Archives de catégorie : backdoor

Google et Doubleclic exploités dans une diffusion malveillante

La méthode est connue, utilisée depuis des années : des pirates exploitent les réseaux publicitaires pour diffuser des codes malveillants dans les ordinateurs des visiteurs de site Internet. Des cyber-criminels ont exploité la puissance de deux réseaux de publicité en ligne pour infecter et infiltrer des millions de potentielles victimes.

Lors de vos visites sur le site web, des publicités peuvent s’afficher. Des pirates informatiques ont rapidement compris le potentiel intérêt de ces supports pour diffuser leurs malveillances informatiques. Il y a quelques jours, les réseaux de DoubleClick et de l’agence de publicité Zedo, affiliée à Google, ont diffusé des publicités malveillantes qui avaient pour mission d’installer un logiciel espion dans les ordinateurs des visiteurs.

Un récent rapport publié par les chercheurs de la société Malwarebytes suggère que les cybercriminels ont pu profiter d’affiches piégés sur un certain nombre de sites web, y compris le Times d’Israël, le Jérusalem Post et encore le  site de streaming musical Last.fm.

L’attaque a été détectée à la fin du mois août dernier. Depuis, des millions d’ordinateurs ont probablement été exposés au code malveillant Zemot. Un microbe que les antivirus mis à jour détectent les yeux fermés. Google a confirmé l’attaque et a fermé l’ensemble des serveurs permettant la diffusion des publicités piégées. Ce qui est intéressant, dans ce cas, est la facilité déconcertante qu’ont eu les pirates à pirater les administrations de diffusion, à installer leurs publicités et à permettre la mise en ligne sans que personne ne puisse s’en inquiéter.

Les pirates ont exploité de nombreux sites supports, les publicités renvoyaient sur ces espaces. Des sites qui déclenchaient ensuite l’installation d’un kit pirate. Beaucoup de sites étaient basés au Pays-Bas (.nl), Suisse (.ch) et quelques pays de l’Est.

Zemot a été détecté, pour la première fois, en novembre 2013. Rien qu’en juin 2014, Microsoft annonçait 45.000 machines piégées ; plus de 35.000 en juillet, 27.000 en août. Zemot se concentre sur des ordinateurs exécutant Windows XP, mais il peut aussi infecter les systèmes d’exploitation plus modernes s’exécutant sur des machines tournant en x86 et 64 bits. Zemot est conçu pour contourner la sécurité d’un système avant d’infecter les ordinateurs avec des logiciels malveillants supplémentaires.

Le Groupement des Industries Françaises Aéronautiques et Spatiales attaqué

Depuis plus de trois semaines, des pirates informatiques louchent sur des données militaires appartenant à des sociétés américaines et Françaises. D’après la société WebSense, dans la liste des sites visés, celui du Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS). Les pirates, une nouvelle fois des Chinois sont montrés du doigt, auraient exploité un 0Day [CVE-2014-0322  – faille non publique, ndr] visant Internet Explorer 9 et 10.

Les pirates auraient diffusé des courriels ciblés à l’encontre d’employés membre de le GIFAS. Missives électroniques qui incitaient à visiter un site malveillant. Page web, comme le montre notre capture écran, qui  déclenche le téléchargement d’un outil d’espionnage à partir d’une « pixel » flash pirate.

L’url proposé dans le courriel usurpait l’adresse web de l’association : https://www.gifas.asso.fr. Les pirates ayant enregistré gifas.assso.net [assso.net, avec trois S, ndr datasecuritybreach.fr]. La page se fait passer, elle est toujours active, pour l’espace presse du GIFAS.

Finalité de l’attaque, intercepter mots de passe et permettre des accès à des documents sensibles. Les pirates (qui utilisent la même technique que les groupes Deputy Dog et Ephemeral Hydra) ont-ils cherché à connaitre les « contrats »/ »accords » signés entre les USA et le FRANCE lors de la visite du Président de la République Française sur le sol de l’Oncle Sam ? Il faut dire que de nombreux patrons de l’aéronautique française/US (Jean-Paul Herteman, PDG de Safran, David Joyce, PDG de GE Aviation, Jean-Paul Ebanga, PDG de CFM International, …) se sont retrouvés ces derniers jours à Washington.

A noter que Microsoft conseille de passer à Internet Explorer 11 pour éviter d’être piéger par de vieille faille. Voilà une bonne idée… comme celle de penser à stopper l’utilisation de Windows XP !

Qui a encore confiance en RSA Security ?

La National Security Agency, la NSA, aurait payé RSA Security 10 millions de dollars pour affaiblir la sécurité d’un algorithme de chiffrement. Voilà une information passée quelque peu sous silence, à la veille de Noël. Reuters explique (Le New York Times l’avait déjà fait en septembre dernier) que la NSA a fait créer un algorithme plus faible, histoire de le casser sans trop de fatigue. Bref, de quoi permettre aux grandes oreilles de l’Oncle Sam d’écouter, sans se casser la tête. Reuters indique que la société RSA Security, du groupe EMC, était le principal distributeur de ce chiffrement via son kit BSAFE. L’agence de presse affirme que la NSA a versé 10 millions de dollars à RSA pour alléger l’algorithme Dual Elliptic Curve. Pour rappel, le DEC est devenu le paramètre par défaut des boîtes à outils de RSA. Autant dire que les entreprises qui utilisent ce chiffrement, qu’ils ont payé le prix fort, auront apprécié l’humour.

Pour sa défense, RSA explique avoir toujours communiqué sur ses relations avec la NSA. Depuis septembre, RSA invite ses clients à ne plus utiliser l’algorithme DEC. RSA Security explique dans son communiqué de presse n’avoir jamais incorporé de backdoor dans ses produits « nous affirmons aussi catégoriquement n’avoir jamais signé de contrat, ni avoir collaboré à un projet dans l’intention d’affaiblir les produits de RSA« .

Ce même 23 décembre, RSA annonçait une faille dans son générateur de nombre aléatoire. Trois chercheurs (Daniel Genkin, Adi Shamir et Eran Tromer) ont trouvé une méthode de cryptanalyse acoustique. Ils ont ainsi pu casser une clé RSA 4.096 bits en se servant simplement d’un microphone pour écouter le son diffusé par un ordinateur lorsqu’il décrypte un message chiffré.

Il va être intéressant de voir qui va se rendre, comme conférencier, lors des prochaines « RSA Conference 2014« . Le patron de F-Secure et celui d’Atredis Partners ont annulé leur présence en février prochain, à San Francisco.

A noter que le journal Ars Technica a indiqué, il y a peu, que l’opérateur américain AT&T a revendu à la CIA des enregistrements téléphoniques.

 

 

 

 

Neverquest, un trojan qui pourrait bien gâcher les fêtes de Noël

L’éditeur de solutions de sécurité informatique Kaspersky Lab vient d’identifier un programme malicieux « capable d’attaquer n’importe quelle banque dans le monde », selon ses créateurs. D’après les experts Kaspersky Lab, plusieurs milliers de tentatives d’infection ont déjà été enregistrées et 28 sites bancaires sont pour le moment concernés, y compris en Allemagne, en Italie et en Turquie. C’est au mois de juillet de cette année que les chercheurs ont découvert l’existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d’un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d’attaquer près de 100 banques américaines via l’insertion d’un code dans les pages de leur site pendant le chargement dans différents navigateurs.

Baptisé Neverquest, ce trojan prend en charge pratiquement toutes les techniques connues et utilisées pour passer outre les systèmes de sécurité des banques en ligne : injection Web, accès système à distance, social engineering, etc. Au regard de sa capacité à se dupliquer, une augmentation rapide des attaques Neverquest est à prévoir, avec donc de nombreux préjudices financiers.

Serge Golovanov, expert chez Kaspersky Lab, signale que « ce programme malveillant est relativement récent et les individus malintentionnés ne l’utilisent pas encore à pleine capacité. Les individus malintentionnés peuvent obtenir le nom d’utilisateur et le mot de passe saisis par l’utilisateur et modifier le contenu de la page Internet. Toutes les données que l’utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés.« 

L’argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d’autres victimes. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d’utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps.

Backdoor dans le routeur Tenda

Nous vous expliquions, en octobre, comment une backdoor, une porte cachée donnant accès à l’administration d’un espace informatique, avait été découvert dans plusieurs routeurs de la marque D-Link. Début novembre, nouvelle marque chinoise dans le collimateur avec Tenda.

TTSO a découvert un accès possible et cela via un seul petit paquet UDP. Après extraction du firmware dédié à ce routeur sans fil (Tenda W302R), il a été découvert une possibilité d’écoute des informations. A la différence de D-Link, l’espionnage ne peut se faire qu’en mode réseau local, pas d’exploit à partir du WAN. Ou est donc le problème vont rapidement chantonner les plus pointilleux. L’exploit passe via le réseau mobile. Ce dernier a le WPS activé par défaut, sans aucune limitation de test de mots de passe. Autant dire que le brute forçage de la bête n’est plus qu’un détail. Cette backdoor existe dabs le Tenda W302R, mais aussi dans le Tenda W330R, ainsi que dans le Medialink MWN-WAPR150N.

Il y a un déjà, une étonnante fuite visant Tenda (un ingénieur ?) expliquait comment la porte cachée « MfgThread » fonctionnait. Bref, si vous n’invitez pas la planète sur votre réseau, que le WPS n’est pas activé et que l’utilisation d’un mot de passe digne de ce nom en WPA vous est familier, peu de risque. Il est possible aussi que cette porte cachée soit un oubli d’un codeur local, payé quelques euros, utilisée lors de la fabrication de l’outil et qui n’a pas été effacée.