La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine
  • Une vulnérabilité détectée dans le système multimédia embarqué de véhicules Volkswagen et Audi
  • La plus grande banque australienne perd les données de 12 millions de clients
  • Les données personnelles de 25 000 utilisateurs de la cryptomonnaie Bezop seraient accessibles publiquement
  • Mots de passe en clair d’utilisateurs de GitHub et Twitter 
  • Analyse d’un cas d’utilisation de l’application Facebook Messenger comme vecteur de diffusion de malware
  • ZooPark, une campagne de cyberespionnage visant le Moyent-Orient
  • Opération GhostSecret : une campagne de cyberespionnage massive menée par le groupe Hidden Cobra (aka Lazarus)
  • Des informations sur l’écosystème turc
  • Focus sur les méthodes du groupe APT 128

 

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Automobile

Une vulnérabilité détectée dans le système multimédia embarqué de véhicules Volkswagen et Audi

Deux chercheurs de Computest, Daan Keuper et Thijs Alkemade, auraient alerté le fabricant allemand d’une faille découverte sur les modèles Golf GTE et Audi3 Sportback e-tron, tous deux produits en 2015. Le système IVI (info-divertissement) « Discover Pro » embarqué dans ces véhicules contiendrait une vulnérabilité permettant à un individu malveillant de détourner certaines commandes. Ainsi, un pirate pourrait prendre le contrôle du microphone afin d’écouter les conversations au sein de l’habitacle et avoir accès à l’historique d’appels et autres données enregistrées dans le système. Daan Keuper et Thijs Alkemade avancent également la possibilité de suivre le véhicule à n’importe quel moment, via le système de navigation. Un premier patch correctif aurait été mis en place et empêcherait la prise de contrôle des commandes de freinage et de direction. Cependant, les chercheurs auraient détecté de plus larges possibilités pour l’attaquant, allant jusqu’à la prise de contrôle du processeur principal du système multimédia IVI, permettant ainsi d’autoriser le détournement de l’unité de radio et de contrôle du véhicule (RCC).

En savoir plus ou ici (rapport de la société Computest sur les voitures connectées).

Banque

La plus grande banque australienne perd les données de 12 millions de clients

La Commonwealth Bank aurait reconnu avoir perdu l’historique financier de plus de 12 millions de ses clients. Les faits remonteraient à 2016, mais la banque précise également qu’elle aurait préféré ne pas révéler cette fuite de données auparavant, considérant qu’elle ne comportait pas de données susceptibles d’être détournées à des fins d’escroquerie. La perte matérielle des cassettes magnétiques sur lesquelles auraient été stockées ces données (telles que les noms, adresses, numéros de comptes et détails des transactions financières enregistrées entre 2000 et 2016) serait la cause de cette perte de données. L’ensemble de ces éléments aurait dû être détruits par une entreprise sous-traitante de la banque après la fermeture de son centre de données, mais la perte des données en question serait survenue avant que le sous-traitant ne prenne en charge la destruction de ces données.

En savoir plus.

 

Cryptomonnaie

Les données personnelles de 25 000 utilisateurs de la cryptomonnaie Bezop seraient exposées 

Les chercheurs de Kromtech ont découvert récemment une base de données MongoDB qui contiendrait les données personnelles de plus de 25 000 utilisateurs de la cryptomonnaie Bezop. La base de données contiendrait des données personnelles, y compris les noms, les adresses postales, les adresses email, les hashs des mots de passe, les scans de passeports et permis de conduire, ainsi que des informations sur le portefeuille des clients en question. Un représentant de la compagnie Bezop a confirmé cette fuite de données en expliquant que la base MongoDB aurait été exposée lors d’une attaque DDoS (attaque par déni de service distribué) datée du 8 janvier dernier. Cette source interne a assuré également qu’aucun fond d’utilisateur n’a été compromis.

En savoir plus

 

Informatique

Mots de passe en clair d’utilisateurs Github et Twitter

La plateforme de partage de code GitHub affirme avoir découvert plusieurs mots de passe en clair d’utilisateurs au sein de ses systèmes. L’erreur, a priori située dans les fonctionnalités de réinitialisation du mot de passe, aurait été corrigée. De plus, la plateforme de microblogging Twitter a annoncé deux jours après avoir été victime d’un bug similaire. En effet, le mot de passe était écrit en clair dans des journaux  internes avant d’être stockés de manière sécurisée. GitHub et Twitter expliquent que seuls quelques employés ont pu avoir accès aux mots de passe en clair, et qu’il ne s’agit en aucun cas d’une faille de sécurité qui aurait été exploitée par des attaquants. Le nombre exact d’utilisateurs directement concernés n’est pas encore connu. Nous vous recommandons fortement de changer vos mots de passe sur ces plateformes dès que possible. 

En savoir plus ici ou ici

 

Malware

Analyse d’un nouveau cas d’utilisation du réseau social Facebook Messenger comme vecteur de diffusion de malware

Les chercheurs en sécurité de la société Trend Micro auraient détecté le retour d’une extension Chrome malveillante, en activité depuis 2017. « FacexWorm » se répandrait via des comptes Facebook Messenger infectés et serait configurée de manière à cibler les utilisateurs de plateformes d’échanges de crypto-monnaies. Plus précisément, la victime commencerait par recevoir une invitation à regarder une vidéo en cliquant sur un lien YouTube. Une fois la vidéo lancée (sur une fausse page Web), l’installation d’une extension « codec » (codeur-décodeur) serait obligatoire pour continuer le visionnage de la vidéo. Des autorisations d’accès seraient également requises afin de lancer le chargement. « FacexWorm » permettrait alors à l’attaquant de prendre le contrôle du poste infecté et de télécharger d’autres modules malveillants, à l’aide de scripts JavaScript hébergés sur la plateforme GitHub. Les finalités de cette extension malveillante seraient la subtilisation des identifiants des sites consultés par la victime, l’exécution de scripts de minage de cryptomonnaie ou encore la redirection vers des pages falsifiées de gestion de cryptomonnaies afin d’en détourner les transactions.

En savoir plus

 

Politique

ZooPark, une campagne de cyberespionnage visant le Moyent-Orient

Les chercheurs de Kaspersky ont annoncé début mai avoir découvert une campagne de cyberespionnage ciblant les utilisateurs d’appareils Android aux Moyen-Orient. Baptisée ZooPark, cette campagne se servirait de sites légitimes comme source d’infection. En effet, des applications contenant du code malveillant auraient été diffusées via des sites d’actualités très consultés au Moyen-Orient. Celles-ci prendraient la forme d’applications légitimes avec des noms comme « TelegramGroups » ou encore « Alnaharegypt news ». Le malware ZooPark serait capable d’exfiltrer plusieurs données sensibles telles que les contacts, les identifiants des comptes, les journaux et enregistrements audio des appels, les SMS, la localisation GPS, les détails d’applications installées, l’historique de navigation Internet, les photos et autres fichiers multimédias. ZooPark serait également capable d’envoyer des SMS et d’exécuter des commandes shell. D’après Kaspersky, les attaques cibleraient en priorité des utilisateurs basés en Egypte, en Jordanie, au Maroc, au Liban et en Iran, ainsi que des membres de l’Office de secours et de travaux des Nations Unies (UNRWA). Les chercheurs ont pu identifier au moins quatre générations du malware ZooPark, actif depuis 2015. 

En savoir plus

 

Campagne d’attaques

Operation GhostSecret : une campagne de cyberespionnage massive menée par le groupe Hidden Cobra (aka Lazarus)

Une vaste campagne de cyberespionnage baptisée « Operation GhostSecret » ciblant les secteurs des infrastructures critiques, du divertissement, de la finance, de la santé et des télécommunications a été détectée par McAfee le 24 avril dernier. Le groupe à l’origine de cette campagne serait Hidden Cobra (aka Lazarus, suspecté d’être nord-coréen) qui aurait eu recours à un outil malveillant jusqu’ici inconnu, mais qui présenterait des similarités avec le malware Bankshot et la backdoor Destover. En mars 2018, McAfee avait identifié ce même groupe ciblant le secteur financier turc. Rétrospectivement, d’après l’équipe de chercheurs, il pourrait s’agir des prémices de la campagne actuelle dont l’objectif viserait à s’installer au sein de systèmes infectés pour dérober des informations. Hidden Cobra aurait opéré notamment depuis le serveur d’une université thaïlandaise, pays le plus largement touché au cours de l’opération GhostSecret, loin devant le Japon, la Chine, l’Inde et des pays de la région Asie-Pacifique, mais aussi l’Australie, les Etats-Unis, le Pérou, la France, la Suisse, la Russie, et l’Afrique du Sud.

En savoir plus

Ecosystème Régional

Écosystème turc

Des pirates turcs attaquent l’agence de presse grecque

Le lundi 30 avril, le groupe de pirates turcs baptisé « Akincilar » (Les Raiders) aurait attaqué le site Web officiel de l’agence de presse grecque AMNA et aurait publié un message contre la politique menée par l’Etat grec. D’après le rapport publié par le journal « Greek Reporter », un message de menace faisant référence à huit militaires turcs ayant demandé l’asile en Grèce serait apparu sur la page d’accueil du site Web. Le message affiché sur l’interface du site Web accuserait le gouvernement grec de collaboration avec l’organisation terroriste « FETO », qui serait le mouvement d’un opposant turc renommé : Fethullah Gülen. Les pirates indiqueraient également dans leur message que « La Grèce oublie vite, nous avons jeté tes ancêtres dans la mer, nous le ferons à nouveau ». Rappelons que le dimanche 29 avril un autre groupe nommé « Ayyildiz » aurait piraté les comptes Twitter de Johannes Hahn, le commissaire européen à l’élargissement et à la politique européenne de voisinage, et d’Anders Fogh Rasmussen, ancien secrétaire général de l’OTAN. Les deux groupes de pirates auraient revendiqué de nombreuses attaques contre les pays étrangers qui se trouvent en conflit avec le gouvernement turc.

En savoir plus

Individus & Groupes

Des versions du logiciel LoJack infiltrées par le Groupe APT 28 

La société Arbor aurait découvert des versions du logiciel LoJack transformées en logiciel espion. LoJack est un logiciel antivol informatique, permettant, entres autres, de protéger un ordinateur. Ce logiciel avait déjà fait parler de lui, en 2014, lorsque des chercheurs avaient découvert que ce dernier permettait, par le biais d’une backdoor, de prendre le contrôle des machines à sous de Las Vegas. Cette fois-ci, les nouvelles versions modifiées de ce logiciel permettraient aux pirates de pénétrer les systèmes d’informations des entreprises utilisant cet antivol. Les chercheurs ajoutent également que les domaines trouvés dans les instances des versions corrompues de LoJack auraient été auparavant liés à d’autres opérations de piratage menées par le groupe APT28. Ce groupe, qui serait potentiellement soutenu par l’état Russe, enverrait alors des binaires malveillants sous forme de « Risk Tool » légitimes. Cela permettrait alors au logiciel espion d’opérer sans être détecté, et d’offrir une porte dérobée furtive dans les systèmes piratés.

En savoir plus ou ici.

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !