La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Un nouveau spyware nommé BusyGasper vient d’être détecté ; il ciblerait des utilisateurs Android
  • Plusieurs centaines de banques concernées par une fuite de données client venant d’un prestataire
  • Une analyse révèle que le groupe Lazarus serait à l’origine du piratage de la banque indienne Cosmos
  • Les données personnelles de 20 000 utilisateurs de l’application Air Canada compromises
  • L’opérateur de télécom T-Mobile victime d’une intrusion sur son SI : 2 millions de données utilisateur exposées
  • Un site de la marque de grande distribution Système U victime d’un acte de piratage
  • La chaîne de restauration américaine Cheddar’s Scratch Kitchen victime d’une fuite d’informations bancaires
  • Nouveau piratage d’une plateforme de cryptomonnaie : 260 000 utilisateurs concernés
  • Notre cellule sinophone s’intéresse cette semaine à une campagne d’attaques du ransomware GlobeImposter visant des filiales d’un opérateur de télécommunications chinois
  • Notre cellule turcophone fait le point sur des attaques de sites Web américain par des groupes de pirates turcs
  • Focus sur le groupe iranien « Cobalt Dickens » qui s’attaque à plusieurs universités

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Numérique

Un nouveau logiciel espion ciblant des utilisateurs Android détecté
Un logiciel espion, baptisé BusyGasper par les chercheurs de Kaspersky, aurait été récemment identifié au cours d’une campagne d’attaques visant une dizaine d’utilisateurs Android (principalement de la marque ASUS) localisés en Russie. Le malware appartiendrait à une famille de spyware jusqu’ici inconnue, pourtant active depuis au moins 2016, et capable d’opérer plus d’une centaine de fonctions parmi lesquelles prendre des captures d’écran, enregistrer les frappes de l’utilisateur, écouter les différents capteurs du téléphone (microphone, caméra par exemple) ou accéder à la boite de messagerie. D’après Kaspersky, le faible nombre de victimes serait lié au vecteur d’infection qui exige un accès physique à l’appareil pour installer le spyware. Le malware aurait été développé par un acteur pour l’instant inconnu, suspecté d’être russe au regard de l’infrastructure de commande et contrôle du malware. Le pirate utiliserait le protocole IRC pour envoyer ses commandes à BusyGasper et un serveur FTP pour collecter les données.
En savoir plus

Finance

Une faille chez un prestataire aurait exposé les données client de plusieurs centaines de banques
D’après Brian Krebs, Fiserv, un fournisseur de services technologiques auprès d’institutions financières principalement américaines, aurait récemment corrigé une faille affectant sa plateforme Web. La vulnérabilité en question aurait pu permettre à des pirates d’accéder aux données (numéro de compte, adresse email et numéro de téléphone) des clients dont les banques utilisent Fiserv comme plateforme. Le chercheur qui a fait la découverte indique qu’il aurait même été possible pour un pirate de mettre en place un système d’alerte sur l’activité des comptes des autres clients via Fiserv. Brian Krebs a prolongé l’enquête de ce chercheur en ouvrant des comptes chez d’autres banques partenaires de Fiserv pour voir si la faille existait. Son analyse aurait confirmé la découverte initiale. Au total, 1 700 banques pourraient avoir été concernées par la faille.
En savoir plus

Le Groupe Lazarus soupçonné d’être à l’origine de la cyber attaque ayant ciblé la banque indienne Cosmos
Des experts de la société de sécurité informatique Securonix ont récemment fait savoir qu’ils avaient mené d’amples investigations suite à la cyber attaque dont a été victime la banque indienne Cosmos, entre le 10 et 13 août dernier, et qui aurait coûté plus de 13 millions de dollars de perte. Les pirates seraient parvenus à pirater le système ATM, s’infiltrant ainsi dans l’infrastructure SWIFT de la banque, et se procurant l’occasion de dérober des sommes d’argent importantes. Par la suite, les attaquants auraient effacé toutes les traces de leur piratage, ne laissant aucune preuve, et rendant donc leur identification d’autant plus difficile. Selon les experts, ce comportement serait cohérent avec la manière de procéder du groupe de pirates Lazarus, connu pour être apparenté au régime Nord-Coréen. Toutefois, aucun élément ne viendrait confirmer cette hypothèse.
En savoir plus

Aéronautique

Les données personnelles de 20 000 utilisateurs de l’application Air Canada auraient été compromises
La compagnie aérienne nationale canadienne Air Canada aurait informé 20 000 utilisateurs de l’application mobile que les données renseignées sur leur compte pourraient avoir été consultées par une personne non autorisée. La société canadienne aurait détecté une activité inhabituelle lors de tentatives d’accès à l’application Air Canada entre le 22 et le 24 août dernier et aurait, par mesure de précaution, immédiatement bloqué l’accès aux 1,7 millions de comptes utilisateur. Parmi les données de base enregistrées sur le compte de l’application figurent le nom, l’adresse email ainsi que le numéro de téléphone de l’usager. Il est également possible de renseigner le numéro de son passeport. Air Canada a recommandé à l’ensemble de ses clients de réinitialiser leurs mots de passe tout en rassurant sa clientèle sur le fait qu’aucune donnée bancaire n’aurait été compromise.
En savoir plus

Télécommunications

Plus de 2 millions d’utilisateurs T-Mobile concernés par une fuite de données 
L’opérateur de télécommunications mondial et filiale de Deutsche Telekom, T-Mobile, a annoncé le 24 août dernier avoir été victime d’une fuite de données ayant impacté plus de deux millions de clients. D’après le communiqué officiel de l’opérateur, un accès non autorisé à l’un de ses serveurs aurait été détecté le 20 août. Les données personnelles des clients, telles que le nom et prénom, le code postal, le numéro de téléphone, l’adresse email ainsi que le numéro de compte et le type de compte (prépayé ou postpayé) auraient été compromis. La société a toutefois affirmé qu’aucune information bancaire ni mot de passe ou numéro de sécurité sociale n’aurait fuité. Le jour même, les équipes de sécurité de T-Mobile auraient coupé tout accès au serveur ciblé et tous les clients impactés auraient été, depuis, notifiés. La société n’a partagé aucune information sur le mode opératoire du piratage ou sur l’identité de l’acteur à l’origine de l’attaque, et n’a pas communiqué officiellement sur le nombre exact de clients impactés.
En savoir plus ici et

Grande distribution

Un piratage du site de Location-u.com à l’origine d’une fuite de données clients 
Mardi 28 août, le groupe « U Enseigne » a annoncé que son site Location-u.com aurait été victime d’un piratage ayant entrainé une fuite de données. Plateforme en ligne permettant de louer des véhicules et du matériel auprès de 765 points de distribution « U » en France, Location-u aurait ainsi été attaqué entre le 13 et le 14 août. Plus précisément, les données impactées concerneraient l’identification des clients, leurs coordonnées ou encore d’autres informations en lien avec leur réservation. Dans son communiqué, le groupe annonce avoir fermé l’accès au site « par mesure de précaution », et mis en place un numéro vert ayant pour but de récolter les témoignages de clients potentiellement touchés par des actes malveillants relatifs à leurs données. Cependant, l’impact de ce piratage resterait limité puisqu’aucune donnée de paiement n’aurait pu être récoltée. En effet, les paiements ne peuvent pas être effectués directement depuis l’application ciblée par cette attaque.
En savoir plus

Restauration

Une fuite d’informations bancaires touche la chaîne de restauration Cheddar’s Scratch Kitchen
Le 16 août dernier, la chaîne américaine de restaurants « Cheddar’s Scratch Kitchen » aurait appris avoir été victime d’une cyberattaque ayant permis une intrusion dans ses systèmes d’information. En effet, entre le 3 novembre 2017 et le 2 janvier 2018, des individus malveillants auraient pu accéder à un réseau informatique du groupe et obtenir les informations bancaires des clients. 23 états américains auraient ainsi été touchés par le biais des restaurants Cheddar’s Scratch Kitchen.
En savoir plus

Cryptomonnaie

Les données de plus de 260 000 utilisateurs d’une plateforme de cryptomonnaie compromises
Il semblerait que les marketplaces de cryptomonnaies soient devenus des cibles privilégiées par les individus malveillants opérant sur le Web. Récemment, c’est la plateforme brésilienne d’échange de cryptomonnaie « Atlas Quantum » qui aurait été touchée par le vol de données relatives à plus de 264 000 utilisateurs. La caractéristique de ce site est de pouvoir échanger ses cryptodevises sur une multitude d’autres plateformes, afin de maximiser les profits des investisseurs, ce qui explique le nombre d’internautes touchés. Dans un communiqué émis sur les réseaux sociaux, le CEO Rodrigo Marques indique qu’aucun compte n’aurait été vidé de ses fonds, la compromission étant en effet limitée à la base de données de la plateforme. Dès dimanche 26 août, les responsables d’Atlas Quantum auraient pris des mesures immédiates de protection envers la base de données, notamment afin de préserver les archives du site (incluant mot de passe, chiffrement des clés privées). Par ailleurs, le chercheur en cybersécurité Troy Hunt, fondateur du service « HaveIBeenPwned », aurait annoncé avoir ajouté près de 24% des 261 000 de données à sa base de données.
En savoir plus

Écosystème sinophone

Nouvel assaut du ransomware GlobeImposter en Chine
La Chine serait la cible d’une nouvelle vague d’attaques utilisant le ransomware GlobeImposter. Parmi les victimes figureraient, entre autre, de nombreuses succursales régionales d’un grand groupe chinois du secteur des télécommunications, d’après les experts en sécurité de Tencent. Cette version de GlobeImposter serait notamment reconnaissable au fait que, lors du chiffrement des fichiers du système infecté, ceux-ci sont tous renommés « WALKER ». Les débuts de l’attaque remonteraient à fin juillet, néanmoins, les auteurs auraient profité du week-end du 25 et 26 août pour passer à une propagation à grande échelle et dans plusieurs secteurs. Pour les chercheurs de Qihoo 360, il ne s’agirait que d’une variante parmi une vingtaine de versions différentes de GlobeImposter observées depuis juin 2018 en Chine : pour eux la dernière en date observée utilise une extension en « NACRO ». Cette multiplicité de variantes est d’ailleurs ce qui participe grandement à la dangerosité de ce ransomware, en plus du fait que l’algorithme utilisé rende le chiffrement pratiquement irréversible, et qu’il s’en prenne au serveur (et pas seulement à la machine infectée). Le fait que l’attaque continue à prendre de l’ampleur inquiète. Début 2018, deux hôpitaux chinois avaient notamment vu leurs activités fortement perturbées par GlobeImposter.
En savoir plus ici et

Écosystème turcophone

Piratage des sites Web américains par des pirates turcs
La plateforme de cyber sécurité Anomali a publié le 23 août 2018 un rapport démontrant la multiplication du nombre de cyber attaques sur les sites Web américains par des pirates turcs. D’après le rapport, ces attaques auraient été réalisées à la suite des tensions politiques entre les deux pays. Le rapport cite le nom de deux groupes de pirates tels que « Aslan Neferler Tim » (ANT) et « Turk Hack Tim » (THT) comme étant particulièrement actifs et sensibles aux relations politiques de la Turquie avec d’autres pays. Les deux groupes auraient revendiqué au mois d’août plusieurs cas de piratage de sites Web hébergés aux Etats-Unis. Ils auraient ciblé les entités telles que la Banque Fédérale des Etats-Unis, American Bank&Trust ou encore des sites d’hôtels et de réservation de vacances appartenant au Président américain Donald Trump. Le rapport indiquerait également que les attaques en question se limiteraient uniquement aux défacements de sites Web et aux attaques DDoS. Rappelons que le 31 août 2018, le groupe « Aslan Neferler Tim » aurait mis en ligne une publication sur Twitter déclarant : « Cet Etat a tant d’ennemis que nous ne sommes pas en mesure de décider qui attaquer : les Etats-Unis, le Pays-Bas, la Grèce… ».
En savoir plus ici et

Individus & Groupes

Le groupe Iranien « Cobalt Dickens » s’attaque aux universités 
Des experts de la société de sécurité informatique SecureWorks auraient récemment découvert une nouvelle campagne de phishing menée par le groupe de pirates « Cobalt Dickens », apparenté au gouvernement Iranien. Cette campagne de phishing aurait ciblé des universités dans le monde entier. Les emails frauduleux auraient été envoyés depuis 16 domaines différents, possédant tous la même adresse IP et le même serveur DNS. L’email frauduleux envoyé aux étudiants et professeurs des universités ciblées (en Australie, au Canada, en Chine, aux Etats-Unis, en Israël, en Suisse, au Royaume-Uni…) contenait une URL renvoyant vers ce qui semblait être la page de connexion à l’espace personnel des sites de différentes universités visées. En réalité, il s’agissait, selon les experts, d’une page frauduleuse, à partir de laquelle les pirates à l’origine de cette attaque seraient parvenus à récupérer les identifiants de connexion des victimes. Le groupe iranien aurait ainsi pu récolter près de 15 milliards de pages de projets académiques et autres. Par ailleurs, d’autres organismes tels que le Département du Travail des USA ou l’Institut Mabna auraient également été la cible de cette attaque.
En savoir plus
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Inscrivez – vous à la Newsletter >>>ici<<<