Archives de catégorie : backdoor

APT, backdoor, Cybersécurité

Les pirates nord-coréens utilisent une nouvelle variante de FASTCash pour cibler les distributeurs de billets

Une nouvelle menace émerge dans le monde de la cybersécurité alors que des pirates informatiques nord-coréens exploitent une variante Linux du malware FASTCash pour infiltrer les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés aux distributeurs automatiques (DAB). Ce développement marque une extension des capacités de ce malware, initialement conçu pour les systèmes Windows et IBM AIX (Unix), désormais adapté aux distributions Linux, notamment Ubuntu 22.04 LTS.

Le malware FASTCash a été utilisé pour la première fois en 2016 pour voler des fonds à des institutions financières en Asie et en Afrique. Il permettait aux pirates de manipuler les systèmes bancaires et d’autoriser des retraits massifs et simultanés aux DAB. En 2017, FASTCash a permis le retrait simultané d’espèces dans 30 pays, suivi d’un incident similaire en 2018 dans 23 autres pays.

L’attaque repose sur l’exploitation des commutateurs de paiement, des systèmes centraux qui gèrent la communication entre les guichets automatiques, les terminaux de paiement (PoS) et les banques. En interférant avec les messages de transaction ISO8583, un protocole utilisé pour traiter les paiements par carte de crédit et de débit, les pirates peuvent modifier les réponses aux transactions et approuver des retraits d’argent, même lorsque le compte de la carte n’a pas suffisamment de fonds.

Variante Linux de FASTCash

Repérée pour la première fois en juin 2023 par le chercheur en sécurité HaxRob sur VirusTotal, cette variante Linux présente des similarités avec les versions Windows et AIX. Le malware se dissimule sous la forme d’une bibliothèque partagée, injectée dans un processus actif sur les serveurs de la banque à l’aide de l’appel système ptrace. Il se connecte ensuite aux fonctions réseau du système, permettant aux pirates de manipuler les messages de transaction.

Plus précisément, FASTCash intercepte les transactions refusées pour insuffisance de fonds, remplaçant les réponses de « rejet » par des réponses « approuvées ». Ces réponses modifiées permettent aux mules d’argent, travaillant en collaboration avec les pirates, de retirer des sommes importantes aux DAB, allant de 350 à 875 dollars.

Une menace furtive et en constante évolution

L’un des aspects les plus inquiétants de cette nouvelle variante Linux est sa capacité à contourner les mécanismes de sécurité des systèmes de détection de malware. Lorsqu’elle est apparue sur VirusTotal, elle n’a été détectée par aucune solution de sécurité, ce qui a permis aux pirates d’opérer sans être perturbés.

En plus de cette version Linux, une nouvelle version de FASTCash pour Windows a été repérée sur VirusTotal en septembre 2024, démontrant que les attaquants continuent d’améliorer et de diversifier leur arsenal pour cibler plusieurs systèmes d’exploitation.

Le malware FASTCash a longtemps été attribué au groupe de hackers nord-coréen Hidden Cobra, également connu sous le nom de Lazarus ou APT38. Ce groupe est soupçonné d’être responsable de vols massifs d’argent et de cyberattaques sophistiquées visant les institutions financières du monde entier, notamment un vol de plus de 1,3 milliard de dollars.

En 2020, le US Cyber Command a relancé les avertissements concernant la menace de FASTCash 2.0, signalant une intensification des activités de Lazarus. Par ailleurs, en 2021, des accusations ont été portées contre trois ressortissants nord-coréens impliqués dans ces stratagèmes, soulignant le lien entre ce groupe de cybercriminels et le gouvernement nord-coréen.

Le gouvernement américain a montré du doigt, en 2021, plusieurs pirates informatiques Nord-Coréens qui semblent être cachés derrière ces nouvelles cyberattaques. Le ministère américain de la Justice affichait alors deux citoyens nord-coréens associés au groupe de hackers Lazarus (alias Hidden Cobra, Dark Seoul et APT28). L’acte d’accusation s’étendait également aux accusations déposées en 2018 contre Park Jin Hyok (alias Jin Hyok Park et Pak Jin Hek), le pirate informatique nord-coréen qui serait responsable des attaques massives du ransomware WannaCry en 2017 contre la Banque centrale du Bangladesh en 2016 ou encore la société Sony (vengeance pour le fait que le studio ait sorti le film « The Interview »). Park se retrouvait alors fiché avec Jon Chang Hyok et Kim Il. Les malveillants auraient aussi créé une fausse société de cryptomonnaie et le token Marine Chain.

Le ministère américain de la Justice estime que ce système permettait aux utilisateurs d’acheter des options dans des navires maritimes, et que la Corée du Nord pouvait à terme avoir accès aux fonds des investisseurs et contourner les sanctions américaines.

backdoor, Cybersécurité

Un ingénieur découvre une porte dérobée dans des cartes sans contact d’un fabricant chinois

Quarkslab, une entreprise française spécialisée dans la cybersécurité offensive et défensive, a annoncé la découverte d’une porte dérobée présente dans des millions de cartes sans contact fabriquées par Shanghai Fudan Microelectronics Group Co. Ltd., un des principaux fabricants de puces en Chine. Les cartes concernées sont largement utilisées dans les transports publics et l’industrie hôtelière à travers le monde.

Les cartes MIFARE* sont une marque bien connue pour une large gamme de produits de circuits intégrés sans contact, produits et licenciés par NXP Semiconductors N.V. (NASDAQ: NXPI). Les circuits intégrés sans contact MIFARE ont une distance de lecture/écriture typique de 10 cm et sont utilisés dans plus de 750 villes, dans plus de 50 pays, et dans plus de 40 applications différentes à travers le monde, y compris les paiements sans contact, la billetterie de transport et le contrôle d’accès. La gamme de produits a rencontré un immense succès, avec plus de 12 milliards de cartes sans contact et à double interface vendues, selon le vendeur.

Dès 2010, plus de 3,7 milliards de cartes avaient été fabriquées et déployées à travers le monde.

Selon NXP en 2019, lors de son 25e anniversaire, plus de 1,2 milliard de personnes dans plus de 750 villes à travers le monde utilisaient quotidiennement des produits MIFARE.

La famille de cartes MIFARE Classic*, lancée à l’origine en 1994 par Philips Semiconductors (aujourd’hui NXP Semiconductors), est largement utilisée et a été soumise à de nombreuses attaques au fil des années. Les vulnérabilités de sécurité permettant des attaques dites « card-only » (attaques nécessitant l’accès à une carte mais pas au lecteur correspondant) sont particulièrement préoccupantes car elles peuvent permettre aux attaquants de cloner des cartes, ou de lire et de modifier leur contenu, simplement en se trouvant à proximité physique d’elles pendant quelques minutes. Au fil des années, de nouvelles versions de la famille MIFARE Classic* ont été développées pour contrer les différents types d’attaques découvertes par les chercheurs en sécurité.

En 2020, le FM11RF08S, une nouvelle variante de MIFARE Classic*, a été lancée par Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » non licenciées. Cette variante comporte des contre-mesures spécifiques conçues pour déjouer toutes les attaques « card-only » connues et gagne progressivement des parts de marché à l’échelle mondiale. De nombreuses organisations utilisent ces cartes sans savoir qu’il s’agit de produits Fudan, car elles sont étiquetées MIFARE.

Lors de recherches en sécurité, Philippe Teuwen, chercheur en sécurité chez Quarkslab, a identifié des caractéristiques idiosyncratiques intéressantes des cartes FM11RF08S. Tout d’abord, il a découvert une attaque capable de casser les clés des cartes FM11RF08S en quelques minutes si elles sont réutilisées sur au moins trois secteurs ou trois cartes. Des recherches supplémentaires ont révélé une porte dérobée matérielle qui permet l’authentification avec une clé inconnue.

Il a ensuite utilisé cette nouvelle attaque pour obtenir (« craquer ») cette clé secrète et a découvert qu’elle est commune à toutes les cartes FM11RF08S existantes. Avec la connaissance de la porte dérobée et de sa clé, il a conçu une méthode pour casser toutes les clés d’une carte FM11RF08S en environ 15 minutes si les 32 clés sont diversifiées, beaucoup moins de temps si seulement quelques clés sont définies. Ensuite, il a trouvé une porte dérobée similaire, protégée par une autre clé, dans la génération précédente de cartes (FM11RF08). Après avoir également craqué cette seconde clé secrète, il a découvert que cette clé est commune à toutes les cartes FM11RF08, ainsi qu’à d’autres modèles du même fabricant (FM11RF32, FM1208-10), et même à certaines anciennes cartes de NXP Semiconductors N.V. (NASDAQ: NXPI) et d’Infineon Technologies AG (FSE: IFX / OTCQX: IFNNY).

« Les technologies de communication en champ proche (NFC) sont largement déployées dans le monde entier et ont de nombreuses utilisations aujourd’hui. Elles sont la pierre angulaire de certaines applications critiques telles que les transports publics, l’identification personnelle, le contrôle d’accès physique et les systèmes de paiement, et elles sont omniprésentes dans l’industrie hôtelière. Mais même des technologies matures qui ont été étudiées pendant des décennies et dont la sécurité a été améliorée au fil du temps peuvent être sujettes à des attaques ou à des manipulations par différents types d’acteurs malveillants« , a déclaré Fred Raynal, PDG de Quarkslab. « La découverte de Philippe réaffirme la nécessité pour les organisations de réaliser régulièrement des audits de sécurité approfondis des technologies sans contact qu’elles utilisent. Ce besoin est particulièrement aigu pour les organisations ayant des chaînes d’approvisionnement complexes, où les attaques sur la chaîne d’approvisionnement peuvent représenter une menace sérieuse dans leur modèle de menace.« 

Bien que, sans accès préalable à une carte affectée, la porte dérobée nécessite seulement quelques minutes de proximité physique avec la carte pour mener une attaque, une entité en position de réaliser une attaque sur la chaîne d’approvisionnement pourrait exécuter de telles attaques instantanément et à grande échelle.

Quarkslab a publié un résumé des conclusions sur le blog de l’entreprise. La nouvelle attaque et toutes les découvertes associées ont été révélées dans un article de recherche publié vendredi dernier, le 16 août, sur l’archive de cryptologie ePrint de l’International Association for Cryptologic Research (IACR).

Les outils associés ont été intégrés dans le projet open-source Proxmark3, permettant aux utilisateurs potentiellement affectés de tester leurs cartes.

backdoor, cyberattaque, Cybersécurité

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

backdoor, Cybersécurité, Entreprise

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

backdoor, Cybersécurité, ransomware

Le ransomware : le plus actif des rançongiciel change de ton

Stop, le plus discret et pourtant le plus actif des rançongiciels au monde. Le code malveillant vient de connaître une mise à jour qui le rend encore plus agressif.

Stop, un code malveillant de la famille des ransomwares. Ce rançongiciel fait de très gros dégâts depuis 2018. Cet outil de prise d’otage est discret, et pourtant, il est le plus actif au monde.

STOP est distribué principalement via des offres groupées publicitaires et des sites suspects. Ces ressources font la publicité pour de faux cracks de logiciels, comme exemple pour Cubase, Photoshop, des antivirus et des logiciels gratuits. Logiciels groupés qui sont en réalité des offres groupées. Elles installent divers programmes indésirables et logiciels malveillants sur les machines des utilisateurs. L’un de ces logiciels malveillants est STOP.

Stop chiffre les fichiers, leur ajoute une nouvelle extension et place une demande de rançon sur la machine infectée (490$, puis le double après 72 heures). En 2019, Bleeping Computer proposait un outil pour se reprendre la main sur Stop.

Mais malheureusement, il existe actuellement près de 850 variantes de STOP connues des chercheur. Chiffre qui ne facilite pas la lutte contre ce microbe.

Parmi les extensions repérées : .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .CAROTE, .DJVU, .COHAROS., .NOOD.

Nouvelle variante

Les chercheurs ont découvert une nouvelle variante du ransomware STOP qui utilise un mécanisme d’exécution en plusieurs étapes pour contourner les mesures de sécurité. Elle fait d’autant plus de dégâts que les victimes ne vont pas se plaindre. Ce malware attaque principalement les fans de contenus piratés, les visiteurs de sites suspects.

Depuis son introduction en 2018, le blog ZATAZ alertait de sa présence excessive dans les ordinateurs d’internautes, le ransomware est resté pratiquement inchangé et de nouvelles versions sont principalement publiées pour résoudre des problèmes critiques. Cependant, les experts de SonicWall ont découvert une nouvelle version de STOP, qui pourrait toucher un grand nombre de personnes.

Le malware télécharge d’abord un fichier DLL supposément sans rapport (msim32.dll), peut-être comme un faux-positif. Il implémente également une série de longues boucles temporisées qui peuvent aider à contourner les protections basées sur le temps. STOP utilise ensuite des appels d’API dynamiques sur la pile pour allouer l’espace mémoire requis pour les autorisations de lecture/écriture et d’exécution, ce qui rend la détection encore plus difficile. Le malware utilise des appels API pour diverses opérations, notamment l’obtention d’instantanés des processus en cours d’exécution afin de comprendre dans quel environnement il s’exécute. À l’étape suivante, le ransomware intercepte les processus légitimes et y injecte sa charge utile pour s’exécuter silencieusement en mémoire. Cela se fait via une série d’appels API soigneusement conçus qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d’actions sont effectuées visant à la sécuriser dans le système, à modifier l’ACL (afin que les utilisateurs n’aient pas la possibilité de supprimer des fichiers importants et des répertoires de logiciels malveillants) et également à créer une tâche planifiée pour exécuter la charge utile toutes les cinq minutes.

backdoor, Cybersécurité, Mise à jour

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Un groupe de chercheurs a développé une nouvelle attaque appelée GhostRace capable de provoquer des fuites de données sur les processeurs modernes de chez Intel, AMD, ARM et IBM.

Les experts d’IBM et de l’Université libre d’Amsterdam décrivent GhostRace (CVE-2024-2193) comme une condition de concurrence spéculative (SRC). Cette attaque vous permet d’extraire de la mémoire des informations potentiellement sensibles, telles que des mots de passe et des clés de chiffrement. Cependant, pour mener à bien l’attaque, un accès physique ou privilégié à la machine cible sera nécessaire, ce qui signifie qu’exploiter ce problème en pratique est une tâche très difficile.

Le rapport d’expert indique qu’une condition de concurrence critique se produit lorsque plusieurs threads tentent simultanément d’accéder à une ressource partagée, ce qui peut conduire à des vulnérabilités pouvant être exploitées de diverses manières, notamment l’exécution de code arbitraire, le contournement de sécurité et l’extraction de données.

Pour éviter que de telles situations ne se produisent, les systèmes d’exploitation modernes utilisent des primitives de synchronisation, mais l’analyse des chercheurs a montré que les conditions de concurrence peuvent être combinées avec une exécution particuliére.

« Notre principale conclusion est que toutes les primitives de synchronisation courantes implémentées à l’aide de branches conditionnelles peuvent être contournées microarchitecturalement sur des chemins spéculatifs à l’aide de l’ attaque Spectre v1 (CVE-2017-5753), provoquant une condition de concurrence spéculative dans toutes les zones critiques sans race (SRC). ce qui permettra aux attaquants d’extraire des informations du logiciel cible« , ont expliqué les chercheurs dans un article de blog .

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Afin de mener une attaque et de « gagner » la course, l’exécution du processus victime doit être interrompue au bon moment et maintenue afin que l’attaquant puisse effectuer ce que les chercheurs appellent un SCUAF (Speculative Concurrent Use-After-Free). ) attaque.

Pour cela, les scientifiques ont utilisé une nouvelle technique d’attaque appelée Inter-Process Interrupt (IPI) Storming, qui consiste à faire déborder le cœur du processeur du processus cible. En conséquence, ils ont démontré une attaque SCUAF sur le noyau Linux, qui a entraîné une fuite d’informations de la mémoire du noyau à une vitesse de 12 kilo-octets par seconde.

Bien que l’étude se soit concentrée sur les architectures x86 et Linux, les experts ont déclaré que les produits d’autres fabricants, ainsi que les logiciels autres que Linux, étaient sensibles à l’attaque.

« En général, tout logiciel est vulnérable au SRC, par exemple un système d’exploitation, un hyperviseur, etc., qui implémente des primitives de synchronisation via des branches conditionnelles sans aucune instruction de sérialisation et s’exécute sur n’importe quelle microarchitecture (par exemple, x86, ARM, RISC). -V, etc.), ce qui permet d’exécuter des branches conditionnelles de manière spéculative« , expliquent les chercheurs.

Les ingénieurs d’Intel, AMD, Arm et IBM ont été informés du problème GhostRace fin 2023 et ont, à leur tour, signalé la vulnérabilité aux fabricants de systèmes d’exploitation et d’hyperviseurs.

AMD a publié cette semaine un avis informant ses clients que les conseils précédents sur la protection contre les attaques Spectre devraient également aider à prévenir les attaques GhostRace.

Les développeurs de l’ hyperviseur Xen ont également émis un avertissement correspondant et développé un mécanisme de protection. Bien qu’ils aient confirmé que techniquement toutes les versions de Xen sont affectées par le problème GhostRace, le projet n’utilise pas de gadgets vulnérables à GhostRace, et l’équipe de sécurité de Xen ne pense pas qu’il y ait un besoin urgent de prendre des mesures, donc les mesures de protection sont désactivés par défaut.

Les développeurs Linux ont implémenté une fonctionnalité de limitation de débit IPI qui devrait protéger contre le problème associé IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), mais n’ont pas encore pris de mesures supplémentaires en raison de problèmes de performances potentiels.

En plus de leur article de blog et de leur livre blanc, les chercheurs ont déjà publié un exploit PoC pour GhostRace, des scripts conçus pour analyser le noyau Linux à la recherche de gadgets SCUAF et une liste de gadgets problématiques déjà identifiés. (pdf)

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.

backdoor, Cybersécurité

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Récemment, Talal Haj Bakry et Tommy Mysk, experts en cybersécurité, ont mis en lumière une méthode de phishing particulièrement préoccupante qui cible les propriétaires de véhicules Tesla. Grâce à l’utilisation d’un dispositif Flipper Zero, les chercheurs ont démontré qu’il est possible de compromettre un compte Tesla, permettant ainsi de déverrouiller et potentiellement voler un véhicule. Cette vulnérabilité persiste même après la mise à jour vers la dernière version de l’application Tesla (4.30.6) et du firmware (version 11.1 2024.2.7).

https://twitter.com/mysk_co/status/1765783975056851004

Le processus d’attaque détaillé

L’exploit décrit par Bakry et Mysk repose sur la création d’un faux réseau Wi-Fi nommé « Tesla Guest », simulant ceux fréquemment trouvés dans les centres de service Tesla. En se connectant à ce réseau, les victimes sont redirigées vers une page de connexion imitant celle de Tesla, où leurs identifiants sont capturés par l’attaquant. L’étape suivante du processus consiste à obtenir un mot de passe à usage unique (OTP) nécessaire pour contourner l’authentification à deux facteurs, permettant à l’attaquant de se connecter à l’application Tesla et d’accéder à la localisation du véhicule en temps réel.

Les implications de l’attaque

Le succès de cette attaque repose sur la possibilité d’ajouter une nouvelle clé de téléphone au compte Tesla compromis, une opération qui ne requiert pas la présence physique de l’attaquant à l’intérieur du véhicule, mais seulement à proximité immédiate. Cette méthode expose les propriétaires de Tesla à un risque accru, d’autant plus que l’ajout d’une nouvelle clé n’engendre aucune notification ni alerte via l’application ou sur le tableau de bord du véhicule.

Recommandations de sécurité

Face à cette menace, qu’il faut tout de même modérer [il faut de nombreuses interactions] les chercheurs suggèrent que l’ajout d’une nouvelle clé de téléphone devrait exiger une authentification supplémentaire, telle que la présentation d’une clé de carte Tesla physique. Cette mesure renforcerait considérablement la sécurité, ajoutant une couche d’authentification pour le nouvel appareil.

Malgré la remise en question de cette procédure par Tesla, qui considère le comportement observé comme normal, il est clair que des mesures supplémentaires doivent être envisagées pour protéger les propriétaires de Tesla contre ces attaques de phishing de plus en plus sophistiquées.

backdoor, Cybersécurité, Wordpress

Méfiez-vous des fausses notifications et plugins malveillants

La sécurité des sites Web WordPress est une préoccupation majeure pour de nombreux administrateurs. Récemment, une nouvelle menace a émergé sous la forme de fausses notifications de sécurité prétendant qu’une vulnérabilité dangereuse.

Répertoriée sous l‘ID CVE-2023-45124, affecte votre site. Mais méfiez vous, car cette menace n’est rien d’autre qu’une tentative sournoise d’infecter votre site avec un plugin malveillant.

Comment fonctionne cette attaque ? Les utilisateurs de WordPress reçoivent des e-mails qui semblent provenir de WordPress lui-même, alertant sur une vulnérabilité critique d’exécution de code à distance (RCE) détectée sur leur site. La peur de la sécurité incite les administrateurs à agir rapidement, et la solution semble simple : installer un plugin qui prétend résoudre le problème de sécurité.

Cependant, c’est là que réside le piège. En cliquant sur le bouton « Télécharger le plugin », les utilisateurs sont redirigés vers une page qui ressemble étonnamment au site officiel de WordPress, « wordpress.com ». La page affiche fièrement un nombre impressionnant de 500 000 téléchargements du plugin, ainsi que des avis d’utilisateurs élogieux. Toutefois, il s’agissait d’une fausse page reprenant la page officielle : « en-gb-wordpress[.]org » [la page officielle en-gb.wordpress.org], un subterfuge bien élaboré.

Après avoir installé le plugin, il crée un administrateur caché, baptisé « wpsecuritypatch« , et commence à envoyer des informations sensibles à un Serveur de Commande et Contrôle (C2). Le code malveillant est ensuite téléchargé et stocké sur le site, mettant potentiellement en danger l’intégrité de votre site Web.

Ce plugin malveillant est équipé de fonctionnalités redoutables, telles que la gestion de fichiers, un client SQL, une console PHP et un terminal de ligne de commande. De plus, il fournit aux attaquants des informations détaillées sur le serveur compromis, ce qui leur donne un contrôle considérable sur votre site.

Ce qui rend cette menace particulièrement sournoise, c’est que le plugin ne s’affiche pas dans la liste des plugins installés, le cachant ainsi aux yeux des administrateurs. Cette dissimulation rend sa détection et sa suppression difficiles.

Alors, quel est l’objectif final de ce plugin malveillant ? Pour l’instant, il demeure un mystère, mais les experts en sécurité émettent des hypothèses inquiétantes. Il pourrait être utilisé pour injecter de la publicité sur des sites compromis, rediriger les visiteurs vers des destinations malveillantes, voler des informations confidentielles ou même faire chanter les propriétaires de sites en menaçant de divulguer le contenu de leur base de données.

Heureusement, des experts en sécurité WordPress tels que Wordfence et PatchStack ont pris des mesures pour alerter la communauté. Ils ont publié des avertissements sur leurs sites Web pour sensibiliser les administrateurs et les utilisateurs à cette menace grandissante.

Alors, que pouvez-vous faire pour protéger votre site WordPress ? Tout d’abord, soyez extrêmement prudent lors de l’installation de plugins inconnus. Assurez-vous de les télécharger à partir de sources fiables uniquement. De plus, soyez vigilant face à tout e-mail suspect prétendant provenir de WordPress.

backdoor, Cybersécurité, Téléphonie

LE PARLEMENT EUROPÉEN CRITIQUE L’INACTION SUR LES LOGICIELS ESPIONS

Dans une résolution adoptée majoritairement (424 voix pour, 108 contre, et 23 abstentions), les législateurs ont ouvertement critiqué la Commission européenne pour son manque d’action contre les abus liés aux logiciels espions. Cette démarche intervient dans un contexte de plus en plus inquiet concernant la surveillance numérique au sein de l’Union Européenne (UE).

Le vote est le fruit d’un examen minutieux mené par la Commission d’enquête sur l’utilisation de Pegasus et d’autres logiciels espions de surveillance (PEGA). Cette enquête parlementaire a révélé des pratiques alarmantes d’abus de surveillance par des acteurs étatiques.

Une réponse timide de la commission

La Commission a initialement argumenté qu’elle ne pouvait empiéter sur les responsabilités de sécurité des États membres. Sophie In’t Veld, rapporteure de PEGA, a critiqué cette position, soulignant que les autorités nationales étaient elles-mêmes impliquées dans ces abus. Face à l’ampleur du problème, une association d’organisations de défense des libertés civiles et des droits de l’homme plaide pour une interdiction totale des logiciels espions dans l’UE. Les députés envisagent de lancer une deuxième enquête en 2023 pour approfondir cette question.

Des mesures pour protéger les journalistes

En septembre dernier, la Commission a proposé une législation visant à protéger les journalistes contre le ciblage par des logiciels espions. Toutefois, cette initiative fait face à de vives contestations du Conseil européen, qui cherche à réduire le niveau de protection des journalistes. Le Conseil européen a émis une position de négociation qui pourrait limiter la capacité de la Cour de justice de l’UE d’intervenir contre les États membres accusés d’espionner des journalistes.

Cette loi, en cours de négociation, est critiquée par des groupes de la société civile, qui la considèrent comme trop « édulcorée » pour être efficace.