La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Le réseau social Instagram victime d’une attaque coordonnée, des centaines de comptes usurpés
  • Un serveur Amazon S3 expose les données de milliers de serveurs GoDaddy
  • 25 distributeurs automatiques de billets ciblés par une attaque organisée : 13,5 millions de dollars dérobés
  • Au Brésil, des institutions financières visées par une attaque utilisant des programmes malveillants de 2015
  • Retour sur la découverte d’une nouvelle technique de piratage des réseaux Wi-Fi
  • HackNotice, un nouvel outil en ligne dédié à la sécurisation des données de l’utilisateur
  • #OpCatalunya, la dernière campagne d’attaques lancée par le collective Anonymous 
  • Focus sur les activités de « Gorgon Group », un acteur hybride qui mêle activités criminelles et phishing ciblé

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Réseau social

Le réseau social Intagram visé par une attaque coordonnée, des centaines de comptes usurpés
Un nombre croissant de piratages aurait été recensé depuis début août. Cette augmentation a été confirmée en mesurant, par exemple, le nombre de recherches Google associant les termes « Instagram » et « hacked« . En effet, des individus malveillants viseraient de façon aléatoire des comptes Instagram, modifiant les informations personnelles du compte afin qu’il devienne impossible pour la victime de le récupérer. Plus précisément, l’attaque causerait la déconnexion de l’utilisateur, la suppression de ses informations personnelles et contacts, ainsi que le remplacement de l’adresse email originale par une adresse associée à un domaine russe (.ru). Plus surprenant, les photos de profil des comptes piratés auraient été remplacées par des images de film Disney ou encore Pixar. À l’heure actuelle, le mode opératoire suivi par les pirates n’est pas encore clairement défini, mais certaines victimes auraient mis en avant l’utilisation de l’authentification à deux facteurs comme élément possible de compromission. Ainsi, une des victimes aurait expliqué avoir reçu un email lui confirmant sa demande de modification d’email associé au compte sans pouvoir s’y opposer, et ce malgré la double authentification.
Le réseau social avait déjà fait l’objet d’une attaque massive en 2017 ; 6 millions de comptes possédant une visibilité élevée avaient été mis en vente sur le site DoxaGram.
En savoir plus

Numérique

L’hébergeur Web GoDaddy victime d’une fuite de données massive
Des chercheurs de la société UpGuard auraient découvert le 19 juin dernier un serveur Amazon S3 nommé « abbottgodaddy », accessible publiquement et appartenant à l’hébergeur GoDaddy. Celui-ci aurait été exposé par un collaborateur de Amazon Web Service. Un tableur Excel de 17 Mo, intitulé « GDDY_cloud_master_data_1205 (AWS r10).xlsx » listant près de 24 000 noms d’hôtes uniques y aurait été détecté. Pour chaque nom d’hôte correspondraient 41 colonnes livrant des informations stratégiques sur ces derniers telles que son niveau d’utilisation, son data center, le service opérationnel affilié avec sa géolocalisation ainsi que des données sur les paramètres de configuration mémoire ou processeur des systèmes GoDaddy exposés. D’après UpGuard, tombée entre de mauvaises mains, cette cartographie pourrait permettre à un attaquant d’identifier des serveurs cibles stratégiques à partir de leur niveau d’utilisation, de leur géolocalisation, de leurs paramètres CPU, etc.
En savoir plus

Finance

Une campagne d’attaques organisées cible des distributeurs automatiques de billet
Le 12 août dernier, Brian Krebs a publié un article relayant un message d’alerte du FBI et affirmant que des attaques organisées visant des distributeurs automatiques de billets (DAB) seraient lancées dans les jours à venir. D’après le FBI, des pirates, dont l’identité demeure inconnue, seraient parvenus à compromettre le réseau d’une institution financière (très probablement la banque indienne Cosmos Bank) ou un système de paiement par carte à l’aide d’un malware (non cité), et auraient ainsi obtenu des informations sur les cartes bancaires des clients. Dotés de cet accès réseau et de ces informations bancaires, les pirates pourraient supprimer les plafonds de retraits, fabriquer des clones de cartes bancaires et, in fine, effectuer massivement, et de manière synchronisée, des opérations de retraits depuis des DAB.
Le 15 août dernier près de 12 000 transactions financières frauduleuses auraient été lancées depuis 25 DAB localisés au Canada, à Hong-Kong et en Inde et auraient permis aux attaquants de dérober 13,5 millions de dollars à la banque Cosmos.
En savoir plus

Au Brésil, des institutions financières visées via le détournement de modem routeurs DLink DSL
Des pirates auraient réussi à dérober les données bancaires de nombreux utilisateurs souhaitant se connecter à leurs comptes en ligne. Pour ce faire, une modification des paramètres DNS (Domain Name Service) aurait probablement été réalisée à l’aide de programmes malveillants datant de 2015. Le processus d’attaque, lancé le 8 juin dernier selon les chercheurs de la société Radware, reposerait sur l’utilisation de deux serveurs DNS permettant de rediriger automatiquement les individus souhaitant accéder aux sites officiels de la Banco de Brasil ainsi que d’Itau Unibanco vers des clones malveillants. La victime ignorerait ainsi totalement l’attaque, et entrerait sans se méfier ses coordonnées bancaires les plus détaillées (numéro d’agence, de compte, de téléphone portable, de carte bancaire etc.). En effet, aucune différence ne serait visible, pas même l’URL dans la barre de recherche.
Les chercheurs de Radware auraient, depuis, alerté les institutions visées et confirmé que les exploitsmalveillants utilisés par les pirates ne fonctionneraient que sur certains modèles non mis à jour depuis plus de deux ans. Après avoir détecté les routeurs en ligne vulnérables, il suffisait aux attaquants de lancer une campagne de phishing ciblée afin de pouvoir changer la configuration DNS.
En savoir plus

Télécommunications

Une nouvelle technique de piratage des réseaux Wi-Fi identifiée
Jens Steube, chercheur à l’origine de l’outil de cracking de mot de passe Hashcat, aurait découvert par hasard une nouvelle technique de piratage des réseaux Wi-Fi. Celle-ci consisterait à cibler le protocole RSN (Robust Secure Network) car lors de l’établissement d’une connexion sécurisée entre le point d’accès Wi-Fi et l’utilisateur, une clé RSN PMKID (Pairwise Master Key Identifier)  serait partagée. A l’aide d’un outil de capture de paquets cette clé pourrait être interceptée et ensuite être déchiffrée par un attaquant afin d’obtenir le mot de passe du routeur (la clé WPA PSK). L’attaque fonctionnerait uniquement sur les protocoles WPA et WPA2 en mode « personnel » qui utilisent une clé WPA PSK (Pre-Shared Key).
En savoir plus

Politique

#OpCatalunya, la dernière campagne d’attaques lancée par le collectif Anonymous 
Le message relayé sur les réseaux sociaux par les membres d’Anonymous est clair : « Hé l’Espagne ! Nous voyons que vous continuer à faire du mal au peuple Catalan. Ce n’est pas une blague. Nous allons faire du mal à ton gouvernement aussi !« . En effet, une nouvelle campagne d’attaques coordonnées aurait été lancée par les pirates informatiques du groupe, afin de protester contre la décision du gouvernement espagnol de bloquer les tendances séparatistes de la population catalane. Plusieurs sites institutionnels tels que celui du Parti Socialiste (dont est membre Pedro Sànchez, chef du gouvernement espagnol), du Ministère de l’économie ou encore du gestionnaire du réseau électrique REE auraient ainsi été rendus inaccessibles durant plusieurs heures ce lundi 20 août. Par ailleurs, de nombreux tweets annonçaient également le piratage des sites internet de la Police nationale, du Ministère des Affaires étrangères et de la Cour Constitutionnelle. Le hashtag « #OpCatalunya » semble accompagner chaque revendication d’attaque émise par les pirates d’Anonymous.
En savoir plus

Sécurité

HackNotice, un nouvel outil en ligne dédié à la sécurisation des données de l’utilisateur
Disponible depuis juillet 2018, HackNotice est un service d’alerte personnalisable développé par Steve Thomas, co-fondateur de « The PwnedList« , et qui se base sur la compilation d’informations fuitées lors d’incidents ou d’attaques. La multiplication des cas de fuites de données a en effet poussé ce chercheur en cybersécurité à créer une plateforme permettant de notifier chaque utilisateur en cas de compromission de ses informations personnelles. Après avoir créé un compte, deux types de listes de surveillance peuvent être définies : la première, appelée « Hack Watchlist« , permet d’ajouter des noms de domaine afin de recevoir une alerte en cas d’attaque ou de fuite de données relatives à ceux-ci. La deuxième liste, « Identities Watchlist« , permet de configurer des adresses emails – vérifiées au préalable par les administrateurs – et ainsi détecter leur éventuelle présence au sein de bases de données compromises. Contrairement aux autres services de détection, HackNotice informe l’utilisateur de façon exacte sur ses informations exposées (mot de passe en clair par exemple).
In fine, le but d’HackNotice est de permettre à l’utilisateur de prendre rapidement conscience de l’exposition de ses données, et de réagir en conséquence. Une extension Chrome (« HackNotice Browser Extension« ) vient compléter ce dispositif et déclenche une notification lorsque l’utilisateur visite un site récemment piraté.
En savoir plus

Individus & Groupes

Des activités criminelles aux attaques de phishing ciblé, focus sur « Gorgon Group » détecté par Palo Alto
En surveillant l’activité du groupe Subaat depuis 2017, les chercheurs de Palo Alto ont réalisé que celui-ci pourrait appartenir à un groupe encore plus large, baptisé Gorgon et suspecté d’être composé de membres pakistanais. L’investigation aurait été rendue possible grâce à des erreurs commises par le groupe pendant leurs attaques et notamment l’exposition de répertoires sur Internet contenant des informations sur leur infrastructure de commande et contrôle, les malwares utilisés et leurs activités malveillantes. D’après l’analyse de Palo Alto, le groupe serait en grande partie impliqué dans des opérations criminelles, notamment des campagnes de spam distribuant des malwares tels que NjRAT, RevengeRAT, LokiBot, RemcosRAT ou encore NanoCoreRAT. Toutefois, en mars dernier, le groupe aurait lancé une attaque ciblée contre des agences gouvernementales russes, américaines ou espagnoles opérant au Pakistan afin de distribuer des variantes d’outils d’administration à distance malveillants tels que NanoCore, QuasarRAT ou NjRAT.
En savoir plus
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Inscrivez – vous à la Newsletter >>>ici<<<