Archives de catégorie : backdoor

backdoor, Cybersécurité, Entreprise

PDF malveillants pour voler des identifiants sur les appareils mobiles

Une campagne de mishing sophistiquée se faisant passer pour l’USPS utilise des PDF malveillants pour voler des identifiants sur les appareils mobiles.

Zimperium, spécialiste de la sécurité mobile, a découvert une campagne de mishing ciblant exclusivement les appareils mobiles. Les cybercriminels se font passer pour le service postal américain (USPS) et utilisent des fichiers PDF malveillants pour dérober des informations sensibles. Cette attaque, qui exploite la confiance des utilisateurs envers les communications officielles et le format PDF, démontre une sophistication croissante des techniques de hameçonnage mobile. Elle souligne l’importance de mesures de sécurité proactives pour protéger les données des utilisateurs.

Une campagne de mishing sophistiquée ciblant les appareils mobiles

Zimperium, spécialiste de la sécurité mobile, a récemment identifié une campagne de mishing (hameçonnage sur mobile) usurpant l’identité du service postal américain (USPS). Cette attaque vise exclusivement les appareils mobiles en diffusant des fichiers PDF malveillants conçus pour voler des identifiants et compromettre des données sensibles. Les cybercriminels exploitent la confiance que les utilisateurs accordent aux communications d’apparence officielle et au format PDF pour les tromper. Sur les appareils mobiles, où la visibilité du contenu des fichiers est souvent limitée avant ouverture, les risques de violation de données et de vol d’identifiants augmentent considérablement.

Méthodes d’obscurcissement innovantes et portée mondiale de l’attaque

L’équipe de recherche zLabs de Zimperium a révélé que cette campagne utilise une méthode d’obscurcissement sans précédent pour diffuser des fichiers PDF malveillants. Plus de 20 fichiers PDF malveillants et 630 pages de phishing ont été identifiés, ciblant des organisations dans plus de 50 pays. Les cybercriminels intègrent des éléments malveillants dans les PDF et utilisent des tactiques d’ingénierie sociale pour tromper les destinataires. Ces techniques d’évasion innovantes masquent les liens malveillants, échappant ainsi aux solutions traditionnelles de sécurité des endpoints.

Conseils pour se protéger contre le mishing et les PDF malveillants

Pour se protéger contre ce type de tentatives d’hameçonnage par SMS et PDF, il est conseillé de d’examiner l’identité de l’expéditeur. Pour cela, vérifiez le numéro de téléphone ou l’adresse électronique de l’expéditeur. Les messages officiels de l’USPS proviendront d’une source vérifiée.

Naviguez directement vers le site officiel de l’USPS ou utilisez leur application mobile au lieu de cliquer sur des liens intégrés.

Sur un ordinateur de bureau ou via une application fiable, examinez les propriétés du document à la recherche d’informations inhabituelles ou incohérentes.

Utilisez des solutions de sécurité mobile avancées pour détecter et bloquer les tentatives d’hameçonnage.

En adoptant ces mesures, les utilisateurs peuvent réduire significativement les risques associés aux attaques de mishing et protéger leurs informations sensibles.

Cette campagne de mishing souligne la sophistication croissante des cyberattaques ciblant les appareils mobiles. Il est essentiel pour les utilisateurs de rester vigilants et d’adopter des mesures de sécurité proactives pour protéger leurs données personnelles. Pour rester informé des dernières menaces et obtenir des conseils de sécurité, inscrivez-vous à la newsletter de Zataz et suivez-nous sur WhatsApp et nos réseaux sociaux.

backdoor, Cybersécurité, Entreprise

Les opérateurs téléphoniques refusent de fournir des données de sécurité à l’armée américaine

Les opérateurs téléphoniques américains refusent de partager avec le Pentagone les résultats de tests de sécurité, invoquant le secret professionnel.

Le refus des opérateurs téléphoniques de partager les résultats de tests de sécurité avec le Pentagone soulève des préoccupations majeures en matière de cybersécurité nationale.

Le 4 décembre 2024, une lettre révélait que des entreprises de télécommunications américaines refusaient de fournir au Département de la Défense les résultats de leurs tests et audits de sécurité numérique, invoquant le privilège avocat-client. Cette situation a suscité l’indignation de sénateurs, qui estiment que le Pentagone, en tant que l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, devrait exiger des normes de cybersécurité plus strictes de la part de ses fournisseurs.

Un refus justifié par le secret professionnel

Selon les informations divulguées par Reuters, le Pentagone a sollicité les résultats de tests et d’audits de sécurité numérique auprès des opérateurs téléphoniques avec lesquels il contracte pour des services de télécommunications. Cependant, ces entreprises ont refusé de partager ces informations, arguant qu’elles sont protégées par le privilège « avocat-client« . Cette position a été confirmée par des réponses fournies au sénateur démocrate Ron Wyden [lire].

Les réponses du Département de la Défense n’ont pas nommé spécifiquement les opérateurs concernés. Cependant, il est connu que des entreprises telles qu’AT&T, Verizon et T-Mobile fournissent des services sans fil commerciaux pour des usages non classifiés au sein du gouvernement. Ces entreprises n’ont pas immédiatement répondu aux sollicitations pour commenter cette affaire.

Une cybersécurité nationale en question

La sécurité des télécommunications américaines, en particulier via des opérateurs commerciaux, est devenue une préoccupation majeure après une série d’intrusions attribuées à des hackers chinois. Des responsables américains ont précédemment allégué qu’un groupe de hackers, surnommé « Salt Typhoon », avait dérobé des enregistrements audio téléphoniques limités, ainsi qu’une grande quantité de données d’appels. Ces enregistrements concernaient principalement des personnes dans la région de Washington.

Les autorités chinoises ont qualifié ces allégations de désinformation, affirmant que Pékin « s’oppose fermement et combat les cyberattaques et le cybervol sous toutes ses formes ». Le jeudi suivant la révélation de cette affaire, les sénateurs devaient recevoir un briefing confidentiel sur « Salt Typhoon » et son impact sur les données américaines.

Dans une lettre co-signée avec le sénateur républicain Eric Schmitt, le sénateur Wyden a exprimé son mécontentement face à cette situation. Ils ont souligné que, bien que le Pentagone soit l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, il n’a pas utilisé son pouvoir d’achat pour exiger des défenses cybernétiques et une responsabilité accrues de la part des opérateurs.

Implications pour la sécurité nationale

Le refus des opérateurs de partager des informations cruciales avec le Département de la Défense soulève des questions sur la capacité du gouvernement à protéger ses communications sensibles. Cette situation met en lumière la nécessité d’une collaboration renforcée entre le secteur privé et les agences gouvernementales pour assurer la sécurité des infrastructures critiques.

Les opérateurs de télécommunications ont l’obligation de protéger les données de leurs utilisateurs. En France, par exemple, le Règlement Général sur la Protection des Données (RGPD) impose aux opérateurs de mettre en place des mesures techniques et organisationnelles pour assurer la sécurité des données personnelles. Ils doivent également notifier toute violation de données à la CNIL dans les 72 heures et, si nécessaire, informer les personnes concernées.

L’accès des autorités publiques aux données conservées par les opérateurs téléphoniques est encadré par la loi. En France, par exemple, l’accès aux données de trafic des communications électroniques par les autorités publiques constitue une ingérence dans les droits fondamentaux, qui doit être proportionnée et justifiée par des motifs légitimes, tels que la prévention et la répression des infractions pénales. En France, les opérateurs de télécommunication sont tenus de conserver les données de connexion de leurs utilisateurs pendant un an à des fins de lutte contre la criminalité et le terrorisme. Cette obligation a été confirmée par le Conseil d’État, qui a jugé que la conservation généralisée des données est justifiée par la menace existante pour la sécurité nationale.

La réticence des opérateurs téléphoniques américains à partager des informations de sécurité avec le Département de la Défense met en lumière les défis complexes de la cybersécurité nationale. Il est essentiel que les entreprises et les gouvernements collaborent étroitement pour protéger les infrastructures critiques et les données sensibles. Les exemples internationaux, tels que les réglementations européennes sur la protection des données, peuvent offrir des perspectives sur la manière de concilier la sécurité nationale et la protection des droits individuels.

L’ambiance est-elle que même le FBI incite à l’utilisation de messageries chiffrées ! Dans une alerte de ce 4 décembre, la CISA (Cybersecurity and Infrastructure Security Agency), la NSA (National Security Agency), le FBI (Federal Bureau of Investigation), le Centre australien de cybersécurité (ACSC), le Centre canadien pour la cybersécurité (CCCS), et le Centre national de cybersécurité de Nouvelle-Zélande (NCSC-NZ) alertent sur une vaste campagne d’espionnage menée par des acteurs affiliés à la République populaire de Chine (RPC). Ces derniers auraient compromis les réseaux de grands fournisseurs mondiaux de télécommunications pour accéder à des informations sensibles. Cette alerte vise à fournir des pratiques exemplaires pour protéger les infrastructures et équipements critiques, tout en renforçant leur visibilité et leur durcissement face aux menaces.

Pour anticiper ces défis, il est essentiel de rester informé et de mettre en place des stratégies de défense modernes et adaptatives. Rejoignez la newsletter de ZATAZ MEDIA et le Groupe WhatsApp pour ne rien manquer des actualités et des conseils en cybersécurité.

backdoor, Bitcoin, Cybersécurité

BlueNoroff : la nouvelle menace contre les cryptomonnaies sur macOS

Le groupe nord-coréen BlueNoroff, spécialisé dans les cyberattaques ciblant les sociétés de cryptomonnaies, a lancé une campagne massive baptisée Hidden Risk. Utilisant un malware multi-étapes sophistiqué, ce groupe vise les systèmes macOS en exploitant un mécanisme de persistance indétectable par les dernières versions de l’OS.

BlueNoroff utilise des e-mails de phishing pour attirer ses victimes, exploitant l’intérêt croissant autour des actualités liées aux crypto-monnaies. Les messages se présentent comme des communications d’influenceurs reconnus, renforçant ainsi leur crédibilité aux yeux des destinataires. Chaque e-mail contient un lien soi-disant associé à un document PDF informatif sur les événements récents, mais qui redirige en réalité vers le domaine contrôlé par les attaquants, « delphidigital[.]org ».

Point clé : le phishing reste une des méthodes les plus efficaces pour infiltrer des systèmes et accéder à des données sensibles.

Les experts de SentinelLabs ont découvert que le malware déployé par BlueNoroff utilise un mécanisme de persistance novateur qui ne déclenche aucune alerte sur les dernières versions de macOS. Ce logiciel malveillant ouvre un shell distant sur les appareils compromis, permettant aux cybercriminels d’effectuer des actions à distance sans que l’utilisateur ne le soupçonne.

L’URL malveillante est configurée pour distribuer un document apparemment inoffensif sur le Bitcoin ETF, mais elle sert également à déployer un package d’application intitulé « Le risque caché derrière la nouvelle flambée des prix du Bitcoin« .

La première étape de l’attaque repose sur une application compte-gouttes signée et notariée avec un identifiant de développeur Apple légitime, « Avantis Regtech Private Limited (2S8XHJ7948)« , qui a été révoqué par Apple depuis. Une fois lancé, le programme télécharge un faux fichier PDF à partir d’un lien Google Drive, l’ouvrant dans une visionneuse standard pour occuper la victime, tandis qu’en arrière-plan, la charge utile principale est téléchargée depuis « matuaner[.]com ».

cette campagne s’appuie sur un document de recherche authentique de l’Université du Texas, soulignant le niveau de détail et de planification de l’attaque.

BlueNoroff, déjà connu pour ses vols de cryptomonnaies, met en œuvre des stratégies de plus en plus complexes, ciblant directement l’écosystème macOS qui, jusqu’ici, restait moins affecté par ce type d’attaques. Cette campagne met en lumière la nécessité pour les entreprises et les utilisateurs de rester vigilants et de renforcer leur sécurité.

Pour rester informé des dernières alertes de cybersécurité et des menaces, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

backdoor, Cybersécurité

Augmentation des attaques de comptes Azure par pulvérisation de mots de passe depuis août 2023

Depuis août 2023, Microsoft a observé une intensification des attaques de pirates ciblant les comptes Azure en utilisant la technique de pulvérisation de mots de passe (brute force).

Ces attaques furtives, souvent couronnées de succès, sont associées au botnet CovertNetwork-1658, connu également sous les noms de xlogin et Quad7 (7777). Ce botnet est principalement composé de routeurs TP-Link SOHO infectés par des portes dérobées et fonctionnant comme relais.

La durée moyenne d’activité des nœuds de ce botnet est d’environ 90 jours. Les attaques par ‘brute force’, pulvérisation de mots de passe est un terme amusant pour traduire brute force, impliquent simultanément environ 8 000 adresses IP, et dans 80 % des cas, chaque adresse effectue une tentative de piratage par jour.

Pour installer une porte dérobée, les attaquants exploitent des vulnérabilités dont la nature exacte reste incertaine. Une fois l’exploit réalisé, l’appareil est configuré pour fonctionner comme proxy.

Les informations d’identification compromises par CovertNetwork-1658 sont ensuite utilisées pour lancer des attaques ciblées. Le piratage des comptes cloud Azure permet aux cybercriminels de progresser plus en profondeur dans le réseau, d’établir des points d’ancrage à l’aide de RAT (Remote Access Trojans) et de commencer à voler des données.

Cette activité est particulièrement prisée par un groupe de cybercriminels opérant en Amérique du Nord et en Europe, surveillé par Microsoft sous le nom de Storm-0940.

L’activité de CovertNetwork-1658 a toutefois diminué ces derniers mois, probablement en raison de l’attention accrue de la communauté de la sécurité de l’information, notamment à travers les publications Sekoia, par exemple, consacrées à Quad7.

Les opérateurs du botnet auraient décidé de mettre à jour leur infrastructure en modifiant leurs empreintes numériques pour échapper à la détection et revenir à une activité plus discrète.

Pendant ce temps, avec l’IA, chasse au 0Day

Les experts de GreyNoise ont identifié deux vulnérabilités zero-day dans les caméras réseau PTZ (panoramique/inclinable/zoom).

Ils ont été aidés en cela par un outil d’IA spécialement créé pour les besoins de la cyberintelligence. L’assistant intelligent intégré au système Honeypot de chasse aux menaces répondait clairement au trafic suspect. L’analyse a révélé qu’il s’agissait d’une tentative d’exploitation automatisée.

La vulnérabilité critique CVE-2024-8956 est causée par une mise en œuvre incorrecte des mécanismes d’authentification et permet l’accès aux noms d’utilisateur, aux mots de passe hachés (MD5), aux données de configuration et à d’autres informations confidentielles. La vulnérabilité CVE-2024-8957 ouvre la possibilité d’injection de commandes. Lorsqu’il est utilisé conjointement avec CVE-2024-8956, il vous permet de prendre le contrôle de la caméra à distance et sans authentification, de visualiser et d’arrêter le flux vidéo en temps réel, d’apporter des modifications et également de connecter l’appareil à un botnet DDoS.

Les problèmes concernent les caméras PTZ haute résolution avec des versions de micrologiciel inférieures à 6.3.40, en particulier pour les appareils de PTZOptics, Multicam Systems SAS et SMTAV Corporation basés sur des processeurs SoC Hisilicon Hi3516A. Ils sont souvent utilisés dans des installations critiques : production robotique, établissements médicaux, agences gouvernementales (par exemple, dans les salles d’audience), ainsi que pour des présentations en ligne et des vidéoconférences. (Greynoise)

Android, backdoor, Cybersécurité

Google signale de nouvelles vulnérabilités critiques dans Android

Google a alerté la communauté sur une exploitation active de la vulnérabilité CVE-2024-43093, découverte dans le framework Android. Cette vulnérabilité permet aux attaquants d’accéder de manière non autorisée aux répertoires sensibles « Android/data », « Android/obb » et « Android/sandbox » ainsi qu’à leurs sous-répertoires. Bien que les détails spécifiques des attaques n’aient pas encore été rendus publics, Google souligne que l’exploitation reste limitée à des cibles précises.

Outre cette vulnérabilité, Google a mis en lumière la CVE-2024-43047, une autre faille critique exploitée activement. Celle-ci est associée aux chipsets Qualcomm et résulte d’une erreur d’utilisation après libération (use-after-free) dans le processeur de signal numérique (DSP), menant potentiellement à une corruption de la mémoire. Cette vulnérabilité a été confirmée par les chercheurs de Google Project Zero ainsi que par Amnesty International le mois dernier.

Bien que Google n’ait pas encore clarifié si les deux vulnérabilités pouvaient être exploitées conjointement pour créer une chaîne d’attaques, la possibilité qu’elles soient utilisées à des fins d’espionnage ciblant des membres de la société civile est évoquée.

La vulnérabilité CVE-2024-43093 est la deuxième faille critique du framework Android activement exploitée cette année, suivant de près la CVE-2024-32896, corrigée cet été. Initialement, cette dernière affectait uniquement les appareils Pixel, mais il a été révélé plus tard qu’une plus large gamme d’appareils Android était concernée.

APT, backdoor, Cybersécurité

Les pirates nord-coréens utilisent une nouvelle variante de FASTCash pour cibler les distributeurs de billets

Une nouvelle menace émerge dans le monde de la cybersécurité alors que des pirates informatiques nord-coréens exploitent une variante Linux du malware FASTCash pour infiltrer les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés aux distributeurs automatiques (DAB). Ce développement marque une extension des capacités de ce malware, initialement conçu pour les systèmes Windows et IBM AIX (Unix), désormais adapté aux distributions Linux, notamment Ubuntu 22.04 LTS.

Le malware FASTCash a été utilisé pour la première fois en 2016 pour voler des fonds à des institutions financières en Asie et en Afrique. Il permettait aux pirates de manipuler les systèmes bancaires et d’autoriser des retraits massifs et simultanés aux DAB. En 2017, FASTCash a permis le retrait simultané d’espèces dans 30 pays, suivi d’un incident similaire en 2018 dans 23 autres pays.

L’attaque repose sur l’exploitation des commutateurs de paiement, des systèmes centraux qui gèrent la communication entre les guichets automatiques, les terminaux de paiement (PoS) et les banques. En interférant avec les messages de transaction ISO8583, un protocole utilisé pour traiter les paiements par carte de crédit et de débit, les pirates peuvent modifier les réponses aux transactions et approuver des retraits d’argent, même lorsque le compte de la carte n’a pas suffisamment de fonds.

Variante Linux de FASTCash

Repérée pour la première fois en juin 2023 par le chercheur en sécurité HaxRob sur VirusTotal, cette variante Linux présente des similarités avec les versions Windows et AIX. Le malware se dissimule sous la forme d’une bibliothèque partagée, injectée dans un processus actif sur les serveurs de la banque à l’aide de l’appel système ptrace. Il se connecte ensuite aux fonctions réseau du système, permettant aux pirates de manipuler les messages de transaction.

Plus précisément, FASTCash intercepte les transactions refusées pour insuffisance de fonds, remplaçant les réponses de « rejet » par des réponses « approuvées ». Ces réponses modifiées permettent aux mules d’argent, travaillant en collaboration avec les pirates, de retirer des sommes importantes aux DAB, allant de 350 à 875 dollars.

Une menace furtive et en constante évolution

L’un des aspects les plus inquiétants de cette nouvelle variante Linux est sa capacité à contourner les mécanismes de sécurité des systèmes de détection de malware. Lorsqu’elle est apparue sur VirusTotal, elle n’a été détectée par aucune solution de sécurité, ce qui a permis aux pirates d’opérer sans être perturbés.

En plus de cette version Linux, une nouvelle version de FASTCash pour Windows a été repérée sur VirusTotal en septembre 2024, démontrant que les attaquants continuent d’améliorer et de diversifier leur arsenal pour cibler plusieurs systèmes d’exploitation.

Le malware FASTCash a longtemps été attribué au groupe de hackers nord-coréen Hidden Cobra, également connu sous le nom de Lazarus ou APT38. Ce groupe est soupçonné d’être responsable de vols massifs d’argent et de cyberattaques sophistiquées visant les institutions financières du monde entier, notamment un vol de plus de 1,3 milliard de dollars.

En 2020, le US Cyber Command a relancé les avertissements concernant la menace de FASTCash 2.0, signalant une intensification des activités de Lazarus. Par ailleurs, en 2021, des accusations ont été portées contre trois ressortissants nord-coréens impliqués dans ces stratagèmes, soulignant le lien entre ce groupe de cybercriminels et le gouvernement nord-coréen.

Le gouvernement américain a montré du doigt, en 2021, plusieurs pirates informatiques Nord-Coréens qui semblent être cachés derrière ces nouvelles cyberattaques. Le ministère américain de la Justice affichait alors deux citoyens nord-coréens associés au groupe de hackers Lazarus (alias Hidden Cobra, Dark Seoul et APT28). L’acte d’accusation s’étendait également aux accusations déposées en 2018 contre Park Jin Hyok (alias Jin Hyok Park et Pak Jin Hek), le pirate informatique nord-coréen qui serait responsable des attaques massives du ransomware WannaCry en 2017 contre la Banque centrale du Bangladesh en 2016 ou encore la société Sony (vengeance pour le fait que le studio ait sorti le film « The Interview »). Park se retrouvait alors fiché avec Jon Chang Hyok et Kim Il. Les malveillants auraient aussi créé une fausse société de cryptomonnaie et le token Marine Chain.

Le ministère américain de la Justice estime que ce système permettait aux utilisateurs d’acheter des options dans des navires maritimes, et que la Corée du Nord pouvait à terme avoir accès aux fonds des investisseurs et contourner les sanctions américaines.

backdoor, Cybersécurité

Un ingénieur découvre une porte dérobée dans des cartes sans contact d’un fabricant chinois

Quarkslab, une entreprise française spécialisée dans la cybersécurité offensive et défensive, a annoncé la découverte d’une porte dérobée présente dans des millions de cartes sans contact fabriquées par Shanghai Fudan Microelectronics Group Co. Ltd., un des principaux fabricants de puces en Chine. Les cartes concernées sont largement utilisées dans les transports publics et l’industrie hôtelière à travers le monde.

Les cartes MIFARE* sont une marque bien connue pour une large gamme de produits de circuits intégrés sans contact, produits et licenciés par NXP Semiconductors N.V. (NASDAQ: NXPI). Les circuits intégrés sans contact MIFARE ont une distance de lecture/écriture typique de 10 cm et sont utilisés dans plus de 750 villes, dans plus de 50 pays, et dans plus de 40 applications différentes à travers le monde, y compris les paiements sans contact, la billetterie de transport et le contrôle d’accès. La gamme de produits a rencontré un immense succès, avec plus de 12 milliards de cartes sans contact et à double interface vendues, selon le vendeur.

Dès 2010, plus de 3,7 milliards de cartes avaient été fabriquées et déployées à travers le monde.

Selon NXP en 2019, lors de son 25e anniversaire, plus de 1,2 milliard de personnes dans plus de 750 villes à travers le monde utilisaient quotidiennement des produits MIFARE.

La famille de cartes MIFARE Classic*, lancée à l’origine en 1994 par Philips Semiconductors (aujourd’hui NXP Semiconductors), est largement utilisée et a été soumise à de nombreuses attaques au fil des années. Les vulnérabilités de sécurité permettant des attaques dites « card-only » (attaques nécessitant l’accès à une carte mais pas au lecteur correspondant) sont particulièrement préoccupantes car elles peuvent permettre aux attaquants de cloner des cartes, ou de lire et de modifier leur contenu, simplement en se trouvant à proximité physique d’elles pendant quelques minutes. Au fil des années, de nouvelles versions de la famille MIFARE Classic* ont été développées pour contrer les différents types d’attaques découvertes par les chercheurs en sécurité.

En 2020, le FM11RF08S, une nouvelle variante de MIFARE Classic*, a été lancée par Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » non licenciées. Cette variante comporte des contre-mesures spécifiques conçues pour déjouer toutes les attaques « card-only » connues et gagne progressivement des parts de marché à l’échelle mondiale. De nombreuses organisations utilisent ces cartes sans savoir qu’il s’agit de produits Fudan, car elles sont étiquetées MIFARE.

Lors de recherches en sécurité, Philippe Teuwen, chercheur en sécurité chez Quarkslab, a identifié des caractéristiques idiosyncratiques intéressantes des cartes FM11RF08S. Tout d’abord, il a découvert une attaque capable de casser les clés des cartes FM11RF08S en quelques minutes si elles sont réutilisées sur au moins trois secteurs ou trois cartes. Des recherches supplémentaires ont révélé une porte dérobée matérielle qui permet l’authentification avec une clé inconnue.

Il a ensuite utilisé cette nouvelle attaque pour obtenir (« craquer ») cette clé secrète et a découvert qu’elle est commune à toutes les cartes FM11RF08S existantes. Avec la connaissance de la porte dérobée et de sa clé, il a conçu une méthode pour casser toutes les clés d’une carte FM11RF08S en environ 15 minutes si les 32 clés sont diversifiées, beaucoup moins de temps si seulement quelques clés sont définies. Ensuite, il a trouvé une porte dérobée similaire, protégée par une autre clé, dans la génération précédente de cartes (FM11RF08). Après avoir également craqué cette seconde clé secrète, il a découvert que cette clé est commune à toutes les cartes FM11RF08, ainsi qu’à d’autres modèles du même fabricant (FM11RF32, FM1208-10), et même à certaines anciennes cartes de NXP Semiconductors N.V. (NASDAQ: NXPI) et d’Infineon Technologies AG (FSE: IFX / OTCQX: IFNNY).

« Les technologies de communication en champ proche (NFC) sont largement déployées dans le monde entier et ont de nombreuses utilisations aujourd’hui. Elles sont la pierre angulaire de certaines applications critiques telles que les transports publics, l’identification personnelle, le contrôle d’accès physique et les systèmes de paiement, et elles sont omniprésentes dans l’industrie hôtelière. Mais même des technologies matures qui ont été étudiées pendant des décennies et dont la sécurité a été améliorée au fil du temps peuvent être sujettes à des attaques ou à des manipulations par différents types d’acteurs malveillants« , a déclaré Fred Raynal, PDG de Quarkslab. « La découverte de Philippe réaffirme la nécessité pour les organisations de réaliser régulièrement des audits de sécurité approfondis des technologies sans contact qu’elles utilisent. Ce besoin est particulièrement aigu pour les organisations ayant des chaînes d’approvisionnement complexes, où les attaques sur la chaîne d’approvisionnement peuvent représenter une menace sérieuse dans leur modèle de menace.« 

Bien que, sans accès préalable à une carte affectée, la porte dérobée nécessite seulement quelques minutes de proximité physique avec la carte pour mener une attaque, une entité en position de réaliser une attaque sur la chaîne d’approvisionnement pourrait exécuter de telles attaques instantanément et à grande échelle.

Quarkslab a publié un résumé des conclusions sur le blog de l’entreprise. La nouvelle attaque et toutes les découvertes associées ont été révélées dans un article de recherche publié vendredi dernier, le 16 août, sur l’archive de cryptologie ePrint de l’International Association for Cryptologic Research (IACR).

Les outils associés ont été intégrés dans le projet open-source Proxmark3, permettant aux utilisateurs potentiellement affectés de tester leurs cartes.

backdoor, cyberattaque, Cybersécurité

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

backdoor, Cybersécurité, Entreprise

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

backdoor, Cybersécurité, ransomware

Le ransomware : le plus actif des rançongiciel change de ton

Stop, le plus discret et pourtant le plus actif des rançongiciels au monde. Le code malveillant vient de connaître une mise à jour qui le rend encore plus agressif.

Stop, un code malveillant de la famille des ransomwares. Ce rançongiciel fait de très gros dégâts depuis 2018. Cet outil de prise d’otage est discret, et pourtant, il est le plus actif au monde.

STOP est distribué principalement via des offres groupées publicitaires et des sites suspects. Ces ressources font la publicité pour de faux cracks de logiciels, comme exemple pour Cubase, Photoshop, des antivirus et des logiciels gratuits. Logiciels groupés qui sont en réalité des offres groupées. Elles installent divers programmes indésirables et logiciels malveillants sur les machines des utilisateurs. L’un de ces logiciels malveillants est STOP.

Stop chiffre les fichiers, leur ajoute une nouvelle extension et place une demande de rançon sur la machine infectée (490$, puis le double après 72 heures). En 2019, Bleeping Computer proposait un outil pour se reprendre la main sur Stop.

Mais malheureusement, il existe actuellement près de 850 variantes de STOP connues des chercheur. Chiffre qui ne facilite pas la lutte contre ce microbe.

Parmi les extensions repérées : .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .CAROTE, .DJVU, .COHAROS., .NOOD.

Nouvelle variante

Les chercheurs ont découvert une nouvelle variante du ransomware STOP qui utilise un mécanisme d’exécution en plusieurs étapes pour contourner les mesures de sécurité. Elle fait d’autant plus de dégâts que les victimes ne vont pas se plaindre. Ce malware attaque principalement les fans de contenus piratés, les visiteurs de sites suspects.

Depuis son introduction en 2018, le blog ZATAZ alertait de sa présence excessive dans les ordinateurs d’internautes, le ransomware est resté pratiquement inchangé et de nouvelles versions sont principalement publiées pour résoudre des problèmes critiques. Cependant, les experts de SonicWall ont découvert une nouvelle version de STOP, qui pourrait toucher un grand nombre de personnes.

Le malware télécharge d’abord un fichier DLL supposément sans rapport (msim32.dll), peut-être comme un faux-positif. Il implémente également une série de longues boucles temporisées qui peuvent aider à contourner les protections basées sur le temps. STOP utilise ensuite des appels d’API dynamiques sur la pile pour allouer l’espace mémoire requis pour les autorisations de lecture/écriture et d’exécution, ce qui rend la détection encore plus difficile. Le malware utilise des appels API pour diverses opérations, notamment l’obtention d’instantanés des processus en cours d’exécution afin de comprendre dans quel environnement il s’exécute. À l’étape suivante, le ransomware intercepte les processus légitimes et y injecte sa charge utile pour s’exécuter silencieusement en mémoire. Cela se fait via une série d’appels API soigneusement conçus qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d’actions sont effectuées visant à la sécuriser dans le système, à modifier l’ACL (afin que les utilisateurs n’aient pas la possibilité de supprimer des fichiers importants et des répertoires de logiciels malveillants) et également à créer une tâche planifiée pour exécuter la charge utile toutes les cinq minutes.