La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
    • La plateforme d’échanges Bitcoin Gold victime d’une attaque « double dépense »
    • Des sites WordPress piratés, des plugins backdoor installés
    • Fuite de données personnelles : des millions de japonais impactés
    • Une vulnérabilité dans le protocole Z-Wave détectée : près de 100 millions d’objets connectés exposés
    • Le malware VPNFilter à l’origine d’une infection massive de 500 000 routeurs et NAS
    • Plusieurs modèles de véhicules BMW affectés par des vulnérabilités 
    • Des informations sur les écosystèmes chinois et espagnol
    • Focus sur le groupe « Turla APT »

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Cryptomonnaie

Le réseau de cryptomonnaie Bitcoin Gold victime d’une attaque « double dépense » 
Un pirate aurait réussi à dérober près de 18 millions de dollars de cryptomonnaie après avoir réalisé une attaque dite de « double dépense » sur la plateforme d’échanges Bitcoin Gold. L’attaque aurait débuté le 18 mai, lorsque le pirate en question, ayant exploité une faille du système, serait parvenu à réaliser des attaques « double dépense » par le biais d’attaque « 51% » (qui consiste à rassembler plus de la moitié de la puissance de calcul en vigueur sur un réseau afin de masquer une autre attaque). Le directeur de la communication de la plateforme Bitcoin Gold, Edward Iskra, a expliqué que ces attaques « double dépense » auraient pour particularité de tromper les utilisateurs de la blockchain dans la mesure où le pirate parviendrait à contrôler le réseau, et à effectuer plusieurs transactions en même temps, avant d’annuler les transactions légales et ainsi, récupérer de manière frauduleuse le montant de la transaction. Le piratage, réalisé à partir de Bitcoin Gold, aurait également eu des répercussions sur d’autres plateformes d’échanges.
En savoir plus

Numérique

Des pirates installent des plugins backdoor sur des sites WordPress
Selon un rapport de la firme de sécurité du site WordPress « Wordfence », des pirates auraient mis au point une méthode inédite d’installation de plugins backdoor sur les sites Web utilisant le CMS WordPress (système de gestion de contenus). Les experts affirment que les attaques utilisant cette nouvelle technique auraient débuté le 16 mai dernier. Cette nouvelle technique consisterait à utiliser le plugin « Jetpack », l’un des modules les plus populaires des sites WordPress qui permet de connecter des sites WordPress auto-hébergés à un compte WordPress.com et d’utiliser le panneau Jetpack dans le tableau de bord WordPress.com pour gérer des dizaines ou des milliers de sites WordPress auto-hébergés. Les pirates auraient compromis des comptes WordPress.com (en utilisant des mots de passe ayant fuité sur d’autres sites Web) et auraient utilisé Jetpack afin de déployer un plugin nommé « pluginsamonsters » sur tous les sites WordPress auto-hébergés. Le plugin malveillant aurait été ensuite remplacé par un autre plugin le 21 mai, nommé « wpsmilepack ». Le nombre de sites compromis reste à ce jour inconnu. La détection des sites compromis reste également difficile. Les pirates utiliseraient ces backdoors pour rediriger les utilisateurs vers des spams ou vers de faux sites de support technique. Selon Wordfence, les pirates ayant repris des comptes WordPress.com et trouvé des sites auto-hébergés WordPress auraient abusé de cette fonctionnalité de gestion à distance pour déployer des plugins backdoor.
En savoir plus

Fuite de données

Des données appartenant à des millions de japonais en vente sur un forum de hacking 
Un rapport de la société FireEye iSIGHT ferait état de l’existence d’un dump contenant environ 200 millions de données d’internautes japonais. Le pirate à l’origine de la fuite aurait ciblé plus de cinquante sites Web japonais, traitant des domaines du commerce, de la finance, du divertissement ou encore du transport. Ces millions de données dérobées auraient été proposées à la vente en décembre 2017. Toujours selon FireEye, l’authenticité de ces informations aurait pu être confirmée par certains internautes eux-mêmes, dont les données ont été exposées lors de précédentes fuites, remontant parfois à 2013. Pour chaque utilisateur, le nom, l’adresse email, la date de naissance, le numéro de téléphone et l’adresse de domicile sont accessibles. Enfin, il semble que cette archive ait été mise à la vente à faible coût : environ 150 dollars. FireEye serait sur la piste d’un pirate localisé dans une province chinoise.
En savoir plus

IoT

Une vulnérabilité dans le protocole Z-Wave expose près 100 millions d’objets connectés 
Des chercheurs auraient démontré que le protocole de communication sans fil Z-Wave, qui est utilisé par plus de 100 millions de dispositif IoT (objets connectés), serait vulnérable à une attaque par rétrogradation (lorsqu’un pirate parvient à abaisser le niveau de sécurité d’une connexion ou d’un protocole). Les chercheurs auraient ainsi découvert qu’un attaquant, à portée du dispositif mis en place, pourrait lancer une attaque lors du processus d’appairage de l’objet connecté, en réduisant le niveau de sécurité des communications. Ainsi, l’attaquant serait en mesure de récupérer la clé d’échange de l’objet, fournie par la protocole Z-Wave, et en prendre le contrôle. La version la plus récente de ce protocole, connue sous le nom de « Z-wave S0 », serait particulièrement exposée à cette vulnérabilité. Toutefois, la société Silicon Labs, qui fournit ce protocole, assure à ses utilisateurs qu’une attaque de ce type générerait automatiquement une alerte pour le propriétaire de l’objet connecté (notification d’appairage tiers durant le processus).
En savoir plus

Malware

Le malware VPNFilter, à l’origine d’une infection massive de 500 000 routeurs et NAS
La cellule sécurité de Talos a publié le 23 mai dernier l’analyse d’un malware baptisé VPNFilter, qui, à date du rapport, aurait infecté près de 500 000 machines (des routeurs et des NAS des marques Linksys, MikroTik, NETGEAR et TP-link), principalement localisées en Ukraine, ainsi que dans 54 autres pays. D’après Symantec, VPNFilter exploiterait des failles déjà connues ainsi que des identifiants volés pour infecter les machines. Le malware disposerait de plusieurs fonctionnalités parmi lesquelles, la capacité à se maintenir sur l’appareil malgré le redémarrage de celui-ci, la possibilité de dérober les identifiants, l’exécution du code malveillant, l’exfiltration de données, l’administration de l’appareil à distance ou encore la capacité à écraser une portion du firmware pour rendre la machine infectée inutilisable (capacité d’auto-destruction). Bien que Talos ne se soit pas prononcé sur l’acteur à l’origine de cette infection massive, le département de la Justice américain a indiqué de son côté qu’il s’agirait du groupe APT28 (aka Sofacy ou Fancy Bear), et qui bénéficierait potentiellement d’un soutien de l’Etat russe. Des incertitudes demeurent quant aux motivations des attaquants mais deux pistes sont envisagées : l’exfiltration de données ainsi que le sabotage des appareils infectés via la capacité d’auto-destruction du malware.
En savoir plus

Automobile 

Des vulnérabilités de sécurité affecteraient plusieurs modèles de la marque BMW 
A la suite d’une étude réalisée entre janvier 2017 et février 2018, une équipe de chercheurs en sécurité basée en Chine aurait mis à jour quatorze vulnérabilités affectant, entres autres, les séries « i », « X », « 3 », « 5 » et « 7 » de la marque. La Tencent Keen Security Lab aurait d’abord fait part de ses résultats au constructeur allemand avant de diffuser les détails techniques des failles. Ainsi, après avoir effectué des analyses sur les logiciels et matériels d’une multitude de modèles, les chercheurs auraient pris conscience de la possibilité d’une attaque ciblée, effectuée à distance ou localement, et cela grâce à la connexion du véhicule à Internet. Dans la Threat Landscape du 9 mai dernier, nous évoquions des vulnérabilités dans le système d’info-divertissement de modèles Audi. Cette fois encore, huit des quatorze failles concerneraient ce système électronique. La communication GSM, le service BMW à distance ou encore le protocole Bluetooth constitueraient autant de portes d’accès pour un attaquant. Quatre autres failles affecteraient l’unité de contrôle télématique (TCU) et deux autres affecteraient l’unité centrale du véhicule. Compte-tenu du rôle de ces composants, un individu exploitant leurs failles pourrait prendre le contrôle total de certaines fonctions du véhicule. Il ressort de l’étude que ces vulnérabilités semblent impacter les modèles sortis d’usine après 2012.
En savoir plus

Ecosystème Régional

Écosystème chinois

Justler, un nouveau malware diffusé via le téléchargement de logiciels
Les chercheurs de Huorong Security ont identifié un virus baptisé « Justler » qui, une fois installé, amodifierait le comportement des navigateurs Web. Il s’installerait sur le système de l’utilisateur via le téléchargement et l’installation d’un outil d’activation (pour Windows ou Office)  à partir du site de téléchargement de logiciels xitongzhijia.net (nom traduisible par « Home System », équivalent de 01.net par exemple). Les experts ont remarqué que si l’adresse IP de l’utilisateur se situe dans les villes de Pékin, Xiamen, Shenzhen ou Quanzhou, alors les fichiers téléchargés ne seraient pas malveillants. Il s’agirait d’une précaution prise par les pirates pour ne pas être détectés, car ces villes disposent de politiques de cyber sécurité réputées parmi les plus strictes du pays. En date du 18 mai, Justler aurait infecté environ 600 000 systèmes. D’après Huorong, le recours à des outils d’activation ou utilitaires de disque comme vecteurs de charges malveillantes serait un mode opératoire de plus en plus utilisé par les pirates en Chine.
En savoir plus
Écosystème espagnol
Démantèlement d’un réseau criminel international de fraude en ligne opérant en Espagne
Le 23 mai dernier, la police espagnole, Europol et Eurojust ont annoncé conjointement avoir arrêté 33 membres présumés d’un réseau de pirates international, accusé du vol de plus de 8 million d’euros via des schémas de fraude et contrefaçon en ligne, et qui auraient ciblé majoritairement des victimes localisées en Espagne. Le groupe de pirates, opérant depuis la Roumanie et actif depuis 2016, serait composé de plusieurs cellules situées en Espagne, Allemagne, République Tchèque, Hongrie, Roumanie, Italie et Pologne. Les cellules de contrefaçon  seraient à l’origine de la fabrication de faux documents d’identité, nécessaires à l’ouverture des comptes bancaires dans ces différents pays de l’Union Européenne. Par la suite, les cellules « informatiques » auraient, elles, ciblé des victimes par le biais de deux types de campagnes de phishing. Dans le premier scénario, des victimes auraient reçu un email les invitant à rembourser une facture impayée ou à acheter un produit ou service contrefait via un lien qui les redirigeait vers un site de paiement frauduleux. Dans le deuxième scénario, les pirates auraient publié de fausses annonces de location sur des sites spécialisés dans l’immobilier, qui comporteraient un lien renvoyant les internautes vers un site frauduleux permettant un dépôt de garantie financière.
En savoir plus

Individus & Groupes

« Turla APT » 
Les chercheurs de la société ESET ont publié une nouvelle étude sur les tactiques, techniques et procédures du Groupe Turla APT, connu pour mener des campagnes de cyberespionnage depuis au moins 2007 et ciblant l’industrie de défense et des entreprises stratégiques. Une précédente analyse de ce groupe par ESET avait été mentionnée dans le cadre de la Threat Landscape du 16 janvier dernier, et celle-ci indiquait que Turla s’attaquait à des ambassades implantées en Europe de l’Est à l’aide d’une backdoor MacOS embarquée dans un faux programme Adobe Flash. Si les cibles sont toujours les mêmes, le nouveau constat effectué par ESET révèle que le groupe s’appuierait depuis mars 2018 sur l’outil de test d’intrusion open source Metasploit pour délivrer Meterpreter puis sa backdoor Mosquito. Cette technique permettrait au groupe d’opérer très rapidement et d’installer une backdoor finale en à peine trente minutes à compter de la compromission initiale de la machine.
En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !