinois TEMP.Periscope cible le Cambodge avant les élections de juillet 2018, et révèle un large éventail d’activités au niveau mondial.

TEMP.Periscope – La société américaine FireEye, une des « sources » des médias concernant les « pirates Russes« , annonce avoir examiné une série d’activités du groupe d’espionnage chinois TEMP.Periscope, qui révèlent un intérêt majeur pour les événements politiques au Cambodge, illustré par des cyber attaques actives contre de multiples acteurs cambodgiens liés au système électoral du pays. Ceci comprend des cyber attaques contre des entités gouvernementales cambodgiennes chargées du contrôle des élections, ainsi que le ciblage de figures de l’opposition. Cette campagne a lieu alors que se préparent les élections générales dans le pays, qui auront lieu le 29 juillet prochain. TEMP.Periscope a utilisé la même infrastructure pour une série d’activités visant des cibles plus traditionnelles, dont l’industrie de la défense aux Etats Unis et une société de l’industrie chimique en Europe. Voir notre article précédent consacré au ciblage par le même groupe de sociétés d’ingénierie et de transport maritime aux Etats Unis.

Gloabalement, selon FireEye, cette activité indique que le groupe exploite une importante architecture d’intrusion et un large éventail d’outils, et cible des victimes très diverses, ce qui est en ligne avec la stratégie traditionnelle des acteurs chinois en matière d’APT (menaces persistantes avancées). Nous pensons que cette activité fournit au gouvernement chinois une visibilité étendue sur les élections cambodgiennes et les actions du gouvernement de ce pays. De plus, ce groupe est clairement capable de mener simultanément plusieurs intrusions à grande échelle ciblant un large éventail de types de victimes.

Notre analyse a également renforcé notre affirmation que ces activités peuvent être attribuées à ce groupe de pirates chinois. Nous avons observé les outils que nous avions précédemment attribués à ce groupe, les cibles visées sont en ligne avec ses actions passées et sont également très similaires aux operations APT connues menées par le Chine. En outre, une adresse IP originaire de Hainan en Chine a été enregistrée pour des activités C2 (command and control).

TEMP.Periscope en bref

Actif depuis au moins 2013, TEMP.Periscope s’est principalement intéressé à des cibles du secteur maritime dans de nombreux domaines, dont l’ingénierie, le transport, la fabrication, la défense, les agences gouvernementales et la recherche universitaire. Toutefois, le groupe a également ciblé des services de consulting et les industries high tech, de la santé et des medias. Ses cibles identifiées sont principalement basées aux Etats Unis, même si des organisations en Europe et au moins une à Hong Kong ont également été touchées. TEMP.Periscope coincide en termes de ciblage, ainsi que de tactiques, techniques et procédures (TTPs), avec le groupe TEMP.Jumper.

Description de l’incident

FireEye a analysé trois serveurs qu’il pense être contrôlés par TEMP.Periscope, ce qui lui a permis d’obtenir des informations sur les objectifs et les tactiques opérationnelles du groupe, ainsi qu’un grand nombre de données techniques d’attribution/validation. Ces serveurs était “open indexés” et donc accessibles par quiconque sur l’Internet public, sans exiger la moindre identification. Ce type d’erreur permet d’obtenir des informations intéressantes sur les activités d’un groupe car, à la différence de données contenues dans des messages de spear phishing, des acteurs malveillants n’anticipent pas que ces données puissent être analysées. L’analyse de FireEye couvre la période allant d’avril 2017 jusqu’à aujourd’hui, la plupart des opérations actuelles étant concentrées sur les élections au Cambodge. Pour l’heure, nous retenons les domaines concernés.

Deux serveurs, Domain 1 et Domain 2, fonctionnent comme des serveurs C2 et des sites d’hébergement traditionnels, alors que le troisième, Domain 3, fonctionne comme un serveur SCANBOX actif. Les serveurs C2 contenaient à la fois les logs et le malware. Une étude des trois serveurs a révélé une adresse IP d’un acteur potentiel située à Hainan en Chine, et des données volées provenant d’attaques potentielles ciblant d’autres industries et secteurs dont l’éducation, l’aviation, la chimie, la défense, les administrations gouvernementales, le monde maritime et le high tech dans de multiples régions du monde. Les fichiers sur les serveurs comprenaient des malwares nouveaux (DADBOD, EVILTECH) et précédemment identifiés (AIRBREAK, EVILTECH, HOMEFRY, MURKYTOP, HTRAN, and SCANBOX ) utilisés par TEMP.Periscope.

Attaques sur les entités liées aux élections cambodgiennes

L’analyse des logs des victimes associées avec les serveurs identifiés a révélé des attaques ciblant de multiples entités cambodgiennes, principalement celles liées aux élections de juillet 2018. De plus, un email de spear phishing séparé analysé par FireEye a mis en évidence une action simultanée ciblant des figures de l’opposition au Cambodge. L’analyse a révélé que des organisations gouvernementales cambodgiennes et des individus ciblés avaient été attaqués comme la Commission Nationale des Elections, Ministère de l’Intérieur, Ministères des Affaires Etrangères et de la Coopération Internationale, Sénat du Cambodge, Ministère de l’Economie et des Finances. Des membres du Parlement représentant le Parti cambodgien du Sauvetage National. De multiples personnalités cambodgiennes partisans des droits de l’homme et de la démocratie ayant écrit des articles critiquant le parti actuellement au pouvoir. Deux diplomates cambodgiens en poste à l’étranger et de multiples organes de presse au Cambodge.

Le Domain 2 a été identifié comme le serveur C2 pour un malware AIRBREAK attaché à un message leurre envoyé à Monovithya Kem, Directeur Général Adjoint, Affaires Publiques, Parti Cambodgien du Sauvetage National (CNRP), et à la soeur de Ken Sokha, leader (emprisonné) d’un parti cambodgien de l’opposition. Le document leurre prétend provenir de LICADHO (une ONG cambodgienne fondée en 1992 pour promouvoir les droits de l’homme).

Une infrastructure également utilisée pour des opérations contre des entreprises privées

’infrastructure décrite plus haut a également été utilisée contre des entreprises privées en Asie, en Europe et en Amérique du Nord. Ces entreprises appartiennent à des industries très diverses, dont l’éducation, l’aviation, la chimie, le monde maritime et le high tech. Beaucoup de ces attaques sont en ligne avec les activités précédentes de TEMP.Periscope en direction des secteurs du maritime et de la défense. Toutefois, nous avons également découvert une attaque visant une société européenne dans la chimie très implantée en Asie, ce qui démontre que ce groupe est une menace pour des entreprises partout dans le monde, et particulièrement celles ayant des intérêts en Asie.

Un malware MURKYTOP de 2017 et des données contenues dans un fichier lié au domain 1 suggère qu’une entreprise impliquée dans l’industrie de la défense aux Etats Unis, peut être en lien avec la recherche maritime, a également été attaquée. De plus, des attaques probables d’une entreprise du secteur américain de la défense et d’une entreprise européenne dans la chimie ayant des bureaux en Asie ont été découvertes sur les serveurs “open indexés”.

Les Downloaders et Droppers AIRBREAK révèlent des indicateurs leurres

Les noms de fichiers pour les downloaders AIRBREAK trouvés sur les sites “open indexés” suggèrent aussi un intérêt marqué pour des cibles associées à la géopolitique liée à l’Asie orientale. De plus, l’analyse des sites downloaders AIRBREAK a révélé un serveur associé qui souligne l’intérêt de TEMP.Periscope pour la politique au Cambodge. Les downloaders AIRBREAK redirigent les victimes vers les sites indiqués pour afficher un document légitime mais leurre tout en téléchargeant un contenu malveillant AIRBREAK à partir d’un des serveurs C2 identifiés. A noter que le site hébergeant les documents légitimes n’a pas été compromis. Un domaine C2 supplémentaire, partyforumseasia[.]com, a été identifié comme la fonction de rappel (callback) pour un downloader AIRBREAK référençant le Parti Cambodgien du Sauvetage National.

Le serveur SCANBOX utilisé pour prévoir des opérations futures

e serveur SCANBOX actif, Domain 3, héberge des articles liés à la campagne actuelle au Cambodge et à des opérations plus larges. Les articles trouvés sur le serveur indiquent le ciblage d’intérêts liés à la géopolitique Etats Unis – Asie orientale, à la Russie et à l’OTAN. Les victimes sont probablement attirées sur le serveur SCANBOX soit via une attaque stratégique de site web soit via des liens malicieux dans des emails ciblés, l’article étant présenté comme un leurre. Les articles proviennent de contenus open source disponibles directement en ligne.

La suite de malwares de TEMP.Periscope

L’analyse du catalogue de malwares contenus sur les trois serveurs révèle une suite classique de contenus malveillants utilisés par TEMP.Periscope, dont les signatures d’AIRBREAK, MURKYTOP, et de HOMEFRY. De plus, l’enquête de FireEye a révélé de nouveaux outils, EVILTECH et DADBOD.

Les données contenues dans les logs renforcent l’attribution à la Chine

FireEye suit les activités de TEMP.Periscope depuis 2013 et de multiples facteurs nous conduisent à affirmer qu’il agit au nom du gouvernement chinois. Notre analyse des serveurs et des données associées dans cette dernière campagne renforcent cette affirmation. Les données du log d’accès au panneau de contrôle indique que les opérateurs sont probablement basés en Chine et travaillent sur des ordinateurs fonctionnant en langue chinoise. Les cibles historiques de TEMP.Periscope restent cohérentes avec les objectifs du gouvernement chinois, et les outils qu’il utilise sont cohérents avec ceux utilisés par de nombreuses autres équipes chinoises. Un log sur le serveur a révélé des adresses IP qui avaient été utilisées pour se connecter au logiciel employé pour communiquer avec le malware implanté sur des machines victimes. L’une de ces adresses IP, 112.66.188.xx, est située à Hainan, en Chine. D’autres adresses appartiennent à des serveurs virtuels privés, mais des éléments indiquent que les ordinateurs utilisés pour se connecter sont configurés pour fonctionner en chinois.

Perspectives et Implications

Les operations révélées ici fournissent un nouvel éclairage sur les activités de TEMP.Periscope. Nous connaissions déjà l’intérêt de cet acteur pour les affaires maritimes, mais cette campagne malveillante apporte des indications supplémentaires indiquant que ce groupe va cibler le système politique de pays possédant une importance stratégique. Le Cambodge a été un supporter fiable de la position de la Chine dans le Sud de la Mer de Chine au sein de forums internationaux tels que l’ASEAN, et figure parmi les partenaires importants du pays. Bien que le Cambodge soit classé comme Autoritaire dans le Democracy Index de The Economist, le récent renversement surprise du parti au pouvoir en Malaisie peut motiver la Chine à surveiller étroitement les élections du 29 juillet au Cambodge.

Le ciblage de la commision électorale est particulièrement significatif, en raison du rôle stratégique qu’elle joue pour inciter les gens à voter. Nous n’avons pas encore suffisamment d’informations expliquant pourquoi cette organisation a été attaquée – simplement pour récolter des informations ou dans le cadre d’une opération plus complexe. Quelle que soit la raison, cet incident est l’exemple le plus récent de l’implication aggressive d’un état nation dans les processus électoraux dans le monde. Bien que des activités liées à des élections aient seulement été découvertes en Asie du Sud Est, ce serait une erreur d’assumer que ces menaces ne peuvent pas se reproduire ailleurs.

Nous pensons que TEMP.Periscope va continuer à cibler un large éventail d’entités gouvernementales, d’organisations internationales et d’entreprises privées, particulièrement celles travaillant dans l’ingénierie ou des processus chimiques utilisés par des navires. Nous ne pensons pas qu’il va modifier beaucoup voire même un seul élément révélé par cette enquête, mais il continuera probablement à développer de nouvelles architectures d’intrusion via de nouveaux domaines, sites compromis, certificats et outils. FireEye prévoit que ces intrusions vont se poursuivre et monter en puissance aussi longtemps que le groupe y trouvera un intérêt.

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Les fraudes sur les réseaux sociaux augmentent de 200%

2 commentaires

Chaque jour, les chercheurs analysent plus de 5 milliards de messages électroniques, des centaines de millions de messages sur les réseaux sociaux, et plus de 250 millions d’échantillons de logiciels malveillants pour protéger les entreprises du monde entier contre ces menaces.

Le Proofpoint Quarterly Threat Report met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances du premier trimestre de 2018 en termes de cyberattaques :

Attaques sur les réseaux sociaux et les moteurs de recherche en forte augmentation avec une hausse de phishing

La fraude par les réseaux sociaux, et le  » phishing « , ont explosé au T1 2018, avec une augmentation de 200% par rapport au trimestre précédent. 30 % des enregistrements de domaines liés au Bitcoin étaient suspects, mais les nouveaux enregistrements ont fortement diminué alors que la valeur du Bitcoin a continué à baisser au cours du premier trimestre. 84% des PDG du Fortune 500 ont été victimes de menaces et de discours haineux sur Twitter et sur le dark web en février 2018.

Tendances des menaces par email : les chevaux de Troie bancaires reprennent la première place tandis que le phishing explose

Au premier trimestre, 59% des messages malveillants étaient des chevaux de Troie bancaires.

Pour la première fois depuis le deuxième trimestre 2016, les chevaux de Troie bancaires ont remplacé les ransomwares en tant que principaux logiciels malveillants dans le domaine de la messagerie électronique.

Les voleurs d’informations confidentielles et les adeptes du téléchargement représentaient le reste des menaces malveillantes avec respectivement 19 % et 18 % des courriels malveillants. L’accalmie des ransomwares et les volumes généralement plus faibles d’emails malveillants au premier trimestre semblent être associés à une perturbation du botnet Necurs, mais ont été accompagnés de charges utiles plus diverses, y compris des RAT et des backdoors. Emotet était le cheval de Troie bancaire le plus largement distribué, représentant 57% de l’ensemble des chevaux de Troie identifiés. 40 % des organisations ciblées ont été attaquées entre 10 et 50 fois au T1 2018, et le nombre d’entreprises recevant plus de 50 attaques a augmenté de 20% par rapport au dernier trimestre de 2017.

Menaces sur le Web : Les kits d’exploitation continuent de décliner à mesure que de nouvelles menaces émergent. Le trafic des kits d’exploitation (EK) a continué à baisser de 71 % par rapport au trimestre précédent. Environ 95% des attaques basées sur le Web sont maintenant redirigées vers des schémas d’ingénierie sociale au lieu de kits d’exploitation. Les chercheurs de Proofpoint ont joué un rôle clé dans le naufrage de l’EITest, la plus ancienne chaîne d’infection du web, empêchant jusqu’à deux millions de redirections malveillantes par jour.

Pour plus de détails.

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Mise à jour, Piratage, Securite informatique

ZooPark : une nouvelle campagne de malware Android propagée par l’infection de sites web légitimes

Des chercheurs en cybersécurité viennent de découvrir ZooPark, une campagne élaborée de cyberespionnage. ZooPark cible depuis plusieurs années les utilisateurs d’appareils Android dans divers pays du Moyen-Orient. Se servant de sites web légitimes comme sources d’infection, cette campagne paraît être une opération étatique visant des organisations politiques, des activistes et d’autres cibles dans la région.

Dernièrement, les chercheurs ont reçu ce qui semblait être un échantillon d’un malware Android inconnu. De prime abord, le malware ne paraissait guère sérieux, tout au plus un outil de cyberespionnage très simple sur le plan technique. Les chercheurs ont alors décidé d’enquêter plus avant et n’ont pas tardé à découvrir une version bien plus récente et complexe du même logiciel, qu’ils ont dénommé ZooPark. Sa cible : le Maroc, l’Egypte, le Liban, la Jordanie et l’Iran.

Certaines applications du code malveillant ZooPark sont diffusées à partir de sites d’actualités ou politiques très consultés dans certaines zones du Moyen-Orient. Elles se dissimulent sous la forme d’applications légitimes portant des noms tels que « TelegramGroups » ou « Alnaharegypt news ». Une fois l’infiltration réussie, le malware offre à l’auteur de l’attaque de nombreuse possibilités. Parmi les actes possibles : Exfiltration des contacts, identifiants de comptes, journaux et enregistrements audio des appels. A cela se rejoute les photos stockées sur la carte SD de l’appareil. Bien entendu, la localisation GPS. Les SMS. Les détails des applications installées, données du navigateur. Enregistrement des frappes clavier et contenu du presse-papiers. La backdoor peut envoyer, discrtement, des SMS. Téléphoner à des numéros, comme des lignes surtaxées.

Une autre fonction malveillante cible les messageries instantanées (Telegram, WhatsApp, IMO), le navigateur web (Chrome) et plusieurs autres applications. Elle permet au malware de dérober les bases de données internes des applications attaquées. Par exemple, dans le cas du navigateur, il s’agit des identifiants enregistrés pour d’autres sites web, susceptibles d’être infectés à la suite de l’attaque.

Les investigations laissent penser que les attaques ciblent en priorité des utilisateurs en Egypte, en Jordanie, au Maroc, au Liban et en Iran. En fonction des thèmes d’actualité choisis par les assaillants pour inciter par tromperie leurs victimes à installer le malware, des membres de l’Office de secours et de travaux des Nations Unies (UNRWA) font partie des cibles potentielles de ZooPark.

« Les utilisateurs sont de plus en plus nombreux à se servir de leur mobile comme principal voire unique moyen de communication. Or cette tendance n’est certainement pas passée inaperçue aux yeux des acteurs malveillants étatiques, qui développent leur arsenal afin de le rendre suffisamment efficace pour pister les utilisateurs mobiles. La menace persistante avancée (APT) ZooPark, qui espionne activement des cibles dans des pays du Moyen-Orient, en est un exemple mais il n’est sans doute pas isolé », commente Alexey Firsh, expert en sécurité chez Kaspersky Lab. Au total, au moins quatre générations du malware espion lié à la famille ZooPark ont été détéctées depuis 2015.

APT, backdoor, Cybersécurité, Mise à jour, Securite informatique

Le ransomware SynAck gagne en complexité pour échapper aux logiciels de sécurité

Des chercheurs ont découvert une nouvelle variante du ransomware SynAck. Il utilise la technique Doppelgänging pour échapper aux logiciels anti-virus en se cachant dans des process légitimes.

SynAck is back ! C’est la première fois que la technique Doppelgänging est utilisée par un ransomware « in the wild ». Les développeurs derrière SynAck font également appel à d’autres stratagèmes pour ne pas être détectés, notamment l’obfuscation de tout le code avant la compilation d’échantillons et la fuite s’ils détectent des signes suggérant un lancement depuis un « sandbox ».

Le ransomware SynAck existe depuis l’automne 2017. En décembre dernier, il ciblait principalement les utilisateurs anglophones via des attaques par force brute RDP (remote desktop protocol) suivies par le téléchargement manuel et l’installation du malware. La nouvelle variante découverte par les chercheurs de Kaspersky Lab exploite une approche bien plus sophistiquée.

Les chercheurs du Kespersky Lab pensent que les attaques utilisant cette nouvelle variante de SynAck sont hautement ciblées. A ce jour, ils ont observé un nombre limité d’attaques aux Etats-Unis, au Koweït, en Allemagne et en Iran, avec des demandes de rançon d’un montant de 3 000 dollars USD.

La technique Doppelgänging permet de faire passer des malwares derrière les lignes de défense et les mesures de sécurité les plus récentes ; c’est une menace majeure que les criminels n’ont pas attendu pour exploiter. « Notre rapport illustre la façon dont le ransomware SynAck, jusqu’ici assez discret, a utilisé cette technique pour gagner en furtivité et accroître sa capacité infectieuse. » explique Anton Ivanov, Lead Malware Analyst, Kaspersky Lab.

APT, backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique

La Thaïlande saisi un serveur exploité les pirates Nord-Coréens Lazarus

Les pirates informatiques du groupe Lazarus, affichés comme Nord-Coréens, auraient perdu un de leur serveur saisi par les autorités thaïlandaises.

Souvenez-vous ! En 2014, un groupe de pirates informatiques prénommé Lazarus Group (Hidden Cobra) s’attaque à Sony Picture. Motif de cette cyberattaque, punir le producteur du film « L’Interview qui tue ». Gros nanar qui se moque du dirigeant nord-coréen Kim Jong-un. Le groupe Lazarus sera étiqueté « Hackers de la Corée du Nord ». Des films, des données sensibles internes, dont des courriels et fiches de paie, avaient été diffusés par les pirates.

Quatre ans plus tard, le ThaïCert (Groupe d’intervention en cas d’urgence informatique ThaiCERT) annonce qu’il avait pris le contrôle d’un équipement utilisé par le Lazarus Group. Un serveur utilisé dans plusieurs importantes. Étonnant que des pirates étatiques exploitent toujours le même espace numérique, et cela depuis 4 ans !

Selon un rapport de McAfee Advanced Threat Research, une campagne appelée opération GhostSecret visait les infrastructures sensibles. Une cyberattaque lancée de ce serveur basé dans les locaux de l’Université Thammasat de Bangkok.

Le ThaiCERT a déclaré travailler avec McAfee pour analyser le serveur compromis afin de comprendre les menaces en cours et d’aider les victimes potentielles. Le rapport détaille la méthode d’attaque inconnue utilisée. Elle est connectée aux opérations récentes impliquant des serveurs en Inde.

APT, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, ransomware, Securite informatique

Lurk, le pirate russe derrière Wannacry

Retour sur le ransomware Wannacry. Un pirate Russe a avoué être derrière cette attaque, lui et son groupe Lurk.

Les chantages informatiques pullulent sur la toile. Mission clairement énoncée par les pirates et leurs outils malveillants, gagner un maximum d’argent et un minimum de temps. Il y a quelques semaines, un pirate Russe, fraichement arrêté, a avoué être l’auteur du rançonnage 2.0 du mois de juin 2017.

Konstantin Kozlovsky, le pirate en question, a expliqué, que lui et son groupe, Lurk Team, était l’auteur de Wannacry.

L’information n’étonne pas vraiment. On sait que les pirates Russes sont avides d’argent. L’homme a été arrêté dans la banlieue d’Ekaterinbourg. Kozlovsky avait déjà expliqué au mois d’aôut 2017, être le pirate derrière l’attaque informatique ayant visé le parti politique Démocrate américain. Une cyberattaque pour le compte du FSB, le service de renseignement Russe.

Lors d’une interview à la télévision locale (Dozhd), le pirate a confirmé avoir reconnu des bouts de code d’un autre logiciel pirate créé par son Crew, Lurk. D’ici là que les services de renseignement Russe se sont servis des 0day et autres exploits du groupe Lurk après l’arrestation de Kozlovsky, il n’y a qu’un pas. Le pirate a indiqué que les attaques à l’encontre d’entreprises Russes, telles que Rosneft et GazProm n’étaient rien d’autres… que des tests pour valider le code malveillant.

Kozlovsky rajoute une couche en expliquant que les tests ont été lancées depuis les machines de la société Samolet. « Le virus a été testé sur des ordinateurs de la société Samolet Development. Une société spécialisée dans les logements sociaux, à Moscou ». Dans les « buts » avoués, Lurk avait pour projet de pirater le réseau informatique de Novolipetsk Steel et de tenter d’arrêter ses hauts fourneaux. Voilà qui démontre que personne n’est capable de connaitre un assaillant avant de lui avoir mis la main dessus.

La Corée du Nord n’est pas coupable !

Pour rappel, l’Oncle Sam indiquait par communiqué de presse, en février 2017, avoir les preuves du créateur de Wannacry : la Corée du Nord. Une information qui leur avait été fournie par Kaspersky Lab et Symantec. Les sociétés de sécurité informatique soupçonnaient le groupe Nord Coréen Lazarus d’être derriére le ransomware. « Cette vaste attaque a coûté des milliards et la Corée du Nord en est directement responsable« , écrivait alors le conseiller à la sécurité intérieure de Donald Trump, Tom Bossert. Des propos tenus dans le Wall Street Journal.

Le gang Lurk était connu dans l’écosystème cybercriminel pour avoir développé le kit exploit Angler. Une enquête conjointe menée par la police russe et le laboratoire de Kaspersky avait permis d’identifier les personnes à l’origine du malware Lurk. Les membres de Lurk ont ??été arrêtés par les forces de l’ordre russes à l’été 2016. Selon les autorités, Lurk a pu voler 45 millions de dollars US aux institutions financières locales. A noter qu’un agent du FSB, Dmitri Dokouchaïev, un employé du Centre de Sécurité de l’Information du FSB, serait le donneur d’ordre. Il a depuis été arrêté dans une affaire de haute trahison.

Pendant ce temps, un ancien fonctionnaire du FSB, le lieutenant-général Vladimir Skorik, a intégré la 15e entreprises mondiales de technologie de pointe, SAP CIS. Cette entreprise est spécialisée dans la création de logiciels d’entreprise. le lieutenant-général Vladimir Skorik était le directeur du Centre de Sécurité de l’information du service de renseignement Russe jusqu’en 2009.

Android, Antivirus, APT, backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Espionnae, ID, Leak, Logiciels, Mise à jour, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Skygofree : un puissant logiciel de surveillance pour Android

Skygofree : des chercheurs ont découvert un implant mobile avancé, actif depuis 2014 et conçu pour une cybersurveillance ciblée, peut-être afin de constituer un produit de « sécurité offensive ». Cet implant, nommé Skygofree, comporte des fonctionnalités inédites, telles que l’enregistrement audio suivant la géolocalisation via des appareils infectés. Le spyware se propage à travers des pages web imitant celles de grands opérateurs mobiles.

Skygofree est un logiciel-espion élaboré, à plusieurs modules, qui permet à des pirates de prendre totalement le contrôle à distance d’un appareil infecté. N’ayant cessé d’évoluer depuis la création de sa première version fin 2014, il est désormais capable d’intercepter les conversations et les bruits ambiants lorsque l’appareil infecté se trouve à un endroit donné, une fonctionnalité jamais vue jusque-là. Parmi les autres capacités avancées et inédites figurent des services d’accessibilité permettant de pirater des messages WhatsApp ou encore la possibilité de connecter l’appareil infecté à des réseaux Wi-Fi contrôlés par des individus malveillants.

Un logiciel espion très élaboré qui prend totalement le contrôle de l’appareil infecté.

L’implant exploite diverses vulnérabilités pour obtenir un accès root. Il peut également prendre des photos et des vidéos. Capturer des appels. Voler des SMS. Lancer une géolocalisation de l’appareil, des événements de l’agenda voire des informations professionnelles stockées en mémoire. Une fonction spéciale permet de contourner une technique d’économie de la batterie employée par un grand fabricant : l’implant s’ajoute alors à la liste des « applications protégées » de façon à ne pas être désactivé automatiquement lorsque l’écran est éteint.

Les pirates paraissent également s’intéresser aux utilisateurs Windows et les chercheurs ont découvert un certain nombre de modules développés récemment et ciblant cette plate-forme.

La plupart des pages web factices servant à répandre l’implant ont été enregistrées en 2015 alors que, selon les données télémétriques de Kaspersky Lab, la campagne de diffusion était à son paroxysme. La campagne est toujours en cours et le domaine le plus récent a été enregistré en octobre 2017. Les données indiquent plusieurs victimes à ce jour, toutes en Italie.

« Un malware mobile avancé est très difficile à identifier et à bloquer, et les développeurs qui se cachent derrière Skygofree en ont clairement tiré profit, en créant et faisant évoluer un implant capable d’espionner largement ses cibles sans éveiller les soupçons. Les éléments que nous avons découverts dans le code malveillant et notre analyse de l’infrastructure nous portent à croire avec un haut degré de certitude que les auteurs des implants Skygofree travaillent par une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam », commente Alexey Firsh, analyste en malware spécialisé dans l’étude des attaques ciblées chez Kaspersky Lab.

Pour s’en protéger, être attentifs aux emails entrants, et équipés de logiciels de sécurité.

Les chercheurs ont identifié 48 commandes différentes pouvant être mises en œuvre par les pirates, pour un maximum de souplesse d’utilisation.

Pour assurer la protection contre la menace des malwares mobiles avancés, Kaspersky Lab recommande vivement l’installation d’une solution de sécurité fiable, capable d’identifier et de bloquer ces menaces sur les appareils des utilisateurs. Les utilisateurs sont en outre invités à faire preuve de prudence lorsqu’ils reçoivent des e-mails provenant de personnes ou d’entreprises inconnues ou comportant des demandes ou pièces jointes inattendues et de toujours vérifier à deux fois l’intégrité et l’origine des sites web avant de cliquer sur des liens. En cas de doute, mieux vaut contacter l’exploitant du site pour en avoir le cœur net. Les administrateurs système, pour leur part, doivent activer le contrôle des applications dans leur solution de sécurité mobile afin de maîtriser les programmes potentiellement dangereux vulnérables à cette attaque.

Kaspersky Lab détecte les versions de Skygofree sur Android sous HEUR:Trojan.AndroidOS.Skygofree et HEUR:Trojan.AndroidOS.Skygofree.b, et les versions Windows sous UDS:DangerousObject.Multi.Generic.

De plus amples informations, notamment la liste des commandes de Skygofree, les indicateurs d’infection (IoC), les adresses des domaines et les modèles d’appareils ciblés par les modules de l’implant, consultez le site Securelist.com.

Notes

Skygofree est nommé ainsi parce que le mot a été utilisé dans l’un des domaines. Le malware n’a rien à voir avec Sky, Sky Go ou une quelconque filiale de Sky, et n’affecte pas le service ou l’application Sky Go.

APT, backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Piratage, Securite informatique

Infy : Prince of Persia persiste et signe

En février 2017, l’Unit42, unité de recherches de Palo Alto Networks a observé une évolution du malware “Infy” que nous avons appelée « Foudre ». Les acteurs concernés semblent avoir tiré les enseignements suite à notre démantèlement et notre sinkholing (redirection vers un serveur que nous contrôlons) de leur infrastructure de commande et de contrôle (C2). En effet, Foudre intègre désormais de nouvelles techniques anti-démantèlement censées éviter que ses domaines C2 ne soient détournés vers un site sinkhole comme nous l’avions fait en 2016.

L’Unit42 a documenté ses travaux de recherche originels sur cette campagne vieille de dix ans en utilisant le malware Infy en mai 2016. Un mois après la publication de ces travaux, l’Unit42 a donné une description détaillée de notre démantèlement et de notre sinkholing des serveurs C2 de l’acteur. En juillet 2016, au congrès Blackhat U.S.A, Claudio Guarnieri et Collin Anderson ont présenté des preuves montrant qu’un sous-ensemble des domaines C2 redirigés vers notre sinkhole avaient été bloqués par falsification DNS et filtrage HTTP par la Telecommunication Company of Iran (AS12880), empêchant l’accès depuis le territoire national iranien à notre sinkhole.

Voici les modifications apportées au malware dans ce blog post dédié, quelques informations et précisions ci-dessous. L’Unit42 en profite également pour mettre en avant certaines erreurs courantes, et explique comment elle les a exploitées pour en savoir plus sur cette campagne.
Cartographie des victimes

L’Unit42 avait prévu l’un des noms de domaine DGA et l’avait enregistré avant que l’adversaire ne puisse le faire.

Les victimes ont tenté de se connecter à un C2 dans ce domaine, mais, ne possédant pas la clé privée RSA, l’Unit42 n’a pas pu vérifier son domaine auprès d’elles. Cependant, elle a pu établir une cartographie géolocalisant les victimes à l’aide de GeoIP (voir pièce jointe).

On remarque la prépondérance des victimes sur le territoire national iranien, ce qui rappelle fortement les campagnes d’Infy. Les attaques menées contre les États-Unis et l’Irak sont aussi familières. Ici encore, le très petit nombre de cibles fait penser à une motivation non financière.

L’une des victimes en Irak utilise une adresse IP dans le même réseau de classe C que l’une des victimes Infy déjà observées, ce qui laisse à penser que l’adversaire cible la même organisation, voire le même ordinateur.

Même si, en l’absence de la clé privée RSA, l’Unit42 n’a pas réussi à établir la communication avec les victimes, elle a découvert qu’en envoyant un fichier de signature non valide à la victime, du fait de l’absence de validation en entrée du contenu/de la taille de ce fichier, elle arrive à faire échouer le processus rundll32 qui exécute la DLL malveillante de Foudre. Cela permet de désactiver l’infection jusqu’à ce que la victime réinitialise sa machine.
Conclusion

Dans son post, blog Prince of Persia, l’Unit42 avait indiqué que cette campagne durait depuis au moins une dizaine d’années. Ainsi, elle a poursuivi le sujet avec son blog Prince of Persia: Game Over, qui documente son démantèlement et son sinkholing de l’infrastructure C2 de l’adversaire.

En ce qui concerne les actions de la Telecommunication Company of Iran en vue d’empêcher les C2 d’être redirigés vers notre sinkhole, Guarnieri et Anderson font observer que « la politique de filtrage indique que les autorités iraniennes sont intervenues spécialement pour bloquer l’accès aux domaines de commande et de contrôle d’une campagne d’intrusion visant l’État, au niveau national. »

L’Unit42 s’attend à voir Infy faire son retour : dans les grandes lignes, ce sera toujours le même malware, ciblant les mêmes victimes.

Les acteurs ont compris qu’ils avaient besoin d’une infrastructure C2 plus robuste pour empêcher l’infiltration et le démantèlement. L’algorithme DGA apporte une dose de résilience, mais n’est pas invulnérable à un démantèlement.

Toutefois, l’utilisation de la signature numérique constitue un dispositif de défense contre un C2. Sans accès aux clés privées, il n’est pas possible d’usurper l’identité d’un C2 même si un domaine DGA est enregistré par un chercheur. Il se peut que les clés privées résident localement sur le serveur C2, mais sans accès au C2, nous ne pouvons pas confirmer cette vulnérabilité potentielle de leur infrastructure.

Décidément, Prince of Persia persiste et signe.

APT, Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Mise à jour, Securite informatique

Les risques, les vulnérabilités, les licences des logiciels open source

Les risques concernant la sécurité et la conformité des composants tiers atteignent des proportions incontrôlables, et menacent l’intégrité même de la chaîne d’approvisionnement de logiciels.  Il suffit de voir l’impact de la faille Heartbleed pour s’en convaincre !

Aujourd’hui, les entreprises incluent davantage de code open source que d’éléments conçus en interne ou propriétaires dans leurs produits.  Malheureusement, en profitant de ces logiciels open source (OSS) pour accélérer le développement de leurs produits, la plupart d’entre elles ne respectent pas les licences open source associées à ces composants.  Bien que les OSS soient gratuits, leurs utilisateurs ne sont pas pour autant libres de toute obligation les concernant.  Celles-ci peuvent aller de la reproduction de déclarations de droits d’auteur ou d’une copie d’un document de licence à la divulgation de l’intégralité du code source de leurs produits.  Des enquêtes récentes ont montré que la plupart des entreprises ne connaissent qu’un faible pourcentage des composants open source sur lesquels elles s’appuient, et ne sont donc pas en mesure de respecter les obligations indiquées dans les licences de ces éléments.  En outre, ces logiciels peuvent comporter des bugs ou des vulnérabilités susceptibles d’affecter votre produit.  Sans un suivi adéquat, ce dernier peut passer à côté de mises à jour ou de patches corrigeant des vulnérabilités connues. Mais malgré cela l’open source offre de précieux avantages.

Découverte, gestion et conformité en cinq étapes

Face aux problématiques de conformité ou de gestion des vulnérabilités des OSS, la première question est généralement : « Comment savoir quels composants open source nous utilisons ? » Il est possible de mieux comprendre ce que l’on fait et de mettre en place un processus pour découvrir, gérer et s’assurer de la conformité avec ces OSS en cinq étapes.

Étape 1 :  comprendre comment les OSS sont introduits dans votre entreprise

Les OSS peuvent s’introduire de différentes façons.  Cas classique : un développeur décide d’utiliser un composant open source, télécharge le code source, et l’intègre au produit.  Ce cas est encore très fréquent, mais il existe bien d’autres scénarios.  Très souvent, les développeurs utilisent ce qu’on appelle des gestionnaires de référentiels (repository manager).  Ces outils leur permettent d’indiquer les composants qu’ils veulent utiliser, puis s’occupent eux-mêmes d’en télécharger le code source ou des fichiers binaires compilés. Ces gestionnaires stockent généralement les composants open source dans un référentiel distinct, hors du système classique de gestion des codes source.  On peut notamment citer parmi eux Maven, Nuget ou npm.

Des éléments open source peuvent également être introduits dans une organisation en tant que sous-composant d’un composant open source plus important ou commercial.  Les composants de premier niveau ont très souvent plusieurs sous-composants ou dépendances open source, qui sont rarement divulgués ou gérés.

En outre, ces éléments serviront de pièces d’une infrastructure runtime, comme des serveurs Web, des systèmes d’exploitation ou des bases de données et peuvent permettre de contrer les risques.

Étape 2 :  chercher les OSS

Une fois que vous savez comment vos composants open source sont sélectionnés et utilisés, vous pouvez évaluer les risques et ceux dont vous avez besoin, et comment ils sont utilisés ou répartis.  On appelle ça dresser une nomenclature (Bill of Materials), ou une liste de divulgation.  Cette liste sert à suivre les obligations, à modifier les politiques vis-à-vis des OSS, et à réagir aux vulnérabilités rendues publiques.  Souvent, des paquets open source comporteront des termes de licence que votre organisation ne pourra pas respecter, ce qui pose automatiquement un problème de conformité.  Dans de tels cas, le composant en question devra être supprimé et la fonctionnalité remplacée, soit par un autre composant OSS, ou en écrivant une fonctionnalité équivalente.

L’examen du code base, les risques, la tenue d’entretiens et l’utilisation d’outils d’analyse de code peuvent être utiles dans le cadre de ce processus.

Étape 3 : questionner l’équipe de développement

Les projets devenant sans cesse plus vastes, complexes et distribués, il est de plus en plus difficile de découvrir l’ensemble des éléments utilisés.  Il est donc important d’avoir des échanges réguliers avec les développeurs, équipes DevOps, ainsi que l’ensemble du personnel informatique impliqué dans la création, le déploiement et la mise en œuvre du projet en question.  Posez-leur des questions ciblées, comme « Quelle base de données utilisons-nous ? », ou « Quelle bibliothèque de chiffrement utilisons-nous ? ».  Cela peut être utile pour découvrir d’autres modules potentiellement passés inaperçus la première fois.

Demander simplement « Quel code open source utilisons-nous » permet rarement de créer une liste complète pour un certain nombre de raisons, notamment à cause d’oublis ou de l’absence de registres adéquats.

Étape 4 : comprendre comment les OSS entrants sont gérés

La gestion des composants tiers et les risques doivent faire l’objet d’un processus cohérent et correctement appliqué.  Votre organisation pourra ainsi respecter ses obligations des licences open source, mais aussi faire face à de nouvelles vulnérabilités.  Il est fréquent de voir ce processus atteindre différentes étapes et niveaux de conformité.  Certaines organisations se contentent encore de suivre les composants « sollicités » par les développeurs.  Celles-ci n’ont souvent connaissance que des éléments les plus importants, ou découvrent que certains développeurs sont plus assidus que d’autres dans le cadre du respect du processus.

D’autres entreprises utilisent des outils d’analyse pour découvrir et suivre leurs OSS.  Leurs résultats varieront en fonction des solutions utilisées ou du niveau d’analyse.  Certains outils ne découvrent que les textes de licence, pas les composants open source. D’autres ne peuvent retrouver que les composants gérés par des gestionnaires de paquets.  Il est donc important de savoir quel niveau d’analyse est adopté et ce que l’on peut espérer repérer…

Étape 5 :  cherchez des preuves de conformité des OSS

Une fois toutes ces étapes franchies, il est important de confirmer la visibilité de cette conformité.  Les déclarations et autres avis légaux (droits d’auteurs) nécessaires sont-ils présents dans les produits ou leur documentation ?  Les textes des licences sont-ils visibles comme il se doit ?  Existe-t-il une offre écrite relative au code source ou ses distributions, et ciblant du contenu rendu libre que vous utilisez ?  Tous ces éléments seront les témoins visibles de l’efficacité de votre processus de gestion des composants open source.

En suivant ces cinq étapes, en sensibilisant votre personnel à l’utilisation adaptée des OSS, et en encourageant les membres de votre écosystème à en faire de même, vous pourrez créer des applications modernes et puissantes, tout en respectant les licences open source.

En outre, plus vous en savez sur les ingrédients, les éléments tiers et les vulnérabilités de votre produit, mieux ce dernier pourra être sécurisé et pris en charge ! (Par Christian Hindre – Directeur Commercial Europe de Flexera Software)

APT, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Social engineering

Le cyberespionnage via les APT devient le pire cauchemar des entreprises

En France, plus de deux tiers (71 %) des DSI estiment que leur entreprise pourrait « certainement » être la cible de campagnes de cyberespionnage utilisant des menaces persistantes avancées (Advanced Persistent Threats – APT) selon une récente étude.

Les APT, des cyber-outils complexes conçus sur mesure pour attaquer des grandes entreprises ou organismes d’état, et collecter discrètement des données sensibles sur de longues périodes. 27 % des personnes interrogées considèrent que leur infrastructure informatique pourrait « éventuellement » être la cible d’actions de cyberespionnage de haut niveau visant à exfiltrer des informations de manière systématique.

Seule une petite minorité n’est pas préoccupée par les APT

L’année dernière, des entreprises de  grande envergure ont été confrontées à un nombre croissant d’incidents et de violations de sécurité, avec une augmentation significative des APT et des attaques ciblées visant aussi bien les entreprises que les entités gouvernementales (telles que APT-28 et, plus récemment, Netrepser). En fait, moins de 2% des DSI considèrent que les APT ne sont pas une menace réelle pour leur environnement de travail. Les inquiétudes sur la sécurité vont en se multipliant, et la question est de plus en plus souvent traitée par les conseils d’administration des entreprises. Les hauts responsables de services informatiques, tout comme les membres des conseils d’administration s’en préoccupent de plus en plus, non seulement parce qu’une violation de la sécurité peut leur coûter cher, mais aussi parce que le futur des entreprises est en jeu quand des données sensibles sont dérobées par des pirates informatiques.

Les risques ne sont pas toujours visibles, mais ils sont bien présents

Étonnamment, si 42% des DSI ont déclaré qu’il leur faudrait entre quelques semaines et un mois pour repérer une APT, 23% d’entre eux pensent qu’il leur faudrait entre deux mois et plus d’un an pour détecter les menaces modernes les plus sophistiquées. Preuve que de nombreux professionnels interrogés sont au courant et craignent ces menaces, mais qu’ils pensent ne pas être suffisamment bien protégés pour les détecter et les bloquer.

Selon Liviu Arsene, Analyste des e-menaces chez Bitdefender, « les cyberattaques peuvent passer inaperçues pendant des mois et, dans la plupart des cas, les violations proviennent de failles Zero-day ou de malwares s’attaquant au noyau du système. Ce sont précisément ces vulnérabilités que ciblent les APT, car elles leur évitent d’être détectées. Les exploits au niveau du noyau et les rootkits peuvent échapper aux solutions de sécurité traditionnelles pour endpoints et prendre le contrôle total du système d’exploitation. »

Les menaces persistantes les plus avancées ne se limitent pas aux attaques soutenues par des États : les entreprises peuvent également devenir les victimes de cybercriminels qui exploitent des vulnérabilités Zero-day pour diffuser des malwares extrêmement ciblés conçus pour les espionner et voler des éléments de propriété intellectuelle. L’enquête de Bitdefender confirme que les RSSI considèrent leurs concurrents comme les plus susceptibles d’attaquer leurs entreprises, dans le cadre d’un espionnage professionnel (66%), suivis des hackers (57%).Les cybercriminels soutenus par des Etats, les agences gouvernementales et les personnes en interne arrivent respectivement en 3ème, 4ème et 5ème position (51, 41 et 30%).

Les risques sont réels, et les entreprises doivent les limiter

76 % des responsables de services informatiques français estiment que la pire conséquence à craindre d’une attaque par une APT est d’ordre financier. En deuxième position on retrouve l’atteinte à la réputation (66%), suivie de la faillite (51%). Parmi les risques les plus sinistres, citons également la guerre ou les cyber-conflits (24%) ; et même un décès par suicide ou attaque cardiaque (14%).

Les entreprises ont surtout peur de perdre des informations relatives à leurs clients (52%), suivies des informations financières (47%), des recherches sur de nouveaux produits (37%), des informations sur certains employés (35%), des informations et de caractéristiques de produits (34%), leur propriété intellectuelle (34%) et leurs recherches sur la concurrence (20%).

Ainsi, 94 % des conseils d’administration estiment que la cybersécurité est un sujet critique dans la gestion des risques de l’entreprise, avec des conséquences sévères sur leur situation financière et leur réputation si elle est négligée. Seuls 4% ne lui accordent pas encore une telle importance. La plupart des entreprises (58%) ont un plan de réponse aux incidents et un plan de reprise après sinistre dans le cas d’une attaque par APT ou d’une violation de sécurité massive, et 40% reconnaissent qu’elles sont en train d’élaborer une stratégie en la matière. Moins de 2% n’ont adopté aucune procédure de ce type à ce jour, et n’’envisagent pas de le faire dans le futur.

Une sécurité multi-couches est la meilleure solution

64% des responsables informatiques français interrogés perçoivent la défense multi-couches, associant plusieurs politiques de sécurité et outils conçus pour combattre les menaces et intrusions modernes, comme étant la meilleure défense contre les menaces persistantes avancées. Les audits de sécurité, les solutions de nouvelle génération, la sécurité traditionnelle et la surveillance des journaux ont également été mentionnés par plus d’un tiers des sondés. (Bitdefender)