Archives de catégorie : backdoor

backdoor, Base de données, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, Particuliers

Trois employés de TalkTalk arrêtés

Un commentaire

Novembre 2015, deux adolescents sont arrêtés dans l’affaire du piratage de données de l’opérateur TalkTalk. En Inde, trois employés du Call Centre de l’entreprise viennent d’être entendus par la police.

Un rapport avec l’affaire du piratage des données clients de l’opérateur britannique TalkTalk ? Je vous expliquais, en novembre 2015, comment deux adolescents avaient été arrêtés au Royaume-Unis. Ils étaient soupçonnés d’avoir participé au piratage des données de l’opérateur britannique TalkTalk. Quatre millions de données avaient été consultés. 157 000 avaient été volées.

Trois mois plus tard, en Inde cette fois, trois employés de TalkTalk, ils officiaient au Call Center de la société, ont été arrêtés. Ces personnes travaillaient pour un partenaire de TalkTalk, la société Wipro, un fournisseur de centre d’appel basé à Calcutta.

Suite à la cyberattaque d’octobre 2015, un audit a été lancé par l’opérateur. Il a été découvert que les trois individus avaient fait de « grosses bêtises » numériques. Un rapport avec le piratage ou un moyen pour TalkTalk de modifier son contrat commercial avec Wipro ? Chose est certaine, les trois indiens se sont servis dans les informations clients.

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Piratage

Les transports en commun de Dallas piratés

Trois semaines après le piratage de plusieurs de ses ordinateurs, les transports en commun de Dallas peinent à reprendre la route.

Les habitants de Dallas éprouvent des difficultés à planifier un itinéraire de bus ou de train sur le site web du DART, les transports en commun de la ville, et cela depuis trois semaines. Des problèmes dus au piratage des serveurs du Dallas Area Rapid Transit.

Une attaque que les fonctionnaires locaux indiquent comme n’étant pas un événement « catastrophique » (sic!). En attendant, les utilisateurs « rament » pour accéder à des informations sur leur voyage (arrivées/départs, temps de trajet…).

Plus tragique encore, ce comportement local du « ce n’est pas bien grave », ils se sont fait pirater, cela peut arriver à n’importe qui. Mais ils n’ont pas de mise à jour accessible. Sans parler du fait qu’ils ne savent pas vraiment ce que les pirates ont pu voler. « Le système peut rester en panne encore quelques semaines de plus. » termine le DART ! (WFAA)

Adobe, backdoor, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Logiciels, Piratage, Virus

Angler Exploit Kit : 90.000 sites piratés, des millions d’internautes ciblés

Le code malveillant Angler aurait déjà infecté plus de 90.000 sites Internet dont 30 présents dans le top 100.000 d’Alexa.

AEK, connu aussi sous le nom d’Angler Exploit Kit, n’a pas fini son petit bonhomme de chemin. Comme l’indiquent les analyses de Palo Alto Networks, déjà 90.000 sites Internet ont été touchés par ce code pirate.

Dans cette liste, 30 serveurs web sont placés dans le top 100.000 d’Alexa, soit des millions de cibles potentielles pour le logiciel malveillant. Une opération parfaitement orchestrée. AEK se met à jour périodiquement, et cela sur l’ensemble des sites corrompus. Le script caché sur les sites se déclenche au bon vouloir des « contrôleurs », rendant sa détection très difficile.

Du 5 au Novembre 2015, 90 558 domaines Internet uniques étaient déjà infectés et utilisés par AEK. Le 14 décembre, seulement 2 850 sites étaient considérés comme dangereux pour les sondes de détections d’espaces malveillants.

L’attaque se fait par le biais d’Internet Explorer et d’une version flash non mise à jour (Ce qu’à fait Adobe, d’urgence, en décembre). La nouvelle version d’AEK s’attaque aussi à Firefox et Chrome.

Comme un grand nombre de kits pirate, Angler Exploit Kit vise les internautes selon une géolocalisation, par l’IP, décidée par le pirate. AEK se charge ensuite de télécharger une charge numérique dans le pc de sa victime. La plupart du temps, un ransomware.

Argent, backdoor, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Particuliers, Piratage, Virus

Un nouveau malware qui cible les services financiers

Découverte par le SOC (Security Operating Center) de F5 Networks et détectée par les solutions de sécurité F5 WebSafe en novembre 2015, l’attaque Tinbapore représente un risque de plusieurs millions de dollars.

L’enquête des experts en sécurité de F5 révèle que Tinbapore est une nouvelle variante du malware Tinba qui avait jusqu’ici ciblé les organismes financiers en Europe, au Moyen-Orient, en Afrique (EMEA) et aux US. Le malware Tinba original a été écrit en employant la programmation en langage assembleur et s’est fait remarqué pour sa très petite taille (20 Ko avec tous les Webinjects et la configuration). Le malware utilise principalement quatre bibliothèques du système lors de l’exécution : ntdll.dll, advapi32.dll, ws2_32.dll et user32.dll. Sa principale fonctionnalité est de se raccorder à tous les navigateurs de la machine infectée afin de pouvoir intercepter les requêtes HTTP et effectuer des injections web.

Les nouvelles versions améliorées du malware utilisent un algorithme de génération de domaine (DGA – domain generation algorithm), ce qui rend le malware beaucoup plus persistant et lui donne la possibilité de revenir en activité, même après que le serveur de commande et de contrôle (C&C) soit coupé. Cette nouvelle variante de Tinba – Tinbapore – créée désormais sa propre instance explorer.exe qui fonctionne en arrière-plan. Elle diffère de la plupart des versions précédentes car elle vise activement les organismes financiers de l’Asie-Pacifique (APAC), un territoire inexploré pour Tinba.

backdoor, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, escroquerie, Particuliers, ransomware

2015 : L’année du fléau Ransomware

55.8 % de tous les fichiers malveillants visant les internautes français contenaient une forme de ransomware.

Après avoir analysé des e-mails infectés visant des utilisateurs lors des douze derniers mois et détecté une proportion considérable de malwares de type ransomware, Bitdefender, société de technologies de sécurité Internet innovantes protégeant plus de 500 millions d’utilisateurs dans le monde entier, publie un aperçu de ce que pourrait être l’amplitude de cette menace.

En juin 2015, le FBI a lancé un avertissement à propos de Cryptowall 4.0, le décrivant comme le ransomware le plus « actif et menaçant, visant les particuliers et entreprises américaines ». L’étude de Bitdefender confirme cette tendance : 61,8% de toutes les attaques de malwares via e-mails aux États-Unis ont diffusé du ransomware (la plupart du temps Cryptowall et Cryptolocker).

En France, un peu plus de la moitié (55.8%) de tous les fichiers malveillants diffusés via e-mail contenaient une forme de ransomware.

À l’échelle mondiale, près du tiers des attaques de malwares par e-mails contenaient une forme de ransomware, dont la majorité aux États-Unis (11.9%) et environ 2% en France. Le reste des e-mails propageant d’autres types de malwares : chevaux de Troie, spywares et autres programmes malveillants.

Comme souvent, les internautes américains sont les plus ciblés par des infections ransomwares via mail (21.2%). La France arrive en 4e position des cibles privilégiées par les cybercriminels (3.85%).

Les cybercriminels à l’origine de ces ransomwares ont donc fait des États-Unis leur priorité, rejoignant ainsi les craintes des DSI américains davantage préoccupés par les ransomwares que par les menaces 0-day1. Ce pays représente en effet un marché hautement profitable pour ce type d’attaque. En 2015, les créateurs du tristement célèbre ransomware CryptoWall ont extorqué plus de 325 millions de dollars (près de 300 millions d’euros) aux victimes américaines, selon diverses études. Un des facteurs importants qui explique ces gains est l’utilisation d’algorithmes de chiffrement sophistiqués qui ne laisse bien souvent d’autre choix aux victimes que de payer la rançon. Le FBI lui-même a parfois encouragé des entreprises à payer.

Les ransomwares sont probablement la menace la plus importante pour les internautes depuis 2014 et resteront l’un des plus importants vecteurs de cybercriminalité en 2016. Alors que certains pirates préfèrent l’approche du chiffrement de fichiers, certaines versions plus novatrices se concentreront sur le développement de « l’extortionware » (malware qui bloque les comptes de services en ligne ou expose les données personnelles aux yeux de tous sur Internet).

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Découverte d’un 0Day dans Silverlight

Un commentaire

Kaspersky Lab a découvert une vulnérabilité « Zero Day » dans Silverlight, une technologie web servant à visualiser des contenus multimédias. Cette faille offrirait à un pirate un accès total à un ordinateur infecté, lui permettant ainsi d’exécuter du code malveillant afin de dérober des informations confidentielles et de se livrer à d’autres activités illicites. La vulnérabilité (CVE-2016-0034) a été corrigée dans la dernière mise à jour de sécurité publiée par Microsoft ce mardi 12 janvier 2016. Sa découverte est le fruit de cinq mois d’enquête ayant fait suite à un article paru dans Ars Technica.

A l’été 2015, une cyberattaque lancée contre la société Hacking Team (connue pour le développement de « spyware légal ») a fait les gros titres. L’un des articles à ce sujet, publié dans Ars Technica, mentionnait une fuite dans des échanges supposés entre des représentants de Hacking Team et Vitaliy Toropov, un développeur indépendant de programmes exploitant des vulnérabilités. Entre autres choses, l’article citait une correspondance dans laquelle Toropov tentait de vendre à Hacking Team une faille Zero Day particulièrement intéressante : il s’agissait d’exploiter une vulnérabilité présente depuis quatre ans et toujours non corrigée dans la technologie Microsoft Silverlight. C’est cette information qui a mis la puce à l’oreille des chercheurs de Kaspersky Lab.

L’article en question ne fournissant aucune autre information sur la faille exploitée, les chercheurs ont entamé leur enquête en partant du nom du vendeur. Ils ont rapidement découvert qu’un utilisateur qui se nommait Vitaliy Toropov était un contributeur très actif de la base de données open source des vulnérabilités (OSVDB), où tout un chacun peut publier des informations dans ce domaine. En analysant son profil public sur le site OSVBD.org, les chercheurs de Kaspersky Lab se sont aperçu qu’en 2013, Toropov avait publié une preuve de concept (POC) décrivant un bogue dans la technologie Silverlight. Ce POC portait sur une ancienne vulnérabilité connue et aujourd’hui corrigée. Cependant, il donnait également des détails supplémentaires qui ont indiqué aux chercheurs de Kaspersky Lab comment l’auteur écrivait du code destiné à exploiter cette faille.

Au cours de l’analyse effectuée par les experts de Kaspersky Lab, certaines chaînes de code spécifiques se démarquaient véritablement. Grâce à ces informations, ils ont créé plusieurs règles de détection pour les technologies de protection de Kaspersky Lab : dès lors qu’un utilisateur, ayant accepté de communiquer des données sur les menaces à Kaspersky Security Network (KSN), rencontrait un logiciel malveillant qui présentait le comportement correspondant à ces règles de détection, le système marquait le fichier comme extrêmement suspect et adressait une notification à la société pour qu’il soit analysé. Cette tactique partait d’une hypothèse simple : si Toropov avait tenté de vendre l’exploitation d’une faille Zero Day à Hacking Team, il y avait de fortes chances pour qu’il ait fait de même auprès d’autres éditeurs de spyware. A la suite de cette activité, d’autres campagnes de cyber espionnage pouvaient s’en servir afin de cibler et d’infecter des victimes sans méfiance.

Cette hypothèse était fondée. Plusieurs mois après la mise en œuvre des règles spéciales de détection, un client de Kaspersky Lab a été la cible d’une attaque employant un fichier suspect présentant les caractéristiques recherchées. Quelques heures plus tard, quelqu’un (peut-être une victime des attaques) se trouvant au Laos a envoyé à un service multiscanner un fichier ayant les mêmes caractéristiques. Les experts de Kaspersky Lab, en analysant l’attaque, ont découvert que celle-ci exploitait en fait un bogue inconnu de la technologie Silverlight. Les informations concernant cette faille ont été communiquées sans délai à Microsoft pour validation.

« Bien que n’étant pas sûrs que la faille que nous avons découverte soit en fait celle évoquée dans l’article d’Ars Technica, nous avons de bonnes raisons de penser que c’est bien le cas. En comparant l’analyse de ce fichier aux travaux précédents de Vitaliy Toropov, nous sommes parvenus à la conclusion que l’auteur de l’exploitation de la vulnérabilité découverte récemment et l’auteur des POC publiés sur OSVDB sous le nom de Toropov était une seule et même personne. En même temps, il n’est pas impossible que nous ayons trouvé une autre faille Zero Day dans Silverlight. Globalement, ces recherches ont contribué à rendre le cyberespace un peu plus sûr en mettant au jour une nouvelle vulnérabilité Zero Day et en la révélant de manière responsable. Nous encourageons tous les utilisateurs des produits Microsoft à mettre à jour leurs systèmes dès que possible afin de corriger cette vulnérabilité », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Les produits Kaspersky Lab détectent la vulnérabilité CVE-2016-0034 sous le nom de  HEUR :Exploit.MSIL.Agent.gen.

backdoor, Banque, Cybersécurité, Social engineering

Piratage d’entreprises au Japon : la moitié ne le savaient pas

Sur 140 entreprises privées et publiques japonaises interrogées, 75 organisations ne savaient pas que les données de leurs utilisateurs avaient été volées.

Le piratage informatique n’arrive pas qu’aux autres. Nous sommes toutes et tous susceptibles de finir dans les mains malveillantes de pirate informatique. Nos données sont tellement partagées par les entreprises qu’il est difficile, voire impossible, de les contrôler.

Au japon, par exemple, une étude intéressante vient d’être publiée par le Kyodo News. Sur les 140 entreprises interrogées, et ayant été piratées en 2015, 75 organisations ont confirmé qu’elles n’avaient pas remarqué l’attaque. Plus de la moitié avaient découvert la fuite de données après l’intervention de la police, ou d’une autre source. Sur ces 140 entreprises, 69 étaient du secteur privé, 49 étaient des agences gouvernementales et 22 universités.

Les 65 entreprises restantes ont indiqué s’être rendues compte, via des audits internes, de la fuite de leurs données. En 2015, les sociétés telles que Seki Co (267000 CB piratées) ; Chateraise CO (200000 données clients) ; Tamiya Inc (110000 données clients) ou encore Itochu Corp, l’Université de Tokyo, la Waseda University, l’association du pétrole japonais ont été touchés par un piratage informatique.

La plus grosse fuite aura touché le service des pensions de retraite du Japon (Japan Pension Service) avec 2,7 millions de données dans la nature. En 2014, Japan Airlines avait du faire face à la fuite de 750,000 données de son club de clients VIP. En 2013, Yahoo! Japan enquêtait sur le vol probable de 22 millions de comptes utilisateurs.

backdoor, Cybersécurité, Facebook, ID, Identité numérique, Mise à jour, Particuliers, Patch

Addiction : Facebook a testé une application secrète

Facebook a testé, en secret, une application Android dédiée à l’addiction de ses utilisateurs au réseau social.

Facebook a mené des tests secrets pour déterminer l’ampleur de la dépendance de ses utilisateurs sous Android. Comme des mannequins dédiés aux crashs tests automobiles, les utilisateurs de l’application Facebook pour Android étaient sous la surveillance du géant américain sans avoir été informés des tests.

Des « analyses » menées de manière à ce que Facebook fût capable de déterminer le niveau d’addiction de l’utilisateur de la dite application. Facebook voulait savoir si l’internaute venait via un navigateur, via Google Play. Bref, du marketing au parfum « Big brother ». Avec un milliard d’utilisateurs Android, il y a une forte motivation pour Facebook de tester ce genre de chose. La société de Mark Zuckerberg aurait aussi testé cette méthode pour sa propre boutique (app store).

Argent, backdoor, Banque, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Leak, Particuliers, Piratage

Qui veut la peau de Roger Ramnit ?

La version 2 du code malveillant Ramnit fait surface sur la toile. Un logiciel pirate avide de données bancaires.

À la fin du mois de Février 2015, Europol, en collaboration avec plusieurs sociétés de sécurité informatique mettait fin à plusieurs serveurs (C&C) permettant de contrôler le botnet Ramnit. La police internationale parlait alors de 3 millions de pc infiltrés. Un an plus tard, Ramnit 2 sort son artillerie lourde. Pour l’équipe  X-Force de la Threat Intelligence Team d’IBM, Ramnit revient lentement sur ses terres sous une nouvelle version. Sa cible reste toujours les données bancaires.

Ramnit a fait ses débuts sur la scène de la cybercriminalité en 2010. Il est devenu le quatrième plus grand botnet dédié à la fraude financière à la fin de l’année 2014, derrière GameOver Zeus, Neverquest (Vawtrack) ou encore Shylock. Principalement destiné aux utilisateurs dans les pays anglo-saxons comme les États-Unis, l’Australie et le Royaume-Uni, le botnet a rapidement inquiété les autorités. En février 2015, avec l’aide de Microsoft, Symantec et Anubis Networks, le Centre d’Interpol dédié à la lutte contre la cybercriminalité (EC3) le centre de commandement de Ramnit était mis hors d’état de nuire. Même si des commandes envoyées par des ordinateurs infectés recherchent toujours à converser avec le C&C saisi par les autorités, les pirates se sont penchés sur une nouvelle version de Ramnit.

Ramnit v2, repensé intégralement
Les pirates ont repensé intégralement leur outil malveillant. Les experts en sécurité d’IBM affirment qu’il n’y a pas d’énormes différences entre l’ancienne version du cheval de Troie Ramnit et sa nouvelle monture, à l’exception de sa méthode d’infection. Alors que le Ramnit était diffusé par clé USB et P2P, Ramnit 2 est construit de maniére à diriger les potentielles victimes vers des pages web fabriquées pour l’occasion, ou infiltrées pour y cacher les kits d’exploits pirates.

Fait intéressant, le code source de Ramnit n’a jamais été diffusé et partagé dans le darknet. Un élément qui tenterait à laisser penser que Ramnit 2 a été écrit par le/les mêmes codeurs. Ramnit a permis d’attaquer plusieurs grandes banques au Canada, en Australie, aux États-Unis et en Finlande. (SoftMedia)

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Social engineering

BadWinmail : Mail piégé via Outlook pour infiltrer un ordinateur

Un mail envoyé vers Outlook permettait de prendre la main sur le système informatique du récepteur de la missive.

Un chercheur en sécurité informatique, connu sous le nom de Li Haifei a découvert comment prendre la main sur la machine d’un utilisateur de Outlook. A la réception d’un courriel piégé, l’attaque pouvait être orchestrée. Baptisée BadWinmail, la vulnérabilité était très facile à exploiter et ne nécessitait pas beaucoup d’interaction avec le récepteur du courrier malveillant. Il suffisait, seulement, d’afficher le mail qui contenait le fichier Flash ouvrant la malveillance. Une fois de plus, le problème vient de Flash et de l’Object Linking and Embedding (OLE) qui permet l’intégration de quasiment n’importe quoi à l’intérieur de documents. L’infiltration par cette méthode permet ensuite au pirate d’injecter un logiciel espion, par exemple. Microsoft a déployé le patch correcteur début décembre.