Archives de catégorie : backdoor

backdoor, Cyber-attaque, Cybersécurité, DDoS, Justice, Leak, loi, Piratage

13 ans de prison pour un pirate informatique

Un ressortissant vietnamien condamné à 13 ans de prison pour avoir mis en place un groupe international de pirates informatiques. Il s’était spécialisé dans le vol d’identité.

Un ressortissant vietnamien a été condamné, aux USA, à 13 ans de prison pour le piratage de centaines d’ordinateurs d’entreprises américaines. But avoué par le pirate, mettre la main sur un maximum d’informations personnelles, les fameux PII américains. Ses attaques, qu’il orchestrait avec une bande de malveillants 2.0 qu’il avait recruté sur Internet, auraient visé environ 200 millions de citoyens américains. Des actions menées entre 2007 et 2013.

Hieu Minh Ngo, 25 ans, a été condamné par la Cour du district du New Hampshire pour ces agissements. HMN passait par des forums et sites de black market, dont Darkode, pour vendre les millions d’identités qu’il avait volé, les fullz (identités, données bancaires, …). Il a été découvert que le pirate possédait un porte feuille d’un millier de « clients » dispersés à travers le monde. Ngo possédait plusieurs sites Internet dont superget.info et findget.me.

La grande majorité des 200 millions de données volées provenaient du piratage d’une entreprise basée dans le New Jersey. Il aurait gagné sur une période de 6 ans, 2 millions de dollars. 13 673 citoyens américains, dont la PII a été volée et revendue, aurait été touché par des dépôts et des retraits  d’argent frauduleux à hauteur de 65 millions de dollars, dixit l’Internal Revenue Service.

Hieu Minh Ngo a été pourchassé par les Services Secrets, le FBI, et les services informatiques de plusieurs divisions de lutte contre le crime informatique de nombreux pays et de la section de la propriété intellectuelle des États-Unis.

Pendant ce temps…

L’Université de Miami piratée. La rédaction de DataSecurityBreach.fr a pu constater sur un site de diffusion de document, les identifiants de connexion de plusieurs centaines d’enseignants : logins, mots de passe (chiffrés, NDR) et adresses mails. Le pirate, qui semble Russe, a mis en ligne dans la foulée l’accès et les identifiants de connexion au WordPress de l’établissement. Les motifs évoqués par le pirate sont puériles « Depuis de nombreuses années, nous vous regardons. explique le pirate qui signe d’un dragon crachant du feu. Les gens se réveillent. Nous allons vous détruire. » Ce que ne dit pas le pirate est que sa base de données volée n’a pu être revendue dans le blackmarket en raison des mots de passe inutilisables. Bilan, une mise en pâture d’informations privées et personnelles à défaut d’en tirer quelques bitcoins.

Android, Argent, backdoor, Cybersécurité, escroquerie, Espionnae, Facebook, ID, Identité numérique, Leak, Particuliers, Piratage, Sécurité, Smartphone, Téléphonie, Vie privée

Deux applications malveillantes dans 1 million de smartphones

Deux applications pour smartphone et tablette Android, Cowboy Adventure et Jump Chess, cachaient en leur sein un outil d’interception de données pour se connecter aux réseaux sociaux des joueurs piégés.

Des logiciels pour smartphone (ordiphone, NDR) et tablette, Google Play en propose des centaines de milliers. Dans le lot, des brebis galeuses à l’image des jeux proposés par l’éditeur Tinker Studio. L’entreprise, totalement inconnue et inexistante sur Internet, diffusait depuis avril 2015, un jeu de plateforme. Vous étiez représenté par un « Indiana Johns » et vous deviez récupérer des diamants à la sauce Mario Bros. Le jeu, pas vraiment original, offrait cependant de joli graphisme et une musique attrayante.

Le 16 mai 2015, Data Security Breach constatait que l’application était considérée comme « non dangereuse » par 56 antivirus. C’est du moins ce que tentait de faire croire les malveillants derrières cette application et les sites qu’ils utilisaient pour diffuser leurs microbes.

A noter que les mêmes créateurs avaient édité Jump Chess 1.1. Lui aussi, soit disant « safe », lui aussi diffusé par des dizaines de sites Internet spécialisé dans les applications Android. Sites qui ne vérifient en rien les contenus qu’ils diffusent. Jeu d’échec lui aussi piégé. C’est d’ailleurs l’éditeur ESET qui va tirer la sonnette d’alarme.

Les deux applications récupérées les informations permettant de se connecter à Facebook. 1.000.000 copies auraient été téléchargées selon l’éditeur d’antivirus. Des logiciels qui ont depuis été retirés du Google Play Store.

La méthode du pirate était simple. Une fausse page Facebook s’affichait dans le menu du jeu. L’internaute ainsi piégé rentrait ses identifiants de connexion. Autant dire que le « pirate » a pu engranger énormément de comptes Facebook.

Il est fortement conseillé, surtout si vous avez téléchargez le jeu de plateforme ou le jeu d’échec, d’effacer les programmes de votre téléphone, de votre tablette, mais aussi et surtout de changer votre mot de passe Facebook (Profitez-en pour utiliser la double authentification, NDR). A noter que l’escroc est un malin, il en a profité pour jouer avec un bug sur Google Play qui permet de mettre n’importe quelle information à l’écran. Bilan, facile d’afficher son appartenance aux éditeurs du Google Play aux yeux qui ne connaissent pas les finesses économiques et commerciales du géant de l’Internet. Voici l’exemple de Data Security Breach (sans danger) qui prouve une facilité de manipulation.

backdoor, Banque, Cyber-attaque, Cybersécurité, Leak, Piratage

Europol stoppe le gang derrière Zeus et SpyEye

2 commentaires

Zeus et SpyEye, deux logiciels espions dédiés au vol de données bancaires, viennent de perdre leurs présumés pères fondateurs dans une opération conjointe d’Europol et EuroJust.

Une équipe de cyber limiers du JIT, qui comprend des hommes et des femmes d’Europol et d’Eurojust, a démantelé un groupe de pirates informatiques soupçonné d’être derrière le développement et le déploiement des outils malveillants Zeus (Zbot) et SpyEye, des chevaux de Troie bancaires.

Depuis plusieurs années, ces kits pirates, particulièrement efficaces, ont fait de gros dégâts. Commercialisaient, il était possible de trouver des versions aux alentours de 500 $, avec des options vendues/louées par les créateurs. Le code source de Zeus a été divulgué sur Internet en 2011. Une fuite rapidement exploitée par les cybercriminels de la planète 2.0. Les codes pirates Citadelle ou encore Gameover sont des modifications de Zeus.

D’après Europole, les personnes arrêtées auraient gagné 2.000.000 d’euros en commercialisant leurs codes. la rédaction de Data Security Breach a appris que le 18 juin 2015, des enquêteurs d’Estonie, de Lettonie, d’Allemagne, de Moldavie, de Pologne et d’Ukraine, secondés par les services secrets américains, ont arrêté cinq personnes logées dans quatre villes Ukrainienne. Une opération rendue possible après de multiples enquêtes lancées en Autriche, Belgique, Finlande, Pays-Bas, Norvège et au Royaume-Uni. Une soixantaine de personnes ont déjà été arrêtées. Elles évoluaient dans la mouvance de Zeus. 34 personnes, arrêtées au Pays-bas, blanchissaient l’argent volé.

 

Android, backdoor, Banque, Bitcoin, Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Sécurité, Smartphone

Risques sur mobiles : 1 code malveillant sur 2 cible l’argent des victimes

Selon le G DATA Mobile Malware Report, 5000 nouveaux programmes malveillants ciblent les appareils mobiles chaque jour.

Les achats réalisés à partir d’appareils mobiles connaissent une forte croissance. En France, le m-commerce représente 20 % des transactions en ligne selon le bilan du e-commerce au 1er trimestre 2015 de la Fevad. La gestion des comptes bancaires en ligne avec le mobile est une autre tendance qui attise la convoitise des cybercriminels. En gérant ses accès bancaires avec son mobile, l’utilisateur casse la protection à double facteur et laisse la porte ouverte aux attaques. Le rapport sur les dangers mobiles montre que 50% des 440 000 programmes analysés au premier trimestre 2015 ont un objectif purement financier.

La banque sur mobile, nouvelle cible ?
La croissance de l’utilisation des appareils mobiles pour gérer les comptes bancaires en ligne pose un nouveau problème de sécurité exploité par les cybercriminels. Les authentifications à double facteurs (identification sur le site Internet et validation par envoi SMS sur le mobile) mises en place par les banques pour sécuriser l’accès au compte en ligne montrent leur limite lorsque l’accès au compte et la validation se réalisent sur le même appareil. Une faille exploitée par exemple par le trojan bancaire FakeToken. Ce code se déguise en une application fournie par la banque. Une fois installée sur le mobile, l’application accède au compte de la victime et réalise des transactions bancaires en interceptant les codes de validation envoyés par SMS.

L’argent comme priorité
Les tablettes et smartphones deviennent des cibles de choix chez les attaquants. Il a été constaté qu’au moins 50% des programmes malveillants analysés ont une finalité financière. Les trojans constituent la majorité de ces dangers. Certains chiffrent les données de l’utilisateur et demandent une rançon ou abonnent la victime à des services surtaxés. D’autres, plus avancés, ciblent les comptes bancaires.

Hausse des dangers sur mobiles au premier trimestre 2015
Les experts ont identifié 440 267 nouveaux échantillons de malware Android au premier trimestre 2015. Comparé au dernier trimestre 2014 (413 871), le nombre de programmes nuisibles pour Android augmente de 6,4%, et de 21% si l’on compare au 1er trimestre 2014 (363 153).

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Guerre ouverte entre Samsung et Microsoft ?

Samsung aurait délibérément désactivé Windows Update de ses machines.

L’information a de quoi étonner. D’après BSOD Analysis, le géant Coréen aurait désactivé Windows Update de ses machines. SW Update est le logiciel de mise à jour OEM pour les ordinateurs Samsung. Sa mission, mettre à jour vos pilotes Samsung, etc. La seule différence entre les autres logiciels de mise à jour OEM est que l’outil de Samsung… désactive Windows Update. A première vue, Samsung n’a pas appris des erreurs de l’affaire Lenovo/Superfish.

backdoor, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, pourriel, Propriété Industrielle, ransomware, Sauvegarde, Social engineering

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Sauvegarde

Une nouvelle menace nommée Equation Group

En février dernier, la sphère de la cyber-sécurité a pris conscience des efforts déployés par Equation Group, organisation de cyber-espionnage de haut niveau qui exploite les firmwares HDD et SSD.

McAfee Labs a évalué les modules de reprogrammation exposés et a observé qu’ils pouvaient reprogrammés les firmwares des HDD et des SSD. Ainsi, les logiciels malveillants peuvent être rechargés et infecter l’ordinateur à chaque redémarrage du système : ils ne disparaissent pas, même en cas de reformatage du disque ou de réinstallation du système d’exploitation. Une fois infecté, le logiciel de sécurité ne peut plus détecter le malware qui est caché au sein du système. « Chez Intel Security, explique David Grout, nous avons suivi de près ces types de menaces hybrides software/hardware. En effet, bien que ces logiciels malveillants aient historiquement été déployés pour des attaques ciblées, les entreprises doivent se préparer à l’inévitable volet commercial que pourraient représenter de telles menaces à l’avenir ».

Il est nécessaire pour une entreprise de prendre des mesures pour renforcer la détection des menaces existantes telles que l’hameçonnage intégrant des liens frauduleux et les malwares infestant les périphériques USB, et d’envisager des solutions qui pourraient prévaloir l’exfiltration des données.

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle

Nouvelles cyberattaques contre des réseaux gouvernementaux et militaires en Asie du Sud-Est

Palo Alto Networks, spécialiste en sécurité d’entreprise, dévoile  les résultats d’une étude sur une série de cyber attaques qui pourraient être commanditées par des États pour cibler des organismes publics et militaires de pays d’Asie du Sud-Est.

Découverte par l’équipe de cyberveille de l’Unité 42 de Palo Alto Networks et surnommée « Opération Lotus Blossom », l’attaque s’apparente à une tentative de récupérer des informations internes sur le fonctionnement d’États nations dans la région. La campagne remonte à trois ans et plusieurs cibles basées à Hong Kong, Taiwan, au Vietnam, aux Philippines et en Indonésie sont concernées.

Plus de 50 attaques distinctes ont été identifiées dans l’Opération Lotus Blossom. Toutes utilisent un cheval de Troie développé spécifiquement et baptisé « Élise » pour lancer des attaques de spear phishing ultra ciblées par le biais d’e-mails et s’introduire dans les systèmes visés. Selon l’Unité 42, le malware Élise a été développé pour les besoins spécifiques de l’opération, bien qu’il soit également utilisé par l’adversaire dans d’autres attaques sans rapport.

Reconnaissables à leurs outils spécifiques, aux vastes ressources mobilisées et à la ténacité des assaillants depuis plusieurs années, ces attaques présupposent l’intervention en coulisses d’une équipe organisée dotée de moyens suffisants. Pour l’Unité 42, ces caractéristiques et la nature des cibles évoquent des motivations qui relèvent du cyberespionnage. Les acteurs à la manœuvre pourraient, toujours d’après l’Unité 42, avoir des liens ou être financièrement soutenus par un État nation ayant de puissants intérêts dans les affaires régionales en Asie du Sud-Est.

« Au regard des standards actuels, le cheval de Troie de type porte dérobée et les exploits de vulnérabilités utilisés dans l’Opération Lotus Blossom ne sont pas des techniques nouvelles. Ces attaques peuvent néanmoins être préjudiciables si elles aboutissent, car elles permettent aux pirates d’accéder à des données sensibles. L’utilisation actuelle de vulnérabilités plus anciennes est symptomatique : tant que les entreprises ne seront pas axées sur la prévention et qu’elles n’auront pas pris les mesures nécessaires pour améliorer la cybersécurité, les cyberpirates continueront d’employer les bonnes vieilles méthodes parce qu’elles marchent encore », commente à DataSecurityBreach.fr Ryan Olson, directeur de la veille, Unité 42, Palo Alto Networks

L’équipe de l’Unité 42 a pu découvrir la campagne Lotus Blossom grâce au tout récent service AutoFocus de Palo Alto Networks. Ce service permet aux analystes de sécurité de corréler et d’interroger des événements de sécurité provenant de plus de 6 000 abonnés WildFire et d’autres sources de cyberveille. Les abonnés des services Palo Alto Networks Threat Prevention et WildFire sont automatiquement protégés contre ces attaques. Les autres sont invités à vérifier leur réseau pour y rechercher d’éventuels signes d’intrusion et renforcer leurs contrôles de sécurité par l’ajout d’indicateurs pertinents, comme indiqué en détail dans la version intégrale du rapport.

Android, backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Particuliers, Patch, Sécurité, Smartphone, Téléphonie, Vie privée, VPN

600 millions d’utilisateurs d’un téléphone Samsung en danger ?

Un commentaire

Plus de 600 millions d’utilisateurs de téléphones portables Samsung ont été touchés par un risque de sécurité important. Samsung S3, S4, S5 et S6 touchés par une vulnérabilité dans un clavier pré-installé qui permet à un pirate d’exécuter du code à distance.

Intéressant ! Après la diffusion de faille et bug visant le téléphone portable d’Apple, l’iPhone, voici venir la faille pour le concurrent direct de la grosse pomme, la famille des Samsung S. Cette faille a été découverte par le chercheur Ryan Welton de la société américaine de NowSecure. Samsung a été alerté en décembre 2014.

Compte tenu de l’ampleur du problème, NowSecure a aussi notifié le CERT américain afin de faire corriger le problème rapidement (CVE-2015-2865). L’équipe de sécurité de Google Android a elle aussi été mise dans la boucle. L’attaque permet de récupérer la connexion GPS, brancher caméra et micro, installer en cachette des applications malveillantes, lire les messages (SMS, MMS, Mails, …). Bref, une petite cochonnerie.

Samsung n’a rien dit, mais propose depuis début de 2015 un correctif. Impossible de savoir si les opérateurs ont suivi la même mouvance sécuritaire… mais particulièrement pratique pour espionner une cible précise. A la lecture de la liste ci-dessous, qui ne concerne que des opérateurs américains, il y a de forte chance que votre téléphone soit toujours un espion en puissance dans votre poche.

Malheureusement, l’application du clavier défectueux ne peut pas être désinstallé. Côté solution : ne pas utiliser de wifi non sécurisé (utilisez un VPN, INDISPENSABLE NDLR)… ou changez de téléphone.

Galaxy S6      Verizon  Non corrigée
Galaxy S6       AT & T   Inconnu
Galaxy S6       Sprint   Non corrigée
Galaxy S6       T Mobile Inconnu
Galaxy S5       Verizon  Inc9nnu
Galaxy S5       AT & T   Inconnu
Galaxy S5       Sprint   Inconnu
Galaxy S5       T Mobile N8n c2rrigée
Galaxie S4       Verizon  Inconnu
Galaxie S4       AT & T   Inconnu
Galaxie S4       Sprint   Inconnu
Galaxie S4       T Mobile Inc8nnu
Galaxy S4 Mini  Verizon  Inconnu
Galaxy S4 Mini  AT & T   Non corrigée
Galaxy S4 Mini  Sprint   Inconnu
Galaxy S4 Mini  T Mobile Inc9nnu

Merci à @dodutils pour l’alerte.

backdoor, Cyber-attaque, Cybersécurité, Piratage, Virus

RunPE, le tueur de logiciels espion

Un commentaire

Phrozen RunPE Detector : Nouveau logiciel indispensable dans son kit de secours informatique.

Phrozen RunPE Detector est la nouvelle création d’un informaticien chercheur Français que nous vous présentons souvent dans les colonnes de Data Security Breach. En plus d’être un ami, il est surtout un sérieux dompteur de codes via son site Internet Phrozen Soft. Il y a quelques années, il sortait le logiciel RAT DarkComet. Un excellent outil qu’il devra stopper. Des malveillants ayant détourné son outil… comme le gouvernement Syrien pour espionner les opposants au régime. Une mésaventure qui n’a pas assommé notre codeur Français, bien au contraire. Depuis, il concocte des outils de sécurité qui mériteraient de se retrouver sur les étagères des éditeurs d’antivirus de la planète web. En attendant, ce nouveau logiciel, baptisé Phrozen RunPE Detector, va devenir un indispensable de votre boite à outil sécurité informatique.

Pour faire simple, la technique RunPE consiste à démarrer un processus légitime souvent signé puis de le suspendre pour remplacer son contenu par une application malicieuse, ainsi cela permet de contourner les restrictions des par feux et d’exécuter du code directement en mémoire. Malheureusement, très pratique pour piéger les antivirus. Une technique utilisée par les pirates dans leurs « crypteurs », mais aussi dans de nombreux RAT. De nombreux outils malveillants continuent d’utiliser cette technique populaire, bilan, JP Lesueur a décidé de faire un outil qui se charge de repérer la menace.

Un logiciel d’analyse dynamique, et non statique, qui détecte la menace et, permet même dans certains cas, de récupérer la source de la menace. Le logiciel est gratuit.