Archives de catégorie : Chiffrement

backdoor, Chiffrement, cryptage, Cybersécurité, IOT, Justice, Securite informatique, Social engineering, Téléphonie, VPN

Le baron de la drogue El Chapo utilisait son propre réseau de communication chiffré

Joaquin Guzman, plus connu sous le pseudonyme d’El Chapo, l’un des plus important baron de la drogue utilisait un réseau de communication chiffré spécialement créé pour lui. Le FBI va réussir à le mettre sur écoute avec l’aide de son administrateur.

En informatique, la première faille reste l’humain. Le baron de la drogue mexicain Joaquin Guzman, alias El Chapo, aujourd’hui dans les mains des autorités américaines, en a fait les frais.

Pour converser avec ses clients et fournisseurs, El Chapo utilisait un réseau de communication privé et chiffré spécialement créé à son intention. Bilan,les autorités ne pouvaient n’y le suivre, ni l’écouter.

Un système de sécurité mis en place par un informaticien qui apparaît dans les documents du FBI sous le nom de Cristian Rodriguez, très certainement un pseudonyme.

Cristian se retrouve chez El Chapo. Son travail pour un autre baron de la drogue, le colombien Jorge Cifuentes, attire Guzman. De la VoIP interne sécurisée.

Seulement, le FBI a réussi à convaincre Rodriguez à collaborer.

Infiltration du FBI

Dans un premier temps, février 2010. L’agent du FBI se fait passer pour un dealer Russe. Il souhaite acquérir son système de chiffrement. Quelques semaines plus tard, le FBI « propose » de collaborer. L’histoire n’indique pas la proposition : argent, risque de prison, finir dans un bloc de béton …

Bilan, Rodriguez va migrer son serveur de communication au Pays-Bas. Préalablement installé au Canada, le serveur se retrouve aux Pays-Bas. Un pays choisi pour être plus souple avec les demandes de la justice américaine.

Finalité, l’agence fédérale a pu mettre sur écoute ce système chiffré. 1 500 appels téléphoniques sur écoute avec l’aide du service cybercrime (Team High Tech Crime) néerlandais.

L’existence de ce stratagème – et de plusieurs appels téléphoniques – a été révélée pour la première fois mardi 8 janvier 2019 lorsque Stephen Marston, un agent du FBI qui a aidé à diriger l’opération, a comparu en tant que témoin lors du procès de Guzmán.

Marston a déclaré aux jurés que l’étape cruciale de l’enquête consistait à recruter Rodriguez. Il fallait qu’il collabore avec les autorités américaines.

Les voix ont pu être comparées et authentifiées à partir, entre autre, d’une interview donnée par El Chapo à l’acteur Sean Penn pour le journal Rolling Stone.

El Chapo est locataire d’une prison fédérale américaine depuis 2016.

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Propriété Industrielle, RGPD, Securite informatique, Téléphonie

Espionnage des vidéos des sonnettes de porte d’entrée Ring

Les employés de la filiale d’Amazon, Ring, pouvaient consulter les vidéos et photos prises par les sonnettes de portes connectées installées partout dans le monde.

Ambiance espionnage pour la société Ring, filiale d’Amazon. Cette société, créée en Ukraine et racheté en 2018 par le géant de la vente en ligne américain (environ 1 milliard de dollars), commercialise des objets connectés, dont une sonnette pour porte d’entrée. L’objet permet de recevoir sur son smartphone des photos et vidéos des personnes pouvant sonner à l’entrée de votre domicile. Ring indique que sa mission est de « diminuer la criminalité dans les voisinages du monde entier« .

Les développeurs pouvaient accéder aux vidéos. Un espionnage des visiteurs sans véritable intérêt. Mais une fuite de données, reste une fuite de données d’autant plus pour les clients qui versent une abonnement de quelques euros par mois pour un stockage de 6 mois des documents créés par les sonnettes. The Information explique que les employés de l’ex-bureau de Ring en Ukraine accédait aux serveurs de stockage 3S d’Amazon.

Ensuite, les vidéos n’étaient pas chiffrées. Lisibles par tous, et cela depuis 2016. Il suffisait de taper le mail d’un client et utilisateur de Ring pour accéder aux clichés. Les employés se servaient des images pour « se taquiner ». La filiale d’Amazon a diffusé un communiqué de presse stipulant qu’elle prenait « très au sérieux la confidentialité et la sécurité des informations personnelles de ses clients. »

Pour conclure, le communiqué indique que les employés et son intelligence artificielle continuent de visionner les images prises par son matériel « afin d’améliorer ses services« . Des vidéos partagées publiquement. Les clients de Ring peuvent aussi donner leur accord de visionnage.

Chiffrement, Cybersécurité, Securite informatique

Failles et bugs corrigés dans Symfony 3.4.20

Le framework Symfony a sorti une nouvelle version. Elle corrige 14 failles de sécurité et autres bugs.

Le framework Symfony est un environnement informatique qui a fait ses preuves. Un bel outil robuste, proposant des fonctionnalités de cybersécurité. Authentification, gestion des sessions, … Symfony permet d’assurer la sécurité à la condition d’être prise au sérieuse. C’est d’ailleurs pour cela qu’une mise à jour, la 3.4.20, a été diffusée, début décembre 2018. 12 bugs et 2 problèmes sérieux de sécurité ont été corrigés.

La première faille de sécurité concerne [CVE-2018-19790] une vulnérabilité de redirection lors de l’utilisation des formulaires de connexion. Il était possible de rediriger l’utilisateur vers n’importe quel domaine après la connexion. La seconde faille corrigée [CVE-2018-19789] permettait de connaitre le chemin complet des fichiers téléchargés. En manipulant certaines commandes, cela pouvait lancer une exécution de code à distance.

Se protéger… avant le drame

Une protection, nous le savons, ne sera jamais infaillible. Il y aura toujours ce petit « truc » qui perturbera. Ce bug oublié, cette faille laissée de côté pour « plus tard ». Il existe pourtant quelques bases simples. Pour symfony, comme pour l’ensemble de vos productions web, assurez que vos mots de passe soient chiffrés. Dans ce cas, nous parlons de hashage. Des mots de passe hashés dans la base de données. Pour cela, utilisez bcrypt, par exemple. Mais, par pitié, par du MD5. Aujourd’hui, trop facilement maltraité par les centaines de bases de données regroupant des hashs de mot de passe. Pensez aussi au https. Cela évitera de jouer, entre autres, avec les cookies. le « secure flag » n’est pas à prendre à la légère. un firewall digne de ce nom doit renforce votre politique de sécurité. un WAF (Web Application Firewall). Dans tous les cas, un budget sécurité n’est plus une option.

Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Fuite de données pour Nokia

Le constructeur Nokia a mis en péril sa sécurité interne et diffusant, sans le savoir, des données extrêmement sensibles sur Internet !

Imaginez, vous avez une entreprise de taille internationale et vous laissez fuiter vos informations les plus sensibles. Dans le lot des données perdues des mots de passe d’utilisateurs et d’administrateurs, un mot de passe Weave, une clé de chiffrement k8s, une clé privée d’utilisateur Gluster, des clés privées SSH et RSA, une clé de cluster et des clés secrètes AWS S3 … Bref, autant dire qu’il n’est pas utile de faire parti du bureau 39 de la Corée du Nord ou de la NSA pour se servir.

Les informations ont été découvertes par le directeur de l’équipe de recherche d’une société de cyber sécurité, hacken Ecosystem. Avec Shodan, le moteur de recherche dédié à la cybersécurité, la fuite est apparue. Plusieurs bases de données internes, des mots de passe et des clés d’accès secrètes aux systèmes internes de Nokia.

Découverte le 13 décembre 2018, personne ne sait depuis quand elles fuitaient. Nokia n’a jamais répondu au mail d’alerte. Il aura fallu attendre plusieurs jours et un message twitter pour la mise hors ligne.

L’équipe de sécurité de Nokia a reconnu la fuite. Elle a déclaré qu’il ne s’agissait que d’un « environnement de test« . Le chercheur indique avoir un doute sur cet environnement de test. « Ce serveur AWS créé il y a quelque temps par l’un de nos développeurs à des fins de test. Nous pouvons confirmer que le serveur ne contient aucune information sensible. Cela dit, nous utiliserons cet épisode pour notre propre formation de sensibilisation des employés de Nokia R&D ».

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Securite informatique

1 consommateur 3 aurait vu ses données confidentielles compromises

Selon un communiqué de presse envoyé à toutes les rédactions françaises, 1 consommateur sur 3 aurait ses données confidentielles compromises. Les fêtes de fin d’année, avec les cadeaux de Noël, le Nouvel An, puis les soldes de janvier sont une période de consommation importante, notamment en ligne. Mais pour les cybercriminels qui ciblent les informations bancaires des clients ou leurs comptes en ligne, ces périodes de fêtes peuvent aussi être très fructueuses. Le rapport de Kaspersky Lab intitulé « From festive fun to password panic: Managing money online this Christmas » fait le point sur les risques.

Selon les chiffres de Kaspersky, ils sont à prendre avec des pincettes car ils ne concernent que leurs clients et une petite partie de possibles fuites d’informations, Noël 2018 aurait été particulièrement intéressant pour les pirates comme le montre le graphisme qu’ils ont diffusé dans leur communiqué de presse [voir ci-dessous].

Le large éventail de méthodes de paiement numériques donne aux clients la liberté de choisir leur mode d’achat préféré pour les biens ou services. Les méthodes les plus populaires sont toujours les cartes de débit et de crédit, les virements directs à partir de comptes bancaires et les portefeuilles électroniques, par ex. PayPal. Cependant, d’autres méthodes de paiement gagnent en popularité. Les achats fréquents permettent aux utilisateurs de collecter des points via des programmes de fidélité et de les utiliser lors de la visite à un détaillant pour en acheter davantage. Et grâce aux smartphones et aux smartwatches, les consommateurs n’ont même plus besoin de transporter leur portefeuille, leur argent ou même de cartes en plastique. Cela a contribué à accroître la popularité des paiements sans contact sur les appareils, tels que PayPass et ApplePay, avec un tiers des acheteurs (31%) les utilisant régulièrement. (Le rapport)

 

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Securite informatique

Etude de cas CD&B : Sécuriser les fichiers grâce à un audit

Les serveurs de fichiers sont connus pour être la principale cible pour les attaques (Verizon, Data Breach Investigations Report 2017). Afin de pouvoir garder leurs fichiers sécurisés, et ne permettre que l’accès à ceux qui en ont besoin, les organisations ont besoin d’une visibilité sur qui a accès, qui utilise l’accès et quelles actions sont effectuées sur les fichiers.

Cet audit de fichiers permet aux entreprises de sécuriser leurs données sensibles. Lorsqu’un bon audit de fichier est en place, il peut aider à identifier une violation de données ainsi qu’à en arrêter une. Fonctionnalités d’un audit de fichiers. La société IS Decisions propose d’examiner les fonctionnalités qui devraient faire partie de l’audit des fichiers. Des fonctionnalités qui peuvent s’appliquer à la fois aux outils Windows natifs et aux solutions tierces. Nous y retrouvons, l’Enregistrement qui correspond à tous les accès et modifications aux fichiers et dossiers, y compris les données et les autorisations, doivent être enregistrés. La Visibilité : toutes les données du journal d’audit doivent être facilement accessibles pour être consultées, filtrées, recherchées, etc. Les Alertes : les notifications doivent être envoyées en fonction des critères correspondants aux actions jugées suspectes. Et les Rapports. Une option un peu compliqué, mais même les outils natifs ont la possibilité d’exporter les données du journal. Donc, même si ce n’est pas joli, la capacité de générer des «rapports» partageables devrait faire partie de l’audit des fichiers. Pour en savoir plus sur la sécurisation des fichiers via un audit approprié, c’est à lire ici.

Chiffrement, cryptage, cryptomonnaie, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique, Social engineering

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD

Un directeur informatique sur trois préfère payer un ransomware en raison du coup de réinstallation.

Une étude commandée par Sophos a révélé qu’un tiers (33%) des directeurs informatiques français seraient «vraiment» prêts à payer les rançons demandées par des cybercriminels, qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende plus lourde, dans le cadre du Règlement Général sur la Protection des Données (RGPD) de l’UE.

De plus, 43% des responsables informatiques en France, ont déclaré qu’ils envisageraient «éventuellement» de payer la rançon demandée par les hackers si elle était inférieure à l’amende prévue en cas d’infraction suite à une violation. Seulement 20% des personnes interrogées ont complètement exclu de payer leurs agresseurs.

Les directeurs informatiques français sont plus enclins à payer que leurs homologues belges

Un quart (24%) des directeurs informatiques belges ont déclaré qu’ils seraient «vraiment» prêts à payer une rançon pour éviter d’être exposés à une amende plus lourde, imposée par les autorités. Parmi les pays d’Europe Occidentale, mentionnés dans l’étude, les directeurs informatiques britanniques et néerlandais étaient les plus susceptibles de payer une rançon. Près de la moitié (47%) des personnes interrogées au Royaume-Uni et plus d’un tiers (38%) aux Pays-Bas étaient «vraiment» disposées à payer. Avec seulement 19%, les responsables informatiques irlandais étaient les moins susceptibles de se considérer «vraiment» prêts à payer leurs agresseurs.

La taille de l’entreprise impacte le paiement des ransomwares

Dans toute l’Europe Occidentale, les petites entreprises étaient les moins susceptibles d’envisager le paiement d’une rançon. Plus de la moitié (51%) des directeurs informatiques des entreprises de moins de 250 employés ont complètement exclu de payer leurs agresseurs. Ce chiffre à comparer aux 20% des directeurs informatiques des entreprises de 250 à 499 employés. 13% pour 500 à 750 employés.

Michel Lanaspèze chez Sophos a déclaré: « Les entreprises qui paient une rançon peuvent peut-être bien récupérer l’accès à leurs données, mais c’est loin d’être une garantie à 100% et c’est surtout une fausse économie si elles le font pour éviter une sanction. Elles doivent signaler la violation aux autorités. « .

Il est surprenant de voir que les grandes entreprises semblent être les plus susceptibles de payer une rançon. Faire confiance aux pirates ou attendre qu’ils restituent sagement les données est une grave erreur. Notre conseil ? Ne payez pas la rançon. Informez rapidement la police/Gendarmerie (Soyons honnête, la chance d’arrêter les auteurs est proche de 0, NDR). Prenez les mesures nécessaires pour réduire les risques d’une nouvelle attaque réussie.

« Le meilleur moyen de ne pas avoir à payer une rançon est de toujours garder une longueur d’avance sur les cybercriminels. Les pirates ont tendance à utiliser des emails de phishing, des logiciels non patchés et des portails d’accès à distance pour pénétrer dans vos systèmes. Assurez-vous donc que vos systèmes et vos utilisateurs soient à même de détecter les signaux annonciateurs d’une attaque. Installez les correctifs le plus tôt et le plus souvent possible, sécurisez les points d’accès distants avec des mots de passe appropriés et enfin mettez en œuvre une authentification multi-facteurs ».

Seuls quatre directeurs informatiques français sur dix pensent être en conformité avec le RGPD

L’étude de Sophos a également montré que seulement 37% des directeurs informatiques français étaient confiants dans une conformité totale de leur entreprise avec les règles du RGPD. Ce chiffre est supérieur à celui des directeurs informatiques en Belgique (30%) et en République d’Irlande (35%), mais inférieur à celui observé au Royaume-Uni (46%) et aux Pays-Bas (44%). Seulement un quart (24%) des directeurs informatiques français ont déclaré avoir mis en place des outils permettant de prouver leur conformité en cas de violation. Seules les entreprises néerlandaises (27%) semblent « ok » vis à vis de ce point particulier. Plus de la moitié des entreprises françaises ont migré leurs données vers le cloud suite à l’entrée en vigueur du RGPD : 59% des personnes interrogées ont déclaré avoir davantage utilisé le cloud computing comme conséquence directe de l’entrée en vigueur du RGPD.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Mise à jour, Particuliers, RGPD, Sauvegarde, Sécurité, Securite informatique, Smartphone, Téléphonie

Des millions de SMS retrouvés dans un cloud de la société Voxox

Un chercheur en sécurité révèle que la société Voxox a exposé des dizaines de millions de SMS en le stockant sur un serveur cloud non protégé.

Voxox est une société de communication VoIP. Une sorte de Skype allemand. Voxox a oublié les bases de la sécurité du cloud. Bilan, ce fournisseur de services vocaux et SMS a exposé des données sensibles telles que les codes 2FA, les mots de passe en texte clair, les numéros de téléphone, les codes de réinitialisation de mot de passe, les notifications d’expédition et les codes de vérification à un accès public. C’est un chercheur en sécurité basé à Berlin, Sébastien Kaul, qui a découvert la faille via le moteur de recherche spécialisé dans la sécurité informatique, Shodan. La base de données de messages SMS identifiée par Kaul est facilement accessible. Elle offre une vue presque en temps réel des informations transitant par la passerelle SMS de Voxox. Comment est-ce possible ? La société américaine n’a pas protégé son serveur … avec un mot de passe. No comment !

Avant sa fermeture, plus de 26 millions de messages texte stockés dans la base de données. Cependant, il semble tout à fait probable que le chiffre soit plus important. Le volume de messages étant énorme, chaque minute. Il est à noter que chaque enregistrement a été étiqueté et détaillé avec précision. Il incluait le numéro de contact du destinataire, le client Voxox qui avait envoyé le message et le contenu du message. (TechCrunch)

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, ransomware, Securite informatique

Observation de l’évolution des tactiques de diffusion des ransomwares

Il y a quatre ans de cela, les criminels envoyaient des mails à des millions d’adresses, diffusant des variantes de logiciels rançonneurs, via des liens infectés ou des documents Word, sans logique ou ciblage apparent. Aujourd’hui, les ransomware se professionnalisent !

Lorsque les logiciels rançonneurs ont commencé à chiffrer les ressources disponibles sur les réseaux, les entreprises ont commencé à y prêter un peu plus attention. Cette étape de l’évolution des logiciels rançonneurs a vu la méthode de diffusion éparpillée précédemment mentionnée se combiner au chiffrement de fichiers disponibles aussi bien sur le serveur local que sur les serveurs d’entreprise. Le chiffrement du serveur de fichiers d’une infrastructure ou de son système de stockage en réseau entraîne plus de dommages pour l’entreprise que le chiffrement d’un poste de travail individuel. Dans ce contexte, la hotline de notre équipe d’intervention a commencé à recevoir plus d’appels, au cours desquels les administrateurs informatiques des systèmes touchés par des logiciels rançonneurs ont commencé à se poser des questions très sérieuses sur les conséquences associées au paiement des rançons.

Cette tendance des ransomwares à chiffrer les partages réseau, et l’attention accrue qui en résulte, est probablement à l’origine des phases suivantes de leurs techniques de déploiement.

Frappes de précision : l’essor du protocole RDP (Remote Desktop Protocol)

En 2016, nous avons commencé à constater des infections massives de logiciels rançonneurs au cours desquelles plusieurs actifs essentiels de l’environnement des victimes étaient simultanément infectés, et avons donc constaté davantage d’interactions entre les agresseurs et leurs victimes (en raison de l’impact de leurs logiciels rançonneurs sur l’environnement des victimes). La communauté de sécurité s’est livrée à des enquêtes plus poussées qui ont confirmé ces soupçons : des cybercriminels utilisaient le protocole RDP, un protocole propriétaire conçu par Microsoft, pour fournir aux utilisateurs l’interface graphique d’un système distant, afin de s’introduire dans l’environnement des victimes.

Une fois en place, les agresseurs déployaient généralement des outils permettant de rechercher et d’exploiter des relations utilisateur/groupe/administrateur mal configurées ou non intentionnelles. Les paramètres Active Directory mal configurés ou non intentionnels sont les meilleurs alliés des cybercriminels, en leur permettant d’accéder aux privilèges de l’administrateur du domaine. Dès que le compte de ce dernier est compromis, les hackers ont la possibilité d’effectuer une reconnaissance du réseau pour identifier les actifs les plus critiques et les infecter.

Après avoir identifié les serveurs critiques et les systèmes de sauvegarde dans l’environnement, les hackers peuvent désormais utiliser les outils d’administration système intégrés à Windows pour déployer largement leurs logiciels rançonneurs.

A ce stade, les agresseurs n’essayaient donc plus d’envoyer un email à chaque personne présente sur le web. Avec le protocole RDP, ils savaient exactement qui et quoi cibler, en infectant simultanément des ressources critiques grâce à leur nouvel accès à l’environnement des victimes.

La prochaine étape des logiciels rançonneurs : les botnets

La tactique consistant à utiliser le RDP comme base initiale pour ces déploiements de logiciels rançonneurs en volume, interactifs, programmés ou manuels, était devenue si courante qu’elle faisait l’objet de nos premières questions lors de la prise en charge de nouveaux incidents. Cependant, pour les cas récents tels que le logiciel rançonneur Ryuk [1], nous assistons à une autre évolution des tactiques de diffusion. Lorsque nous enquêtons sur les victimes pour déterminer si elles sont exposées au niveau du RDP, nous pouvons constater que ce protocole n’est pas activé, ou que l’accès se fait via VPN. Dans cette mesure, il n’expose pas directement les victimes sur Internet.

Ces cas nécessitent des enquêtes plus approfondies. Dans plusieurs cas récents, nous découvrons des infections de bots corrélées à la chronologie des infections de logiciels rançonneurs.

Au cours du mois dernier, nous avons observé des infections de TrickBot, d’Emotet et d’AdvisorsBot qui correspondent parfaitement au moment du déploiement des logiciels rançonneurs. Ces infections par bots sont généralisées dans l’environnement des victimes, et tirent également parti des relations d’approbation mal configurées dans Active Directory pour se répandre latéralement. Cette tendance à l’utilisation des bots pour s’implanter ne fait qu’augmenter.

Dans ces cas, nous constatons que des e-mails de phishing contenant des documents Word malveillants sont le vecteur de diffusion des bots. Ces documents Word malveillants contiennent un contenu exécutable appelé macros. Lors de nos analyses des infections par TrickBot et AdvisorsBot relatives aux logiciels rançonneurs, nous constatons que les victimes ont ouvert le mail. Ouvert les documents joints. Permis aux macros de s’éxecuter.

À ce stade, le contenu exécutable dans les macros installe un bot ou contacte le serveur de commande et de contrôle du botnet pour obtenir du code malveillant supplémentaire, qui est finalement le véritable logiciel malveillant.

C’est une évolution des tactiques de déploiement des logiciels rançonneurs. La tendance observable de diffusion des ransomwares, allant de l’email de phishing opportuniste jusqu’à l’implantation et la reconnaissance via une configuration RDP compromise, se poursuit aujourd’hui par une implantation avancée au cœur du réseau grâce à des infections par bots qui se propagent latéralement.

En conclusion, la tendance d’implantation des bots pour propager des logiciels rançonneurs continuera à se développer. A l’avenir, différents bots seront utilisés simultanément. Mais le fait qu’ils offrent une persistance et facilitent le déploiement de logiciels malveillants supplémentaires en font un choix évident en matière d’implantation malveillante.

Conseil de l’équipe d’intervention Check Point

Au cours des différentes enquêtes, il a été découvert que la plupart des victimes avaient involontairement autorisé l’accès RDP au réseau depuis Internet en raison de la configuration des règles de sécurité sur le pare-feu, autorisant trop de ports ou configurant incorrectement l’IP/le masque réseau. La fonctionnalité « Packet Mode » de R80.10 [1] nous permet de vérifier rapidement si les ports RDP sont exposés sur Internet. Les règles de la blade Compliance (conformité) peuvent également être configurées pour émettre une alerte en cas d’exposition accidentelle de RDP. (Par l’équipe d’intervention de Check Point).

APT, backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Mise à jour, Securite informatique

Sofacy, un groupe de pirates omniprésent sur la toile

L’Unité42, unité de recherches de Palo Alto Networks, dévoile aujourd’hui une nouvelle étude sur le groupe Sofacy et le nouveau malware utilisé par le groupe pour mener des attaques de cyber-espionnage contre différentes agences gouvernementales partout dans le monde.

Sofacy continue ses attaques mondiales et sort un nouveau cheval de Troie « Cannon ». Découverte d’un nouveau malware « Canon », un cheval de Troie pour donner un accès distant (RAT pour Remote Access Trojan) : ce nouveau malware a été utilisé par Sofacy pour mener des attaques de cyber-espionnage. Ce groupe continue aussi à utiliser Zebrocy (un RAT déjà connu) dans leurs attaques. Utilisation de diverses techniques pour éviter d’être détecté et analysé : 1) au lieu d’inclure le code malicieux en pièce jointe, Sofacy le télécharge à distance à l’ouverture du document, 2) le groupe utilise des courriels pour envoyer et recevoir des instructions et 3) le groupe utilise également des macros spécifiques pour détourner les tentatives d’analyse du code malicieux. Ingénierie sociale : Sofacy a utilisé le récent crash aérien affectant Lion Air comme leurre dans l’une de leurs attaques — ce qui est un exemple de leur volonté permanente d’utiliser l’ingénierie sociale pour déployer leur malware.

Sofacy, l’ogre à données piratées

Depuis la fin du mois d’octobre 2018, Unit 42 a intercepté une série de documents vérolés en utilisant une technique qui fait appel à des modèles de mise en page distants contenant des macros dangereuses. Ce genre de document infecté n’est pas rare.

Les systèmes d’analyses automatisés ont plus de mal à les identifier comme dangereux en raison de leur nature modulaire. La particularité de cette technique est la suivante : si le serveur C2 (ou C&C pour Command and Control, le serveur utilisé par les cybercriminels pour finaliser l’infection et contrôler les machines infectées) n’est pas disponible au moment de l’exécution, le code malicieux ne peut être récupéré, et les documents délivrés sont alors sans danger.

Documents infectés

Ensuite, ces documents infectés ciblaient différentes agences gouvernementales à travers le monde, y compris en Amérique du Nord, en Europe, ou dans un des États de l’ancienne URSS. Heureusement, les serveurs C2 de plusieurs de ces documents étaient encore opérationnels, ce qui a permis de retrouver les macros dangereuses et les téléchargements qui y sont liés. L’analyse a révélé que le premier téléchargement lié était le cheval de Troie bien connu Zbrocy. D’autres données collectées ont dévoilé un deuxième téléchargement que l’Unit42 a surnommé « Canon ». Enfin, canon n’avait jusqu’ici pas encore agi via le groupe Sofacy, il contient une nouvelle voie de communication avec les serveurs C2 en passant par la messagerie électronique.

crash list(Lion Air Boeing 737).docx

Pour conclure, l’activité concerne plus précisément deux documents infectés bien spécifiques qui partage des données communes comme une adresse IP commun pour le serveur C2, un nom d’auteur commun, et des tactiques communes. Des données complémentaires ont révélé une campagne d’attaque importante associée avec le cheval de Troie Canon sur lequel l’Unit42 reviendra dans un prochain billet de blog. Un des aspects les plus intéressants des documents les plus récents utilisés par l’adversaire pour son infiltration était le nom du fichier : crash list(Lion Air Boeing 737).docx. Ce n’est pas la première fois qu’un groupe ennemi utilise les événements récents comme un leurre. Il est intéressant de voir que ce groupe essaie de miser sur des événements catastrophiques pour lancer leurs attaques. (U42)