La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • La division d’avions commerciaux du groupe Airbus visée par une intrusion malveillante
    • La State Bank of India victime d’une fuite de données
    • Failles de sécurité et risques d’attaques sur deux routeurs Cisco (RV320 et RV325)
    • Le ransomware LockerGoga suspecté d’être à l’origine de l’attaque contre la société Altran
    • Le point sur CookieMiner, un malware visant les utilisateurs de Mac
    • Des montres connectées exposeraient la localisation de leurs utilisateurs
    • Notre retour d’expérience sur la fuite récente de la méga base de données dont « Collection #1 »
    • Notre cellule arabophone revient sur le projet Raven qui aurait ciblé les opposants des Emirats Arabes Unis
    • Focus sur le mode opératoire et les cibles du groupe APT39

    Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Aérospatial

Airbus victime d’une intrusion malveillante visant sa division d’avions commerciaux
Le 30 janvier dernier, le groupe aéronautique européen Airbus a annoncé dans un communiqué avoir été victime d’un « incident de cybersécurité », qui aurait permis une intrusion non autorisée au sein des systèmes informatiques de la division d’avions commerciaux du groupe. Cette intrusion aurait permis aux attaquants d’accéder à des données confidentielles, parmi lesquelles des données à caractère personnel. Selon Airbus, il s’agirait de « coordonnées professionnelles et d’identifiants informatiques d’employés d’Airbus en Europe ». L’incident aurait été reporté à la CNIL et une enquête serait en cours pour tenter de déterminer si d’autres données auraient été consultées ou dérobées. Cette intrusion n’aurait toutefois pas eu d’impact sur l’activité commerciale du groupe.
En savoir plus

Finance

Une base de données appartenant à la banque d’état indienne exposée en ligne
Un chercheur en sécurité informatique anonyme aurait détecté une base de données exposées sur un serveur, et appartenant à la State Bank of India (SBI), banque publique détenue par l’état fédéral indien. Le serveur en question, accessible sans aucune protection, correspondrait à celui utilisé par le service gratuit « SBI Quick » proposé par la banque indienne et qui permet aux clients de recevoir le solde de leur compte, un mini relevé bancaire et d’autres informations (non précisées) en contactant par SMS ou par appel un numéro dédié. La base de données identifiée aurait exposé des millions de messages partagés entre les clients et la banque depuis le mois de décembre 2018, et contenant les informations susmentionnées. Le serveur aurait été sécurisé depuis mais aucune information ne permet de déterminer à quand remonte la faille.
En savoir plus

Télécommunications

Les routeurs Cisco ciblés par une attaque, un correctif est disponible
Deux routeurs Cisco très populaires, et utilisés par des grandes entreprises (RV320/RV325) seraient la cible d’une attaque depuis le 25 janvier dernier, suite à la découverte de deux failles de sécurité. La première (CVE-2019-1653) permettrait à un pirate d’obtenir à distance des informations sensibles sur la configuration du retour sans avoir le mot de passe. La deuxième vulnérabilité (CVE-2019-1652) permettrait une injection et une prise de contrôle totale des équipements. Cisco a été averti des deux vulnérabilités et a publié un correctif, disponible depuis le 23 janvier. L’attaque aurait débuté quelques heures après que le chercheur en sécurité David Davidson ait publié une preuve de concept de ces failles sur GitHub. Selon Troy Mursch, chercheur chez Bad Packets, il y aurait actuellement 9.657 routeurs vulnérables dont 6.247 sont des RV320 et 3.410 des RV325.
En savoir plus ici et

Numérique

CookieMiner, un malware qui dérobe les cryptomonnaies des utilisateurs de Mac
Les chercheurs en sécurité de « Unit 42 de Palo Alto » ont récemment découvert un malware permettant de voler des cryptomonnaies. Baptisé CookieMiner, et basé sur OSX.DarthMiner ce malware tenterait de dérober les identifiants de connexion de plateformes d’échange de cryptomonnaies telles que Coinbase, Bittrex, Binance, poloniex, Bitstamp et MyEtherWallet. Il ciblerait également les mots de passe stockés dans Chrome ainsi que les messages texte présents au sein des sauvegardes iOS d’iTunes. CookieMiner serait capable de contourner l’authentification à deux facteurs des plateformes de cryptomonnaies, et donc de dérober les cryptomonnaies détenues par les victimes.
En savoir plus

Des enfants géo localisables via leurs montres connectées
Une vulnérabilité au sein du GPS d’une montre connectée pour enfants exposerait en temps réel la localisation de près de 35 000 d’entre eux. Ce sont des chercheurs de la société de sécurité informatique Pen Test Partners qui auraient mis en avant la faille affectant la montre Gator de la marque TechSixtyFour. D’après eux, la base de données qui stocke l’ensemble des données personnelles relatives au propriétaire d’une de ces montres (à savoir : les coordonnées GPS, le nom, les coordonnées de ses parents, etc.) serait accessible publiquement. Une faille au sein du système de contrôle serait à l’origine de la vulnérabilité : le système en question ne parviendrait pas à déterminer si un utilisateur demandant l’accès à la base de données aurait ou non le bon niveau de privilèges lui permettant d’y accéder. Cette vulnérabilité aurait été corrigée, néanmoins les chercheurs n’excluent pas la possibilité que cette backend ait été exploitée sur d’autres montres connectées.
En savoir plus ici et

Ingénierie

Le ransomware LockerGoga potentiellement utilisé dans l’attaque ciblant Altran
Le 24 janvier dernier, la société d’ingénierie et de conseils en innovation Altran a subi une attaque informatique. Compte-tenu de l’ampleur de celle-ci, la direction d’Altran aurait choisi de déconnecter temporairement ses systèmes d’information. D’après les porte-parole du Groupe, l’attaque se serait limitée à des opérations se déroulant en Europe et il n’y aurait « aucun vol de données ni aucun cas de propagation de l’incident à des clients ».
Des chercheurs en sécurité se seraient penchés sur l’échantillon de code malveillant afin de déterminer le type d’attaque utilisé. L’infection des systèmes pourrait provenir, selon eux, du ransomware LockerGoga, détecté plus tôt au mois de janvier par le groupe de chercheurs MalwareHunter Team. Bien que très lent et peu sophistiqué, LockerGoga utiliserait un certificat valide ce qui réduirait les chances de détection de la part des victimes. Autre détail dans une note visible par la victime une fois l’ensemble de ses fichiers chiffrés, les pirates se proposeraient d’envoyer un échantillon de fichiers déchiffrés afin de prouver qu’ils détiennent bien la clé de déchiffrement.
En savoir plus

Tendances

Retour sur l’analyse par notre service de CTI de la méga base de données d’identifiants fuités contenant « Collection #1 »
Les équipes techniques du service de Cyber Threat Intelligence d’Intrinsec ont collecté et analysé un fichier de 600 Go contenant notamment la base de données « Collection #1 » qui avait fait l’objet d’une première analyse par Troy Hunt le 17 janvier dernier. Cette méga base de données, traitée pour l’ensemble de nos clients, totalise 21 955 299 500 identifiants compilés au sein de plus de 9 000 fichiers. Ces entrées (de type « identifiants + mot de passe »), ne figuraient dans aucune autre base de données analysée au préalable par la Cellule de CTI, et tous  nos clients ont été touchés par cette fuite de données massive. Les informations exposées au sein de ces bases de données, en circulation notamment sur plusieurs communautés du Deep Web, sont susceptibles d’être exploitées à des fins malveillantes (phishing, vol de données via des accès non autorisés à des comptes personnels ou professionnels). Une requête simple sur le domaine « gouv.fr » a permis de faire ressortir 139 581 résultats.
En savoir plus

 

Ecosystème moyen-oriental

Le projet Raven ciblait les opposants des Emirats Arabes Unis
Selon Reuters, un groupe baptisé Raven, constitué de cinq opérateurs américains du renseignement, et travaillant actuellement pour le compte des Emirats Arabes Unis, aurait été capable de s’introduire au sein d’iPhone de centaines de personnages publics. Grâce à un outil nommé Karma, Raven aurait pu cibler notamment l’émir du Qatar, la lauréate du prix Nobel de la Paix Tawakkol Karman, l’ancien Premier ministre de la Turquie Mohamed Simsek et l’actuel ministre des Affaires étrangères du Sultanat d’Oman. Karma serait conçu spécifiquement pour les iPhone, et serait capable de récupérer les photos, les vidéos, les emails, les mots de passes enregistrés, les SMS ou encore les géolocalisations. Les Émirats Arabes Unis, Apple ou les ambassades américaines dans les pays concernés n’ont pas réagi publiquement.
En savoir plus

Individus & Groupes

APT39

Le groupe APT39 pratiquerait le cyberespionnage au bénéfice de la stratégie iranienne
Un rapport de FireEye publié cette semaine détaille le modus operandi et les objectifs du groupe de pirates APT39, probablement lié à l’Iran. Les cibles d’APT39 sont multiples, mais concentrées sur le secteur des télécommunications et de la zone du Moyen-Orient. Outre ces « préférences », le groupe viserait le secteur du tourisme, des technologies de pointe ou encore des entreprises de technologies de l’information. Par ailleurs, le type de données dérobées indique que l’objectif final serait d’aider aux décisions stratégiques (surveillance d’individus sélectionnés, collecte d’informations personnelles telles que les itinéraires de voyage, etc.). Pour parvenir à infecter des systèmes d’information stratégiques, le groupe utiliserait des outils open source, personnalisables selon leurs besoins. D’après les chercheurs, leurs techniques et leurs activités les rapprocheraient des groupes « Chafer » et « APT34 » (connu sous le nom d’ « OilRig »), deux groupes de pirates probablement liés au gouvernement iranien.
En savoir plus

 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<