backdoor, Cybersécurité, Fuite de données

Fuite de données : le gouvernement Suisse s’inquiète !

Le gouvernement suisse a récemment averti la population que des données opérationnelles gouvernementales pourraient avoir été compromises lors d’une attaque visant une société informatique. Cette attaque, revendiquée par le groupe de rançongiciels Play, a visé Xplain, une société suisse fournissant des services à plusieurs agences fédérales du pays.

Selon le gouvernement suisse, les données opérationnelles de l’administration fédérale pourraient également avoir été affectées par cette attaque de rançongiciels. Des données volées ont été publiées sur le darknet, suscitant des inquiétudes quant à la sécurité des informations sensibles. Les agences gouvernementales concernées sont actuellement en train de déterminer l’ampleur de l’impact et les unités spécifiques touchées. Bien que des détails plus précis sur les types de données volées et leur contenu n’aient pas été divulgués, il est crucial de comprendre si des informations personnelles de citoyens ou d’employés gouvernementaux ont été compromises.

Suite à cette attaque de rançongiciels, Xplain a immédiatement informé le Centre national de cybersécurité (NCSC) et a signalé l’infraction pénale à la police cantonale de Berne. Le NCSC travaille en étroite collaboration avec Xplain et les procureurs pour résoudre cette affaire et assurer la sécurité des données gouvernementales. Jusqu’à présent, aucune preuve n’indique que les pirates ont tenté d’accéder aux systèmes fédéraux pendant leur attaque contre Xplain.

Concentration des risques et leçons à tirer

Les autorités suisses ont critiqué la décision d’autoriser plusieurs agences gouvernementales à utiliser le même fournisseur informatique, soulignant qu’une certaine concentration des risques est compensée par une meilleure rentabilité. Cependant, ils soulignent également que le nombre limité d’entreprises capables de fournir les services requis rend difficile l’adoption d’une approche plus diversifiée. Il est crucial de noter que l’utilisation de plusieurs fournisseurs entraîne des interfaces et des échanges de données supplémentaires, augmentant potentiellement le risque d’incidents de sécurité. Cette situation souligne l’importance de mettre en place des mesures de sécurité robustes et de revoir les politiques de gestion des fournisseurs pour réduire les vulnérabilités potentielles.

L’attaque de rançongiciels en Suisse non liée à une récente attaque DDoS contre le parlement

En plus de l’attaque de rançongiciels qui a compromis des données gouvernementales en Suisse, le gouvernement a également tenu à clarifier que cette attaque n’était pas liée à une récente attaque par déni de service distribué (DDoS) contre le parlement du pays. Les autorités suisses ont attribué cette attaque DDoS au groupe de piratage NoName, qui a émergé après l’invasion de l’Ukraine par la Russie et a ciblé les gouvernements de plusieurs pays européens avec des centaines d’attaques DDoS.

Confirmation de l’attaque DDoS contre les sites web gouvernementaux

Dans une déclaration distincte, le gouvernement suisse a confirmé que plusieurs sites web de l’administration fédérale ont été mis hors ligne en raison de l’attaque DDoS. Cependant, les spécialistes de l’administration fédérale ont rapidement détecté cette attaque et sont en train de prendre des mesures pour rétablir l’accessibilité des sites web et des applications affectés dans les plus brefs délais. Il est crucial de garantir la disponibilité et la sécurité des systèmes gouvernementaux pour maintenir les services essentiels et préserver la confiance des citoyens.

Cybersécurité, Mise à jour, Patch

Les dernières mises à jour de sécurité de Microsoft : protégez-vous contre les vulnérabilités

Microsoft a récemment publié ses mises à jour mensuelles. Le lot de correctifs de juin 2023 résout un total de 78 failles, dont 38 pouvant potentiellement entraîner l’exécution de code à distance. Parmi ces failles, Microsoft en a identifié six comme étant critiques, pouvant causer des attaques de déni de service (DoS), des élévations de privilèges, et l’exécution arbitraire de code à distance.

La répartition des vulnérabilités corrigées se présente comme suit : 17 failles d’élévation de privilèges, 3 contournements de systèmes de protection, 32 vulnérabilités d’exécution de code à distance (RCE), 5 problèmes de divulgation d’informations, 10 attaques de déni de service (DoS), 10 tentatives de spoofing, et une faille spécifique à la version Chromium d’Edge.

Heureusement, cette fois-ci, aucune vulnérabilité zero-day n’a été signalée, ce qui permet aux administrateurs système de déployer les correctifs à leur propre rythme. Cependant, il est essentiel de souligner deux vulnérabilités particulièrement dangereuses qui nécessitent une attention immédiate :

CVE-2023-29357 : Cette faille concerne une élévation de privilèges dans Microsoft SharePoint Server. Selon Microsoft, cette vulnérabilité est exploitée dans des attaques, mais aucune information détaillée sur son exploitation n’a été divulguée.

CVE-2023-32031 : Cette vulnérabilité permet l’exécution de code à distance dans Microsoft Exchange Server. Un attaquant non authentifié peut exploiter cette faille pour exécuter un code malveillant dans le contexte du compte du serveur.

Les mises à jour de sécurité de Microsoft jouent un rôle crucial dans la protection des utilisateurs contre les vulnérabilités et les attaques potentielles. En installant rapidement ces correctifs, vous pouvez renforcer la sécurité de votre système et réduire les risques liés à l’exécution de code à distance, aux élévations de privilèges et aux autres formes d’attaques. Assurez-vous de rester à jour avec les dernières mises à jour de sécurité et de suivre les recommandations de Microsoft pour maintenir un environnement informatique sûr.

Cybersécurité, Securite informatique

Nouvelle technique d’attaque utilisant OpenAI ChatGPT pour distribuer des packages malveillants

Les chercheurs ont récemment découvert une nouvelle technique d’attaque qui exploite les capacités du modèle de langage OpenAI ChatGPT. Cette technique permet aux attaquants de distribuer des packages malveillants dans les environnements de développement. Dans un avis conjoint publié aujourd’hui, les chercheurs ont alerté sur cette nouvelle menace et ont souligné l’importance de prendre des mesures pour atténuer les risques.

Selon les auteurs du rapport technique, ChatGPT a été observé en train de générer des URL, des liens et même des bibliothèques et des fonctions de code qui n’existent pas réellement. Ce phénomène, connu sous le nom d’hallucinations des grands modèles de langage, a été documenté auparavant et pourrait résulter de données d’apprentissage obsolètes. Ces hallucinations ou recommandations erronées peuvent être exploitées par les attaquants pour tromper les utilisateurs.

L’hallucination du package AI

La nouvelle technique de distribution de packages malveillants, baptisée « l’hallucination du package AI« , repose sur l’interaction entre les attaquants et ChatGPT. Les attaquants posent une question à ChatGPT en demandant un package pour résoudre un problème d’encodage, et en réponse, ils obtiennent plusieurs recommandations de package, y compris certains qui ne sont pas publiés dans des référentiels légitimes. Les attaquants remplacent ensuite ces packages inexistants par leurs propres packages malveillants, incitant ainsi les utilisateurs futurs à faire confiance aux recommandations de ChatGPT.

Atténuation des risques et meilleures pratiques

La détection des packages malveillants issus de l’IA peut être difficile car les attaquants utilisent des techniques d’obscurcissement et créent des packages de chevaux de Troie fonctionnels. Cependant, il existe des mesures que les développeurs peuvent prendre pour atténuer les risques. Tout d’abord, il est essentiel d’examiner attentivement les bibliothèques proposées par ChatGPT, en tenant compte de facteurs tels que la date de création, le nombre de téléchargements, les commentaires et les notes jointes. Une certaine prudence et un certain scepticisme à l’égard des packages suspects sont également importants pour assurer la sécurité des logiciels.

Les opportunités de l’IA générative et les risques associés

L’intelligence artificielle (IA), en particulier l’IA générative, représente une avancée majeure dans le domaine de la science et de la technologie. Elle offre des opportunités passionnantes dans de nombreux domaines, tels que la création de contenu, le design, la musique, la recherche médicale et bien d’autres. Cependant, cette avancée technologique soulève également des inquiétudes quant à son utilisation potentielle à des fins malveillantes.

L’IA générative est capable de créer du contenu de manière autonome, imitant et produisant des résultats indiscernables de ceux créés par des humains. Cela ouvre de nouvelles perspectives créatives et permet des avancées significatives dans de nombreux domaines. Cependant, cette même capacité peut être exploitée par des individus mal intentionnés pour des activités telles que la manipulation de l’opinion publique, la production de contrefaçons, la falsification de documents, voire la création de faux médias.

Il est donc impératif de sécuriser l’IA contre le vol, la falsification, la manipulation et autres attaques. Les chercheurs et les entreprises du secteur ont pris conscience de ces enjeux et travaillent activement pour développer des solutions de sécurité pour l’IA générative.

Le Secure AI Framework (SAIF) de Google pour la protection de l’IA

Le 8 juin 2023, Google a présenté le Secure AI Framework (SAIF), un cadre conceptuel conçu pour protéger les technologies d’IA contre les attaques malveillantes. SAIF s’appuie sur l’expérience de Google dans le développement de modèles de cybersécurité éprouvés, tels que le cadre collaboratif de niveaux de chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et BeyondCorp, une architecture de confiance zéro.

SAIF repose sur six principes fondamentaux pour sécuriser l’IA générative

Étendre des bases de sécurité solides à l’écosystème de l’IA : Cela inclut l’utilisation de protections d’infrastructure par défaut, telles que les techniques de prévention des injections SQL, pour renforcer la sécurité des systèmes d’IA générative.

Développer la détection et la réponse : Il est essentiel de surveiller attentivement les entrées et les sorties des systèmes d’IA générative afin de détecter les anomalies potentielles. En utilisant les renseignements sur les menaces, il est possible de prévoir et de contrer les attaques.

Automatiser la protection : Face aux menaces existantes et émergentes, l’automatisation joue un rôle crucial pour garantir la sécurité de l’IA générative. En automatisant les processus de protection, il est possible de réagir rapidement aux attaques.

Harmoniser les contrôles au niveau de la plateforme : Pour assurer une sécurité cohérente dans toute l’organisation, il est nécessaire de mettre en place des contrôles de sécurité standardisés au niveau de la plateforme.

Adapter les contrôles : Il est important d’ajuster les mesures d’atténuation pour sécuriser l’IA générative. Cela comprend l’utilisation de techniques telles que l’apprentissage par renforcement basé sur les incidents et les commentaires des utilisateurs, la mise à jour des ensembles de données de formation, le réglage des modèles pour une réponse stratégique aux attaques et l’utilisation de commandes de drapeaux rouges.

Contextualiser les risques des systèmes d’IA : Il est essentiel de comprendre les risques associés aux systèmes d’IA générative dans le contexte des processus métier environnants. Cela nécessite des évaluations complètes des risques pour déterminer comment les organisations utiliseront l’IA de manière sécurisée. Google s’est engagé à publier plusieurs outils open source pour aider à mettre en œuvre les éléments du SAIF et renforcer la sécurité de l’IA générative. De plus, la société étendra ses programmes de recherche de bogues pour encourager la communauté à contribuer à la sécurité et à la fiabilité de l’IA.

article partenaire, Cybersécurité

La cybersécurité des e-mails entrants : un enjeu crucial pour protéger les entreprises

Dans notre ère numérique, les e-mails sont devenus un moyen de communication essentiel pour les entreprises. Cependant, ils constituent également l’une des principales portes d’entrée pour les cybercriminels. En effet, selon les experts en sécurité informatique, près de 9 attaques d’entreprises sur 10 commencent par un e-mail malveillant. Il est donc impératif de comprendre les dangers liés aux e-mails entrants et de mettre en place des mesures de protection efficaces pour préserver la sécurité des entreprises.

Les e-mails entrants représentent une menace sérieuse pour la sécurité des entreprises. Les cybercriminels utilisent diverses techniques pour tromper les destinataires et les inciter à ouvrir des pièces jointes infectées ou à cliquer sur des liens malveillants. Les conséquences de ces attaques peuvent être dévastatrices : vol de données sensibles, interruption des activités commerciales, atteinte à la réputation et pertes financières importantes. Un « Cyberscore » pour courriel pourrait être une idée, comme celle proposée par LetzRelay d’AlSego. Cette dernière annonce proposer un Cyberscore & Sécurité des e-mails Internet.

Parmi les exemples concrets d’attaques basées sur des e-mails, on peut citer le célèbre cas du rançongiciel « WannaCry » en 2017. Cette attaque mondiale a touché des milliers d’organisations, dont des hôpitaux et des entreprises, en exploitant une vulnérabilité présente dans les e-mails et en demandant des rançons pour le déchiffrement des fichiers.

Méthodes de protection

Pour se protéger contre les attaques basées sur les e-mails, les entreprises doivent mettre en place des mesures de sécurité robustes.

Sensibilisation des employés : L’éducation et la sensibilisation des employés sont essentielles pour les aider à identifier les e-mails suspects et à éviter les pièges. Des programmes de formation réguliers sur les bonnes pratiques de sécurité informatique doivent être mis en place.

Filtres anti-spam et anti-phishing : L’utilisation de filtres avancés peut aider à détecter les e-mails indésirables et à bloquer les messages malveillants avant qu’ils n’atteignent la boîte de réception des employés.

Authentification des e-mails : La mise en place de protocoles d’authentification tels que SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance) peut aider à vérifier l’origine des e-mails et à réduire les risques d’usurpation d’identité.

Solutions de sécurité avancées : Les entreprises doivent investir dans des solutions de sécurité avancées telles que les passerelles sécurisées de messagerie et les systèmes de détection des intrusions pour détecter et bloquer les menaces en temps réel. Les Cyberscores seront des indicateurs instantanés précis offrant une information immédiate sur les courriels reçus.

La cybersécurité des e-mails entrants est un enjeu critique pour les entreprises. Les attaques basées sur les e-mails représentent une menace majeure, pouvant entraîner des conséquences graves pour la sécurité et la stabilité des organisations. En sensibilisant les employés, en utilisant des filtres anti-spam et anti-phishing, en mettant en place des protocoles d’authentification et en adoptant des solutions de sécurité avancées, les entreprises peuvent renforcer leur cybersécurité et réduire les risques liés aux e-mails entrants.

Il est également important de rester informé des dernières tendances en matière de cyberattaques et de se tenir au courant des meilleures pratiques de sécurité. Les entreprises peuvent s’appuyer sur des ressources spécialisées et des partenaires de confiance pour les aider à mettre en place des mesures de protection adéquates.

Enfin, il convient de souligner que la responsabilité de la sécurité des e-mails entrants incombe à tous les acteurs, des employés aux gestionnaires informatiques en passant par les dirigeants d’entreprise. En travaillant ensemble et en adoptant une approche proactive, il est possible de réduire considérablement les risques et de préserver la sécurité des entreprises.

Références :
« WannaCry ransomware attack » – US-CERT
« How to Protect Your Business From Phishing Attacks » – Security Intelligence
« Implementing DMARC to Prevent Email Spoofing » – National Cybersecurity and Communications Integration Center (NCCIC)

Argent, Banque, Cybersécurité

Le logiciel pirate Vidar utilisait contre les vendeurs en ligne

Des hackers malveillants exploitent le logiciel pirate stealer Vidar pour piéger les administrateurs de boutiques en ligne en se faisant passer pour des clients mécontents !

Depuis quelques jours a été détecté une nouvelle campagne malveillante au cours de laquelle des cybercriminels envoient des plaintes aux administrateurs de boutiques en ligne. Des courriels et via les formulaires de contact du site web. Les courriers électroniques sont prétendument rédigés par des clients de ces boutiques en ligne. Ils reprochent que les boutiques ont débité de leur compte bancaire de l’argent alors que la commande, qui n’a jamais été passé, a échoué. Les pirates espèrent ainsi piéger les services après-ventes des boutiques et infiltrer leur informatique afin de voler des informations sensibles.

Les vendeurs en ligne sont une cible attrayante pour les pirates, car l’accès à leurs données d’identification leur donne la possibilité de s’introduire dans la partie serveur des sites de commerce électronique, ouvrant ainsi la voie à une gamme d’attaques considérablement élargie. Par exemple, une fois que les cybercriminels ont accès à la partie serveur de la boutique en ligne, ils peuvent injecter des scripts JavaScript malveillants pour voler les données des cartes bancaires et les informations personnelles des acheteurs au moment de la validation de la commande (appelées attaques MageCart). Ils peuvent aussi modifier prix et produits.

Voici un exemple d’un des e-mails malveillants propagés dans le cadre de cette campagne malveillante : « Je vous écris pour exprimer ma profonde préoccupation et ma déception concernant une récente transaction que j’ai effectuée sur votre site web. Le 14 mai 2023, j’ai passé une commande d’une valeur de plus de 550 euros dans votre magasin. Cependant, un problème important nécessitant votre attention immédiate est survenu. Juste après avoir effectué mon achat, j’ai remarqué un message d’erreur sur votre page web indiquant que le paiement n’a pas pu être effectué et que les fonds n’ont pas été débités de ma carte bancaire. À ma grande surprise, après avoir vérifié mon compte bancaire, j’ai découvert que le paiement avait bel et bien été effectué et que le même montant avait été débité. Je vous exhorte vivement à résoudre ce problème dans les plus brefs délais et à le corriger rapidement. Il est important que vous analysiez la cause de cet écart et que vous preniez des mesures immédiates pour rembourser le montant déduit. À titre de preuve d’achat, je joins ci-dessous une copie de mon relevé bancaire où le débit est clairement visible. Cela devrait constituer une preuve irréfutable du paiement et souligner l’urgence d’un remboursement complet. J’apprécierais sincèrement vos actions immédiates. Voici le lien hypertexte vers ma déclaration : bit[.]ly/xxxx« 

Comme tout bon phishing, le texte de cet hameçonnage est rédigé de manière à créer un sentiment d’urgence, exigeant du vendeur un remboursement immédiat et une enquête sur la cause première du problème. Il s’agit d’une technique classique d’ingénierie sociale.

Autre détail, personne ne doit accepter le lien bit[.]ly dans le cadre professionnel. Je vous montrer d’ailleurs, dans une vidéo, comment connaître l’url caché derriere ce raccourcisseur d’adresse web.

Cybersécurité, Entreprise

Environ 35 % des vulnérabilités ICS identifiées ne sont toujours pas corrigées

Les fournisseurs de systèmes de contrôle industriels (ICS) n’ont pas encore corrigé environ 35 % des vulnérabilités découvertes au second semestre 2022.

Le rapport de vulnérabilité ICS SynSaber a analysé 926 problèmes informatiques avec des identifiants CVE qui ont été signalés par les conseillers ICS de la Cybersecurity and Infrastructure Protection Agency (CISA) des États-Unis au cours du second semestre 2022.

On découvre que les entreprises ICS sont non seulement aux prises avec une augmentation des CVE publiés (36 % de plus qu’au premier semestre 2022), mais aussi avec les fournisseurs de produits qui sont souvent lents à fournir toutes les mises à jour nécessaires.

Dans le même temps, Il est souligné que dans certains cas, les retards sont dus au fait que les fournisseurs d’équipement d’origine (OEM) ont des processus de test, d’approbation et de correction stricts.

Dans le même temps, même si des correctifs sont disponibles, les propriétaires de ressources ICS peuvent rencontrer des difficultés pour mettre à jour les systèmes en temps opportun. « Les opérateurs doivent tenir compte de l’interopérabilité et des limites de garantie pour les changements à l’échelle de l’environnement en plus d’attendre le prochain cycle de maintenance », déclare l’étude.

Le rapport a également indiqué que, d’autre part, 22% des vulnérabilités CVE identifiées au second semestre 2022 devraient être prioritaires pour les correctifs, contre 41% au cours des six mois précédents. Cela est en partie dû à la probabilité d’exploitation : environ 11 % des CVE introduits au second semestre 2022 nécessitent une interaction locale et une interaction de l’utilisateur pour une exploitation réussie, et 25 % nécessitent une interaction de l’utilisateur quelle que soit la disponibilité du réseau.

Il convient de noter que Nozomi Networks a précédemment déclaré dans un rapport que les industries et l’énergie étaient les plus vulnérables aux attaques de cybercriminalité au second semestre 2022, suivies de l’eau et de l’assainissement, de la santé et des transports.

Banque, Cybersécurité

Big brother veut protéger les transactions bancaires en Russie

La plus grande banque de Russie, Sberbank, prévoit d’introduire massivement le paiement par biométrie dans tout le pays, selon une annonce récente. Les terminaux seront remplacés par de nouveaux dispositifs dotés de caméras spéciales, ouvrant ainsi la voie à aux paiements biométriques.

Les citoyens russes pourront effectuer des achats en utilisant simplement ces appareils équipés de caméras spéciales. En regardant la caméra, ils pourront effectuer des paiements biométriques sans avoir à sortir leur carte de crédit ou leur téléphone. Cette méthode s’annonce comme simplifiant considérablement les transactions quotidiennes des clients de Sberbank. Au total, 2 millions de terminaux répartis dans les régions de la Fédération de Russie seront modifiés.

Sergey Shubochkin, directeur général de la division acquisition de Sberbank, a souligné l’importance de cette initiative. En déployant activement ces nouveaux terminaux en 2023, Sberbank permettra aux citoyens russes de bénéficier de la biométrie pour effectuer une variété d’achats. Les clients auront la possibilité de choisir le paiement biométrique lorsqu’ils passeront à la caisse. Une fois sélectionné, le système de reconnaissance faciale se mettra en marche, permettant un traitement instantané des paiements.

Les nouveaux dispositifs, dotés de caméras pour la lecture des codes QR et les paiements basés sur les données biométriques, seront installés dans les chaînes de magasins. Plusieurs milliers de terminaux équipés de caméras pour les paiements biométriques seront lancés sur le marché d’ici l’automne 2023.

La biométrie permettra aussi de s’assurer de l’identité de l’utilisateur, de le suivre… au doigt et à l’oeil !

2,7 millions de cyber attaques bloquées !

Pendant ce temps, la Banque centrale de la Fédération de Russie annonce que les banques du pays auraient repoussé 2,7 millions de cyberattaques au premier trimestre 2023. Les spécialistes de la sécurité de l’information de la Banque centrale de la Fédération de Russie notent que les cybercriminels et les escrocs ont réussi à effectuer 252 100 opérations sans le consentement des clients, à la suite desquelles 4,5 milliards de roubles de citoyens russes ont été volés. Le chef de la cybersécurité de la Banque centrale de Russie, Vadim Uvarov, indique que les malveillant ont volé la plus grande partie de l’argent par le biais de transferts via les services bancaires en ligne.

+81 de cyber attaques au Royaume-Uni

Au Royaume-Uni, la société Bridewell a interrogé plus de 100 DSI d’institutions financières britanniques pour son nouveau rapport Cybersecurity in Critical National Infrastructure Organizations: Financial Services. Il a constaté que le nombre d’attaques contre le secteur financier britannique a augmenté de 81% depuis le début du conflit armé ukrainien, ce qui est la deuxième plus forte augmentation pour les secteurs des infrastructures critiques (CNI) et la preuve des cyber-risques croissants associés à la géopolitique.

De plus, 69 % des personnes interrogées ont indiqué avoir connu une augmentation des cybermenaces au cours de la dernière année civile, les services cloud (46 %), les travailleurs à distance (39 %) et les services VPN non sécurisés (37 %) étant les principaux vecteurs d’attaques.

Un tiers (33 %) des répondants ont cité les ransomwares comme un cyber-risque clé, ce qui n’est probablement pas surprenant étant donné qu’un cinquième des incidents signalés aux régulateurs britanniques en 2021 étaient liés à des ransomwares. L’enquête a également affiché que 94 % des entreprises du secteur financier britannique ont confiance en leurs systèmes de sécurité de l’information.

Cybersécurité, Fuite de données

Exploitation d’une faille zero-day dans MOVEit Transfer

Des hackers exploitent une nouvelle vulnérabilité zero-day affectant un outil populaire de transfert de fichiers, MOVEit Transfer, utilisé par des milliers de grandes entreprises.

MOVEit Transfer, un outil a été créé par Progress Software, a publié un avis sur une faille 0Day utilisé contre son logiciel et les usagers. « Il a été découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement. Si vous êtes un client de MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates telles que décrites afin de protéger votre environnement MOVEit Transfer, en attendant que notre équipe publie un correctif », a déclaré l’entreprise.

La société a exhorté les clients à désactiver tout le trafic HTTP et HTTPS vers leur environnement MOVEit Transfer. Elle a également indiqué que les clients devraient être vigilants quant aux téléchargements de fichiers inattendus et volumineux, ainsi qu’à la création de fichiers inattendus dans certains dossiers sur toutes leurs instances MOVEit Transfer, y compris les sauvegardes.
La société a déclaré que des correctifs pour la faille sont actuellement en cours de test et seront publiés dès que possible.

Caitlin Condon, directrice principale de la recherche sur les vulnérabilités chez Rapid7, a déclaré qu’au 31 mai 2023, il y avait environ 2 500 instances de MOVEit Transfer exposées sur Internet public, la majorité étant aux États-Unis.

Le chercheur en cybersécurité Kevin Beaumont a partagé des images d’au moins une instance connectée au Département de la Sécurité Intérieure des États-Unis. « Chaque instance en ligne est toujours vulnérable. Cela inclut certaines grandes banques, etc. – Les webshells ont commencé à être implantés il y a quelques semaines, plusieurs incidents se sont produits dans différentes organisations pendant cette période où des activités ont été détectées.« 

Condon a expliqué qu’il y avait des preuves que les hackers avaient déjà automatisé l’exploitation de la faille, et BleepingComputer a rapporté que les hackers ont déjà commencé à télécharger en masse des données provenant des entreprises affectées. L’attaque contre MOVEit serait la dernière en date visant un outil populaire de transfert de fichiers utilisé par de grandes organisations cette année.

En février 2023, des groupes de ransomwares, dont Cl0p, ont exploité une vulnérabilité affectant le produit de transfert de fichiers GoAnywhere MFT de Fortra. Les gouvernements de Toronto et de Tasmanie avaient été touchés par cet incident, aux côtés de géants de l’entreprise tels que Proctor & Gamble, Virgin et Hitachi. Une faille pourtant corrigée 1 an auparavant.

Le groupe de ransomwares derrière cette exploitation, Cl0p, était déjà responsable d’une attaque généralisée contre un autre outil de transfert de fichiers en 2021, Accellion. A l’époque, l’Université du Colorado, Kroger, Morgan Stanley et Shell avaient été impactés.

Cybersécurité, Piratage

Un botnet basé au Brésil cible les hispanophones

Un groupe de pirates présumés vivant au Brésil utilise un botnet jusqu’alors non identifié pour cibler les boîtes de réception des e-mails des hispanophones à travers les Amériques.

Ce botnet, baptisé « Horabot« , est utilisé dans le cadre d’une campagne qui a débuté en novembre 2020. Il infecte les machines victimes avec un cheval de Troie bancaire et un outil de spam. Les attaquants cherchent principalement à voler les informations d’identification et les données financières des victimes, ainsi qu’à envoyer des e-mails de phishing à tous les contacts validés présents dans la boîte aux lettres de la victime afin de propager l’infection. Un botnet est un groupe d’ordinateurs infectés par des logiciels malveillants, permettant à un pirate de les contrôler à distance.

Ce botnet est particulièrement remarquable car il permet aux pirates de prendre le contrôle de la boîte aux lettres Microsoft Outlook de la victime, d’exfiltrer les adresses e-mail de chaque contact et d’envoyer en masse des e-mails de phishing avec des pièces jointes HTML malveillantes, à partir des propres serveurs de messagerie de l’organisation. Les attaquants utilisent cette technique pour minimiser les risques de détection de leur infrastructure de phishing.

Chetan Raghuprasad, chercheur sur les menaces chez Cisco Talos, a déclaré à Recorded Future News : « Il s’agit d’une technique d’ingénierie sociale efficace qui aide à compromettre les victimes, car les e-mails semblent être envoyés à partir d’une adresse e-mail connue et sont délivrés via un serveur de messagerie légitime d’organisations légitimes. Ces adresses e-mail ou serveurs de messagerie sont généralement inscrits sur la liste blanche et passent par les vérifications SPF (Sender Policy Framework) sur les serveurs de messagerie de l’organisation du destinataire. De plus, il devient difficile pour les défenseurs de suivre l’infrastructure de phishing de l’attaquant et de bloquer ces e-mails.« 

Des pirates situés au Brésil

Le domaine utilisé pour héberger les outils des attaquants et les données exfiltrées était associé à une personne basée dans ce pays.

Le nom de domaine ressemblait au domaine légitime de l’agence fiscale mexicaine, une tactique que l’attaquant a probablement adoptée pour dissimuler le trafic malveillant.

La campagne vise principalement des personnes au Mexique, mais des infections ont également été observées en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama.

Les courriels de phishing analysés par les chercheurs indiquent que le groupe cible des organisations de divers secteurs d’activité, notamment la comptabilité, la construction, l’ingénierie, l’investissement et la distribution en gros.

Le malware bancaire utilisé dans le cadre de cette campagne vise à collecter les identifiants de connexion des victimes pour divers comptes en ligne, ainsi que des informations sur leur système d’exploitation et même des frappes au clavier.

Les chercheurs ont également constaté que le cheval de Troie est capable de voler des codes de sécurité à usage unique ou des jetons logiciels souvent utilisés par les applications bancaires en ligne pour vérifier les utilisateurs.

En plus de cibler les boîtes de réception Outlook, cet outil de spam compromet également les comptes de messagerie Web Yahoo et Gmail, permettant aux attaquants de prendre le contrôle de ces boîtes aux lettres, d’exfiltrer les adresses e-mail des contacts et d’envoyer du spam.

Une cyber attaque réfléchie

L’infrastructure utilisée par les pirates a été enregistrée en novembre 2020, ce qui suggère une date possible de début de la campagne.

L’attaque commence généralement par un e-mail de phishing en espagnol sur le thème de l’impôt sur le revenu. L’e-mail prétend être une notification de reçu fiscal et incite les victimes à ouvrir la pièce jointe HTML malveillante.

Une fois ouverte, la pièce jointe HTML redirige la victime vers une autre page HTML malveillante. Les victimes sont ensuite invitées à cliquer sur un lien intégré qui télécharge un fichier RAR.

Lorsque le fichier RAR est ouvert, plusieurs fichiers sont téléchargés, ce qui provoque le redémarrage de la machine après 10 secondes. Au moins l’un de ces fichiers malveillants est rendu légitime en utilisant l’icône Internet Explorer.

Les charges utiles utilisées par les attaquants dans cette campagne sont conçues pour voler des informations sensibles, échapper à la détection et diffuser des e-mails de phishing supplémentaires aux contacts de la victime.

« Le cheval de Troie bancaire cible des informations sensibles telles que les identifiants de connexion et les codes de sécurité des transactions financières, enregistre les frappes au clavier et manipule les données du presse-papiers de la machine victime. Le cheval de Troie possède également des capacités d’anti-analyse et d’anti-détection pour échapper aux environnements de bac à sable et virtuels.« 

Les chercheurs ont noté que le module bancaire de ce cheval de Troie utilise des techniques similaires à celles des chevaux de Troie bancaires brésiliens signalés précédemment par d’autres chercheurs en sécurité chez ESET et Check Point.

En outre, ce cheval de Troie possède des capacités de gestion de bureau à distance, permettant aux pirates de créer et de supprimer des répertoires, de télécharger des fichiers, et bien plus encore.

backdoor, Cybersécurité

Kimsuky, le code malveillant made un Corée du Nord

Les États-Unis et la Corée du Sud avertissent sur les méthodes d’espionnage du groupe de piratage nord-coréen Kimsuky, alias Thallium.

Dans un récent avertissement conjoint, les agences de renseignement des États-Unis et de la Corée du Sud ont décrit les méthodes d’espionnage employées par Kimsuky, un groupe de piratage nord-coréen notoire. Ce groupe cible principalement les groupes de réflexion, les universités et les médias dans le but de recueillir des renseignements. Selon l’avis publié jeudi, les pirates de Kimsuky utilisent des tactiques d’usurpation d’identité, se faisant passer pour des sources fiables afin de gagner la confiance de leurs cibles et d’obtenir des informations sur les événements géopolitiques, les stratégies de politique étrangère et les efforts diplomatiques des pays considérés comme une menace pour le régime nord-coréen.

Ces informations leur permettent également de créer des e-mails de phishing plus crédibles et plus percutants.

Il convient de noter que ce n’est pas la première fois que les États-Unis et leurs alliés mettent en garde contre les activités de Kimsuky, connu également sous les noms de TA406 et Thallium. Le groupe est actif depuis 2012 et cible principalement les diplomates, les organisations non gouvernementales, les groupes de réflexion et les experts en questions liées à la péninsule coréenne.

Kimsuky est contrôlé par le Bureau général de reconnaissance

Les agences de renseignement et les chercheurs en cybersécurité affirment que Kimsuky est contrôlé par le Bureau général de reconnaissance (RGB), l’organisation de renseignement militaire nord-coréenne, qui a été sanctionné par le Conseil de sécurité des Nations unies.

En réponse aux récentes activités de la Corée du Nord, la Corée du Sud a imposé de nouvelles sanctions aux membres présumés de Kimsuky, les accusant d’être impliqués dans le récent échec de lancement d’un satellite espion par la Corée du Nord. Selon le ministère sud-coréen, Kimsuky aurait participé, directement ou indirectement, au développement de satellites nord-coréens en volant des technologies avancées liées au développement d’armes, aux satellites et à l’espace.

La Corée du Nord a rejeté les critiques émanant des États-Unis et d’autres pays concernant son programme spatial, affirmant son droit souverain à l’exploration spatiale.

Les pirates de Kimsuky utilisent souvent des attaques de harponnage pour obtenir un premier accès à leurs cibles. Ils se font passer pour de vrais journalistes, universitaires ou chercheurs de groupes de réflexion ayant des liens crédibles avec les cercles politiques nord-coréens. Leur objectif est de s’introduire illégalement dans les documents, les recherches et les communications privées de leurs victimes.

Les renseignements obtenus grâce à ces opérations seraient d’une importance capitale pour la Corée du Nord

Les campagnes d’usurpation d’identité, telles que celles menées par Kimsuk y, sont dangereuses car certaines cibles peuvent sous-estimer la menace posée par ces attaques. Soit elles ne considèrent pas leurs recherches et leurs communications comme sensibles, soit elles ne sont pas conscientes de la manière dont ces efforts alimentent la stratégie plus large du régime nord-coréen en matière de cyberespionnage, a souligné l’avis.

Les opérations de harponnage de Kimsuky commencent généralement par une recherche et une préparation approfondies. Les pirates utilisent des informations disponibles publiquement pour identifier des cibles potentielles, puis adaptent leurs personnages en ligne afin de paraître plus réalistes et attrayants pour leurs victimes. Ils créent également des adresses e-mail qui ressemblent à celles de personnes réelles ou à des services Internet et sites de médias courants.

Les agences de renseignement qui ont publié le rapport estiment que la sensibilisation accrue à de telles campagnes et une connaissance de base en matière de cybersécurité pourraient réduire l’efficacité des opérations de harponnage menées par Kimsuky.

Les États-Unis encouragent les victimes à signaler les activités suspectes, y compris celles liées aux présumés pirates nord-coréens. Dans ce contexte, le programme de récompenses pour la justice du Département d’État peut accorder une récompense pouvant atteindre 5 millions de dollars en échange d’informations pertinentes.

La menace persistante posée par les activités de piratage d’État de Kimsuky souligne l’importance de la coopération internationale en matière de cybersécurité et de la vigilance continue des gouvernements, des institutions académiques et des médias. Alors que les groupes de piratage étatiques continuent d’évoluer et de perfectionner leurs techniques, il est essentiel de renforcer les mesures de protection et de sensibilisation pour faire face à cette menace croissante dans le cyberespace.

Kimsuky alias TA406 / Thallium

Ce groupe nord-coréen de menaces persistantes avancées (APT), est aussi connu sous le nom de TA406. En mars 2023 une nouvelle campagne de spearphishing ciblant des experts de la péninsule coréenne, selon les avertissements émis par les agences gouvernementales allemandes et sud-coréennes. La campagne utilise deux méthodes d’attaque : l’infection des téléphones Android via une application malveillante sur Google Play et l’utilisation d’une extension malveillante du navigateur web Chromium. A l’époque, l’avis conjoint publié par l’Agence allemande de protection constitutionnelle et le Service national de renseignement de la République de Corée décrivait une campagne très ciblée axée sur des victimes connues. Les agences de renseignement sud-coréennes estiment que cette attaque visait principalement les experts de la péninsule coréenne et de la Corée du Nord. Cependant, étant donné que les techniques utilisées peuvent être universellement appliquées, elles pouvaient également être utilisées par des groupes de réflexion en affaires étrangères et en sécurité du monde entier, ainsi que par des individus non spécifiés.

Comme lors de précédentes campagnes, Kimsuky utilise des attaques de spearphishing pour obtenir un accès initial en se faisant passer pour des administrateurs de portails et des connaissances. Dans certains cas, les e-mails incitent à l’installation d’une extension malveillante sur les navigateurs basés sur Chromium, qui est automatiquement activée. Lorsque les victimes ouvrent Gmail, le programme vole leurs e-mails, qui sont envoyés à un serveur appartenant aux attaquants.

Dans une autre attaque, les acteurs de Kimsuky ajoutaient une application malveillante à la console Google Play pour des « tests internes » et donnaient la permission à une personne ciblée d’y accéder. Après avoir obtenu les identifiants de connexion lors d’une attaque de spearphishing, ils téléchargaient l’application via le compte de la victime, qui est ensuite synchronisée sur leur smartphone Android. Selon l’avis, les acteurs ont volé à la fois des e-mails et des données stockées dans le cloud.

Une alerte d’octobre 2020 de l’Agence américaine de cybersécurité et d’infrastructure décrivait déjà Kimsuky comme étant « probablement chargé par le régime nord-coréen d’une mission mondiale de collecte de renseignements ». Dans certains cas, les pirates se faisaient passer pour des journalistes sud-coréens pour accéder à leurs cibles.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile