La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
    • Des pirates profitent de l’arrivée du RGPD pour effectuer du phishing et collecter des identifiants Apple
    • Les données bancaires des clients de la chaîne de restaurants américaine Chili’s dérobées
    • Le système de paiement interbancaire mexicain détourné ; plusieurs millions de dollars volés
    • Le groupe Rail Europe North America, victime d’une fuite de données bancaires
    • Une campagne de cyber espionnage cible des utilisateurs iOS et Android au Moyen-Orient et en Inde
    • Fuite de données personnelles : le conseil de contrôle du cricket en Inde aurait exposé un serveur AWS
    • Des informations sur des menaces informatiques provenant de nos sources turques
    • Focus sur la réaction du collectif « Anonymous » face à la censure russe de l’application Telegram

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Multisectorielle

 

Des identifiants Apple collectés via une campagne de phishing sophistiquée utilisant le thème du RGPD

Souhaitant tirer profit de l’entrée en vigueur du RGPD et de la vague d’emails informatifs envoyés par les entreprises pour en informer les utilisateurs, des individus malveillants usurperaient l’identité de sociétés telles qu’Apple pour diffuser des pages de phishing d’un nouveau genre. En effet, un des emails analysés par les chercheurs de Trend Micro comporterait par exemple une mise en garde d’activité inhabituelle sur le compte, accompagnée d’un lien pour mettre à jour les détails de paiement. En cliquant sur ce lien, l’utilisateur serait redirigé vers une fausse page Apple, puis, après avoir entré ses identifiants, un message indiquerait que son compte est bloqué avec un nouveau lien pour « Déverrouiller le compte maintenant ». Or, ce lien conduirait à une page malveillante de collecte des données de l’utilisateur. Contrairement aux sites de phishing utilisés habituellement par les pirates, ce type de phishing est novateur par sa sophistication. En effet, la fausse page Apple serait suffisamment réaliste pour tromper l’utilisateur et le faire cliquer sur le deuxième lien. D’autre part, l’utilisation du chiffrement AES : Advanced Encryption Standard (« standard de chiffrement avancé ») permettrait à la page de contourner les mesures de sécurité et rendrait encore plus difficile la détection d’une activité malveillante. 

En savoir plus

 

Restauration

 

La chaîne de restaurants américaine Chili’s, victime d’une fuite de données bancaires

Le 11 mai dernier, Brinker International Company, une multinationale américaine qui détient la chaîne de restaurants texane Chili’s a publié un communiqué officiel indiquant que les systèmes de paiement de plusieurs restaurants auraient été compromis à l’aide d’un malware (non cité). Des pirates auraient eu accès aux données bancaires de certains clients (a minima le numéro de carte ainsi que les noms et prénoms des détenteurs) durant une période allant de mars à avril 2018. La chaîne a en effet précisé être toujours en cours d’investigation pour évaluer l’ampleur exacte de l’incident et n’a donc pas spécifié le nombre de restaurants ni le nombre de clients impactés par cette fuite.

En savoir plus

 

Finance

 

Réseau interbancaire détourné : la banque centrale mexicaine confirme l’attaque

Le directeur de la banque centrale du Mexique a confirmé le 14 mai dernier que leur système de paiement interbancaire (SPEI équivalent du réseau interbancaire SWIFT) a été victime d’un détournement au mois d’avril 2018 ayant abouti à des transactions frauduleuses de plusieurs millions de pesos. D’après Reuters, le problème serait lié au piratage d’un logiciel fourni par un prestataire aux institutions financières mexicaines et qui serait connecté au système de paiement SPEI. Ce mode opératoire aurait permis aux pirates d’effectuer des transferts de fonds depuis au moins cinq banques locales d’un montant total évalué à 300 millions de pesos (soit 15,33 millions de dollars). Le nom des banques ciblées, ainsi que l’identité des pirates demeurent inconnus, la banque centrale mexicaine n’ayant pas souhaité divulguer les détails de l’enquête, toujours en cours.

En savoir plus

 

Transport

Rail Europe North America victime d’une fuite de données compromettante

Rail Europe North America (RENA) auraient récemment informé ses clients d’une faille dans leur sécurité qui aurait entraîné la compromission d’informations relatives aux cartes bancaires utilisées pour les paiements. Cette fuite serait la conséquence d’un piratage, une personne malveillante aurait réussi à s’introduire, par un accès non-autorisé, au sein de la plateforme IT du site Web. Cette intrusion pourrait avoir compromis les informations personnelles des clients, telles que les noms, les adresses postale et email, les numéros des téléphones, les numéros des cartes bancaires, leur date d’expiration ainsi que le cryptogramme visuel présent au dos de la carte. Dans certains cas, les pirates auraient également réussi à dérober les identifiants de connexion des clients. La société RENA affirme avoir immédiatement coupé ces accès non-autorisés, une fois le piratage découvert. Ce serait un organisme financier, remarquant des mouvements bancaires inhabituels liés à la RENA, qui les en aurait informé. Le piratage aurait eu lieu entre le 29 novembre 2017 et le 16 février 2018. 

En savoir plus

 

Télécommunications

Fuite d’un code critique sur une plateforme open-source par EE Limited

Un utilisateur du réseau social Twitter dont le pseudonyme est « six » aurait accusé la société du réseau mobile britannique EE Limited d’avoir exposé un code critique avec mot de passe par défaut. Plus de deux millions de lignes de code incluant l’accès aux API privées des développeurs, ainsi que les clés secrètes de services Web d’Amazon auraient été exposées sur une plateforme open-source SonarQube, hébergée sur un sous-domaine appartenant à EE Limited et utilisée par la société pour l’analyse de failles de sécurité sur son site Web. D’après « six » cette fuite pourrait être exploitée par des pirates à des fins malveillantes et les informations concernant le paiement, y compris les données de cartes bancaires pourraient être exposées. Le porte-parole de la société EE réfuterait cette accusation en indiquant que le code en question ne contiendrait aucune information confidentielle liée à l’infrastructure de production.

En savoir plus

 

Politique

Des campagnes de cyber espionnage détectées sur Android et iOS

Les chercheurs en sécurité informatique de Lookout Security Intelligence auraient récemment découvert la présence de logiciels malveillants dans les systèmes Android et iOS, qui auraient pour but d’espionner des cibles telles que des membres de gouvernements, des diplomates, des personnels militaires ou encore des activistes. Ces cibles seraient localisées au Pakistan, en Afghanistan, en Inde, en Irak et aux Emirats Arabes Unis. Par ailleurs, des données en provenance d’officiels civils et militaires américains, australiens et allemands auraient également été dérobées durant ces campagnes de cyberespionnage. Les deux logiciels espions ont été baptisés Stealth Mango et Tangelo, et seraient installés par le biais de messages de phishing envoyés par de faux profils Facebook. Cela aurait ainsi permis de récupérer des communications gouvernementales internes, des photos et les numéros d’identifiants de passeports, des documents légaux et médicaux, des informations de connexion aux différents comptes des personnes ciblées, etc.  

En savoir plus

 

Sport

Le conseil de contrôle de cricket en Inde expose des données sensibles

La société Kromtech Security Center a indiqué le 15 mai dernier avoir découvert un serveur Amazon Web Service accessible publiquement, appartenant au conseil de contrôle du cricket en Inde (BCCI), et contenant les données personnelles d’environ 20 000 candidats lors des saisons 2015-2018. Les données exposées auraient été stockées sur deux compartiments S3 mal configurés, et contiendraient les formulaires d’inscription des joueurs avec les pièces d’identité, les bulletins de vote et les documents bancaires. Les formulaires d’inscription semblent contenir des informations telles que le nom du demandeur, la date et le lieu de naissance, l’adresse email, le numéro de téléphone, le dossier médical ainsi que d’autres informations personnelles. La BCCI aurait depuis sécurisé l’accès au serveur.

En savoir plus

 

Ecosystème Régional

Écosystème turc

 

Attaque sur le site officiel du Mossad

Le site Web officiel du Mossad (agence de renseignement d’Israël) aurait été piraté par un groupe d’hacktivistes turcs baptisé ANT « Aslan Neferler Tim » le 16 mai 2018, soit le premier jour de Ramadan. Le groupe ANT aurait indiqué sur son compte Twitter que ce piratage serait un « cadeau » en honneur du Ramadan et que ce ne serait que le début des attaques. Le site Web du Mossad aurait été indisponible et un message d’erreur se serait affiché sur son interface. ANT aurait aussi revendiqué une autre attaque sur le site Web du Ministère des Affaires Etrangères d’Israël le 15 mai 2018. Rappelons que ce groupe aurait déjà ciblé plusieurs sites gouvernementaux belges, danois et autrichiens en réalisant des défacements et des attaques DDoS.

En savoir plus

Individus & Groupes

« Anonymous » réagit aux décisions du gouvernement russe ciblant l’application Telegram 

En réponse à la censure décidée par le gouvernement russe contre l’application Telegram, les membres du collectif « Anonymous » auraient piraté et defacé le sous-domaine du site de l’Agence Fédérale russe pour la Coopération Internationale (Rossotrudnichestvo). Cette agence gouvernementale est dédiée à la promotion de l’image de la Russie à travers le monde. Le 10 mai dernier, un message comportant une menace à l’encontre des décideurs impliqués dans le blocage de l’application figurait sur la page d’accueil du site Web. Le blocage d’une cinquantaine de VPN, de Proxy Web et autres réseaux anonymes par l’autorité de régulation des médias et de la communication (Roskomnadzor) aurait également déterminé les pirates d’Anonymous à diriger leur action contre le gouvernement russe. 

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !