Archives par mot-clé : espionnage

Android, Antivirus, APT, backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Espionnae, ID, Leak, Logiciels, Mise à jour, Particuliers, Piratage, Sécurité, Securite informatique, Smartphone, Téléphonie, Vie privée

Skygofree : un puissant logiciel de surveillance pour Android

Skygofree : des chercheurs ont découvert un implant mobile avancé, actif depuis 2014 et conçu pour une cybersurveillance ciblée, peut-être afin de constituer un produit de « sécurité offensive ». Cet implant, nommé Skygofree, comporte des fonctionnalités inédites, telles que l’enregistrement audio suivant la géolocalisation via des appareils infectés. Le spyware se propage à travers des pages web imitant celles de grands opérateurs mobiles.

Skygofree est un logiciel-espion élaboré, à plusieurs modules, qui permet à des pirates de prendre totalement le contrôle à distance d’un appareil infecté. N’ayant cessé d’évoluer depuis la création de sa première version fin 2014, il est désormais capable d’intercepter les conversations et les bruits ambiants lorsque l’appareil infecté se trouve à un endroit donné, une fonctionnalité jamais vue jusque-là. Parmi les autres capacités avancées et inédites figurent des services d’accessibilité permettant de pirater des messages WhatsApp ou encore la possibilité de connecter l’appareil infecté à des réseaux Wi-Fi contrôlés par des individus malveillants.

Un logiciel espion très élaboré qui prend totalement le contrôle de l’appareil infecté.

L’implant exploite diverses vulnérabilités pour obtenir un accès root. Il peut également prendre des photos et des vidéos. Capturer des appels. Voler des SMS. Lancer une géolocalisation de l’appareil, des événements de l’agenda voire des informations professionnelles stockées en mémoire. Une fonction spéciale permet de contourner une technique d’économie de la batterie employée par un grand fabricant : l’implant s’ajoute alors à la liste des « applications protégées » de façon à ne pas être désactivé automatiquement lorsque l’écran est éteint.

Les pirates paraissent également s’intéresser aux utilisateurs Windows et les chercheurs ont découvert un certain nombre de modules développés récemment et ciblant cette plate-forme.

La plupart des pages web factices servant à répandre l’implant ont été enregistrées en 2015 alors que, selon les données télémétriques de Kaspersky Lab, la campagne de diffusion était à son paroxysme. La campagne est toujours en cours et le domaine le plus récent a été enregistré en octobre 2017. Les données indiquent plusieurs victimes à ce jour, toutes en Italie.

« Un malware mobile avancé est très difficile à identifier et à bloquer, et les développeurs qui se cachent derrière Skygofree en ont clairement tiré profit, en créant et faisant évoluer un implant capable d’espionner largement ses cibles sans éveiller les soupçons. Les éléments que nous avons découverts dans le code malveillant et notre analyse de l’infrastructure nous portent à croire avec un haut degré de certitude que les auteurs des implants Skygofree travaillent par une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam », commente Alexey Firsh, analyste en malware spécialisé dans l’étude des attaques ciblées chez Kaspersky Lab.

Pour s’en protéger, être attentifs aux emails entrants, et équipés de logiciels de sécurité.

Les chercheurs ont identifié 48 commandes différentes pouvant être mises en œuvre par les pirates, pour un maximum de souplesse d’utilisation.

Pour assurer la protection contre la menace des malwares mobiles avancés, Kaspersky Lab recommande vivement l’installation d’une solution de sécurité fiable, capable d’identifier et de bloquer ces menaces sur les appareils des utilisateurs. Les utilisateurs sont en outre invités à faire preuve de prudence lorsqu’ils reçoivent des e-mails provenant de personnes ou d’entreprises inconnues ou comportant des demandes ou pièces jointes inattendues et de toujours vérifier à deux fois l’intégrité et l’origine des sites web avant de cliquer sur des liens. En cas de doute, mieux vaut contacter l’exploitant du site pour en avoir le cœur net. Les administrateurs système, pour leur part, doivent activer le contrôle des applications dans leur solution de sécurité mobile afin de maîtriser les programmes potentiellement dangereux vulnérables à cette attaque.

Kaspersky Lab détecte les versions de Skygofree sur Android sous HEUR:Trojan.AndroidOS.Skygofree et HEUR:Trojan.AndroidOS.Skygofree.b, et les versions Windows sous UDS:DangerousObject.Multi.Generic.

De plus amples informations, notamment la liste des commandes de Skygofree, les indicateurs d’infection (IoC), les adresses des domaines et les modèles d’appareils ciblés par les modules de l’implant, consultez le site Securelist.com.

Notes

Skygofree est nommé ainsi parce que le mot a été utilisé dans l’un des domaines. Le malware n’a rien à voir avec Sky, Sky Go ou une quelconque filiale de Sky, et n’affecte pas le service ou l’application Sky Go.

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Piratage

Backdoor : fichiers Publisher peuvent entrainer des vols de données

Une vague de spams ciblés infecte actuellement les ordinateurs Windows via une backdoor, permettant aux cybercriminels de dérober des informations sensibles d’entreprises.

Backdoor dans vos mails ? Les chercheurs antispam des Bitdefender Labs ont identifié quelques milliers d’e-mails contenant des pièces jointes ayant .pub, comme extension, et se faisant passer pour des commandes ou factures de produits. Les expéditeurs de ces courriers électroniques usurpent l’identité d’employés travaillant le plus souvent dans des petites et moyennes entreprises  au  Royaume-Uni ou en Chine, mais pas seulement, d’autres entreprises plus importantes sont également ciblées.

Les destinataires sont invités à ouvrir les fichiers joints avec Microsoft Publisher, un logiciel de Publication Assistée par Ordinateur (PAO), intégré à Microsoft Office 365. Publisher est communément utilisé pour éditer et mettre en page des textes, ou encore créer des flyers, newsletters, des e-mailings, etc.

« .pub n’est pas une extension de fichier souvent utilisée pour diffuser des logiciels malveillants », déclare Adrian Miron, Chef de la division Antispam des Bitdefender Labs. « Les spammeurs ont choisi ce type de fichiers, car, en général, les gens ne se doutent pas qu’il puisse être un vecteur d’infection ».

Backdoor : porte cachée 2.0

L’extension .pub infectée contient un script (VBScript) qui intègre une URL agissant comme un hôte distant. De là, le malware télécharge un dossier auto-extractible contenant un script AutoIt, outil qui sert à exécuter le script et un fichier chiffré en AES-256. Les chercheurs ont remarqué que ce fichier chiffré peut être déchiffré en utilisant une clé dérivée de l’algorithme MD5 (Message Digest 5), d’un texte écrit à l’intérieur du fichier AutoIt.

Une fois que le fichier est déchiffré et installé, les attaquants ont alors accès au système via une backdoor et peuvent contrôler les ressources sur l’ordinateur compromis. Le malware peut mémoriser des séquences de touches pour enregistrer les mots de passe et noms d’utilisateurs, dérober des informations de connexion à partir des navigateurs Web ou des e-mails, afficher les données du système et  réaliser d’autres actions intrusives.  « Nous avons des raisons de croire que ce type d’attaque provient de l’Arabie Saoudite et de la République tchèque », ajoute Adrian Miron.

Le code malveillant est détecté sous le nom de W97M.Downloader.EGF, ainsi que la charge utile de la backdoor comme Generic.Malware.SFLl.545292C0. [MD5 : 8bcaf480f97eb43d3bed8fcc7bc129a4]. Pour rester protégé contre ce type de menaces, il est conseillé aux entreprises d’installer un filtre antispam fiable. Les utilisateurs doivent éviter d’ouvrir et de télécharger des pièces jointes suspectes provenant de sources inconnues.

Cyber-attaque, Cybersécurité, Espionnae, Mise à jour, Particuliers, Piratage, Social engineering, Virus

Scarlet Mimic : Campagne d’espionnage politique

Depuis quatre ans, une attaque informatique baptisée Scarlet Mimic vise des ONG protectrices de minorités Chinoises.


La Chine, c’est 56 « ethnies ». Le Han représentent 92% de la population. Les revendications indépendantistes existent. Le plus connu étant celui du Tibet et les Ouïghours. Mais on y trouve aussi la Mongolie Intérieure avec les Dariangs, Ordos, Khalkhas ou encore les Zhuang. Bref, ça fait du monde.

Au cours des sept derniers mois, l’Unité 42 de PaloAlto a repéré une série d’attaques attribuées à un groupe de pirates informatiques baptisés « Scarlet Mimic. » Les piratages ont débuté il y a plus de quatre ans et leur modèle de ciblage suggère que la mission principale de cet adversaire est de recueillir des informations sur des militants en charge des droits des minorités Chinoises. Il n’y a pas de preuves reliant directement ces attaques à une source gouvernementale. Les cibles font cependant pencher les regards vers le gouvernement chinois.

Les attaques de Scarlet Mimic ont visé les Ouïghours et des militants Tibétains, ainsi que des internautes intéressés par leurs causes. La minorité musulmane turcophone résidant principalement dans au nord-ouest de la Chine a été la cible de plusieurs attaques sophistiquées ces derniers mois.

backdoor, Cybersécurité, Facebook, ID, Identité numérique, Mise à jour, Particuliers, Patch

Addiction : Facebook a testé une application secrète

Facebook a testé, en secret, une application Android dédiée à l’addiction de ses utilisateurs au réseau social.

Facebook a mené des tests secrets pour déterminer l’ampleur de la dépendance de ses utilisateurs sous Android. Comme des mannequins dédiés aux crashs tests automobiles, les utilisateurs de l’application Facebook pour Android étaient sous la surveillance du géant américain sans avoir été informés des tests.

Des « analyses » menées de manière à ce que Facebook fût capable de déterminer le niveau d’addiction de l’utilisateur de la dite application. Facebook voulait savoir si l’internaute venait via un navigateur, via Google Play. Bref, du marketing au parfum « Big brother ». Avec un milliard d’utilisateurs Android, il y a une forte motivation pour Facebook de tester ce genre de chose. La société de Mark Zuckerberg aurait aussi testé cette méthode pour sa propre boutique (app store).

Android, Cybersécurité, Espionnae, ios, Particuliers, Sécurité, Smartphone, Social engineering, Vie privée, Windows phone

NSA : l’espionnage toujours en cours

Le Wall Street Journal a rapporté que la NSA a espionné le Premier ministre israélien Benjamin Netanyahu et ses principaux collaborateurs.

Le président Obama et son administration continuent l’espionnage des alliés et alliés « pour du semblant ». Le Wall Street Journal a confirmé l’espionnage numérique du Premier ministre israélien Benjamin Netanyahu et de ses principaux collaborateurs. Comme le rapporte le WSJ, une mise sur écoute « de certaines conversations privées avec les législateurs américains et des groupes américano-juif». La NSA voulait clairement emmagasiner de l’information sur les tentatives de sabotage des accords avec l’Iran.

Ce qui est « marrant » dans cette histoire, c’est de lire les propos de toutes sortes d’internautes, tel que le politique Pete Hoekstra. Ce dernier a passé de nombreuses années à défendre les programmes de surveillance de la NSA. Aujourd’hui, il s’indigne de cette mise sur écoute massive de dirigeants israéliens. En 2014, Pete Hoekstra se moquait du Brésil et de l’Allemagne. Deux nations qui montraient du doigt l’espionnage de ses dirigeants par la National Security Agency.

Cybersécurité, Logiciels, Particuliers, Social engineering, Tor, Twitter

Piratage de comptes Twitter, une fuite que le petit oiseau prend au sérieux

Plusieurs centaines d’utilisateurs de Twitter alertés par le site de micro blogging suite à une attaque informatique qui aurait été fomentée par un gouvernement étranger.

Twitter a-t-il pris le chemin de la communication de Facebook ? Il faut dire aussi que le petit oiseau peine à prendre le pouvoir des réseaux de micro blogging dominé des pieds et de la tête par Facebook.

Comme pour Facebook en octobre, Twitter vient d’alerter plusieurs centaines de ses utilisateurs à la suite de la découverte d’une tentative de piratage de comptes. Comme pour Facebook, l’attaque aurait été signée par un gouvernement étranger. Une faille de sécurité informatique inconnue qui aurait été utilisée par des pirates « soutenus par un Etat » ? Twitter indique, dans les courriels envoyés lors du week-end du 12/13 décembre 2015, qu’il écrit à « titre de précaution« .

Bref, une base de données qui a dû être « tapée » par des pirates Russes, Chinois, Indiens… retrouvée dans le blackmarket par une société de sécurité informatique. Rien de nouveau sous le soleil tant les bases de données de ce type pullulent.

Pour le cas de Twitter, des adresses mail, des adresses IP et des numéros de téléphone ont été retrouvées. « Nous enquêtons activement sur cette question […] rien ne prouve à ce stade qu’ils aient obtenu des informations sur votre compte« . Twitter propose aux internautes d’utiliser TOR pour protéger leurs communications passant par Internet.

Avec 2,5 millions d’utilisateurs quotidiens, le réseau Tor est système le plus populaire au monde pour protéger l’anonymat des utilisateurs d’Internet.

Base de données, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Les Services de Renseignements Danois se penchent sur la sécurité informatique

Dans son rapport baptisé « Intelligence Risk Assessment 2015 – An assessment of developments abroad impacting on Danish security« , le Danish Defense Intelligence Service, revient sur les problématiques rencontrés par les services secrets Danois.

Dans son dernier rapport en date, baptisé « Intelligence Risk Assessment 2015« , les Services de Renseignements Danois (DDIS) reviennent sur une année 2015 chargée. Le Danish Defense Intelligence Service s’inquiète de l’évolution des risques d’espionnage contre les institutions publiques et les entreprises privées danoises. « Le cybercrime constitue la plus grave des menaces au Danemark et pour les intérêts Danois » souligne le FE. « Ce type d’espionnage est principalement mené par des Etats et des groupes parrainés par des États« .

Au cours des dernières années, le cyber espionnage contre le Danemark a considérablement augmenté, et les méthodes et techniques employées par les auteurs sont devenues de plus en plus sophistiquée. « L’espionnage cybernétique contre les autorités danoises et les entreprises est très élevée » confirme DDIS. Pour le Danish Defense, il est fort probable que plusieurs États vont exploiter l’Internet à des fins offensives. DDIS cite d’ailleurs l’État islamique en Irak et le Levant (ISIL) et ses filiales régionales.

Le Service de Renseignement Danois termine son rapport sur le danger que peuvent être les prestataires de services. Un exemple, celui vécu par certains services de la police locale dont les serveurs avaient été attaqués par le biais d’un fournisseur de services. « Des dispositifs de faibles qualités constituent un risque que des acteurs malveillants savent exploiter, comme par exemple les routeurs qui sont exploités pour mener espionnage ou sabotage« .

backdoor, Cybersécurité, Espionnae, ID, Identité numérique, IOT, Mise à jour, Particuliers, Patch

Des ondes non audibles capables de lancer votre micro

Méfiez-vous des annonces publicitaires qui peuvent utiliser le son de vos enceintes pour permettre d’écouter votre téléphone, TV, tablette, et PC.

Supposez que votre navigateur Internet ouvre un site web avec une pub, et que celle-ci actionne par ondes acoustiques non-audibles le micro de votre smartphone. De la science-fiction ? Le Centre pour la démocratie et de la technologie (Center for Democracy and Technology) vient d’alerter la Commission Fédérale Américaine, la FTC, que cette possibilité était loin d’être à négliger.

Des entreprises (SilverPush, Drawbridge, Flurry) travaillent sur les moyens de suivre un utilisateur via les dispositifs informatiques qu’il utilise. Adobe développe également des technologies de suivi multi-appareils. A la vue du nombre de failles exploitées par les malveillantes dans les produits Adobe tels que Flash ou PDF, voilà qui a de quoi inquiéter.

La société Californienne SilverPush travaille sur des balises exploitant des ultrasons qu’un homme ne peut pas entendre. « SilverPush intègre également des signaux dans des publicités télévisées » confirme le document du CDT. L’idée de ce traçage, savoir quand le téléspectateur à vue la publicité. A-t-il zappé ? Est-il resté devant ? Cette idée semble être tirée de BadBIOS, un malware découvert par le chercheur Dragos Ruiu, qui utilise, lui aussi, les ultrasons dans ses basses besognes. (ArtTechnica)

backdoor, Cybersécurité, Social engineering

Du matériel d’espionnage découvert dans une école parisienne

Un commentaire

Découverte d’un matériel électronique d’espionnage dans les locaux d’une école du Nord-Est Parisien. Il visait des anarchistes locaux.

Le blog du groupe d’anarchistes La Discordia revient sur la découverte d’un étrange matériel d’espionnage qui semble avoir visé la bibliothèque de ce groupe politique parisien. Une caméra, une connexion GSM, du matos qui semble être une pirate box, un transmetteur GSM Jablotron (290€), un routeur de chez PEPLink et une puce GSM Orange. Le tout caché dans une boite « faite maison », raccordée à un chouette petit pc de la famille des Fit PC. Dans ce cas, un fit-PC2 à 400 euros, fabriqué en Israël. Bref, plus de 1.000€ de matos pour espionner cette bibliothèque qui est née en avril 2015 et qui s’est donnée comme mission de partager des informations sur l’actualité du mouvement révolutionnaire et anti-autoritaire à travers le monde.

backdoor, Chiffrement, cryptage, Cybersécurité, Téléphonie

Une opération d’espionnage de la NSA cause la mort d’un employé Grec

Un document sorti des données volées par Edward Snowden explique comment une opération de la NSA a causé la mort d’un employé des télécoms grecs.

En 2005, Costas, un employé des télécoms Grec trouve la mort d’une manière mystérieuse. L’affaire s’est déroulée dans un vieux quartier d’Athènes, à proximité du parc archéologique d’Akadimia Platonos. Le technicien de 38 ans n’aurait jamais imaginer mourir sur les terres de Platon, pendu dans une salle de bain. En cause, selon un document diffusé par Edward Snowden via le site The intercept, la NSA.

Le patron de cet employé, Vodafone, avait découvert une écoute téléphonique sophistiquée visant une centaine de politiques grecs, y compris le Premier ministre Kostas Karamanlis et son épouse, Natassa; le maire d’Athènes; membres du cabinet ministériel; ainsi que des journalistes. Un Watergate Grec qui après les Jeux Olympiques d’Athènes, en 2004.

Dix ans plus tard, la mort de Costas revient sur le devant de la scène via une enquête gouvernementale qui annonce clairement travailler sur ce qui semble avoir été une opération secrète américaine, en Grèce. Une coopération Grèce/NSA pour contrer de potentiels actes de terrorismes lors des JO et du matériel d’écoute qui ne sera pas retiré après les Olympiades, mais utilisé ensuite contre le gouvernement Grec.