La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • Fuite de données: « Collection #1 », plus de 772 millions de mails et 21 millions de mots de passe dévoilés
    • Fuite de données : un serveur Jira aurait exposé les données personnelles et sensibles de plusieurs collaborateurs
    • Escroquerie : Des pirates s’en prennent aux fiches de paie des employés via les services RH
    • Vulnérabilité : Des machines industrielles connectées susceptibles d’être piratées
    • Fuite de données : La base de données VOIPO expose des millions de textes et d’historiques d’appels
    • Vulnérabilité : Plusieurs failles Fortnite ont permis aux experts de reprendre les comptes de joueurs
    • Focus sur les groupes de pirates Grim Spider et Wizard Spider
    • Notre cellule sinophone s’intéresse au malware WenkPico 

    Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Numérique

773 millions d’adresses email et plus de 21 millions de mots de passe circulent sur le Web
Le 17 janvier 2019, le chercheur en sécurité informatique Troy Hunt a indiqué sur son blog avoir découvert une base de données contenant près de 773 millions d’adresses email et plus de 21 millions de mots de passe. Baptisée « Collection #1 », cette base contiendrait des données  réparties dans 12 000 fichiers pour un total de 87 Go. D’après les informations disponibles, la base de données aurait été hébergée sur le site d’hébergement cloud « Mega » avant d’être retirée, et par la suite affichée sur deux forums de pirates de Surface Web. L’origine de cette fuite ne peut pas être déterminée avec précision en ce moment.
En savoir plus

Défense

un serveur Jira aurait exposé les données personnelles et sensibles de plusieurs collaborateurs
Un chercheur en sécurité informatique aurait détecté le 12 janvier dernier un serveur Jira (un système de gestion des incidents et de projet) appartenant à la NASA (agence spatiale civile américaine) exposé sur Internet. Le serveur en question aurait été mal configuré par l’employé qui aurait malencontreusement attribué les mauvaises permissions dans les paramètres d’accès au serveur. Il aurait donc été possible pour n’importe quel utilisateur non autorisé de visualiser des données sensibles telles que des noms de projets, d’employés (près de 1 000, accompagnés de leurs adresses email), ainsi que le rôle sur Jira. Le bug aurait été signalé le 3 septembre dernier et corrigé le 25 septembre 2018. Cette fuite intervient peu de temps après le piratage dont avait été victime l’agence gouvernementale en décembre dernier.
En savoir plus

Escroquerie

Les services RH et financiers : de nouvelles cibles pour les pirates informatiques
L’acronyme BEC signifie business email compromise, soit l’ensemble des techniques malveillantes utilisées dans le monde des affaires de manière à détourner des fonds. Les fraudes de type « BEC » sont habituellement basées sur l’envoi d’un email à un employé détenant des privilèges élevés sur le système, afin de tenter de lui faire envoyer de l’argent sur un compte non autorisé. Actuellement, une nouvelle méthode viserait en particulier le secteur des ressources humaines et des finances, avec l’objectif de modifier les informations inscrites sur une fiche de paie. Les pirates semblent donc élargir leur spectre : l’attaque peut toucher n’importe quel employé de la société, et non plus seulement ceux possédant des droits liés au système de paye. Plus précisément, il s’agirait d’envoyer un email usurpant l’adresse d’une victime (avec son nom) aux services cités précédemment, en requérant de changer les détails du compte de dépôt direct. L’auteur de l’arnaque demanderait également les informations nécessaires à la modification. Le but de la manœuvre est d’éviter à tout prix de recevoir en guise de réponse une redirection vers une solution de ressources humaines en ligne, nécessitant des droits d’accès. Par ailleurs, le social engineering – ingénierie sociale – permettrait à l’attaquant de compléter son arnaque, en proposant l’envoi d’un chèque falsifié par exemple.
En savoir plus

Construction

Des grues et d’autres matériels de chantier connectés seraient exposés à un piratage via le protocole RF
Des chercheurs de Trend Micro ont démontré, dans un rapport intitulé « A Security Analysis of Radio Remote Controllers for Industrials Applications » comment des pirates informatiques pouvaient contrôler des machines industrielles à distance ou simuler leur dysfonctionnement. Les chercheurs pointent notamment les télécommandes radio des grues, foreuses, machines d’extraction minière et autres appareils fabriqués par sept principaux constructeurs d’équipements industriels. En raison de leur connectivité, ces équipements seraient devenus particulièrement vulnérables en matière de sécurité. En outre, leur durée de vie importante, leur coût de remplacement élevé et leur processus de mise à niveau complexe aggraveraient ce problème. En effet, selon les chercheurs, il y aurait trois défaillances inhérentes aux télécommandes radio : le non renouvellement de code, l’absence ou la faiblesse du chiffrement et l’insuffisance de protection logicielle. En exploitant ces défaillances de base, il serait possible de lancer cinq types d’attaques locales et à distance, qui sont décrites en détail dans le rapport. Pour faciliter la recherche, un outil d’analyse radio, RFQuack, aurait été mis au point.
En savoir plus

Télécommunication

Une base de données contenant des SMS/MMS et des journaux d’appels exposée
Une base de données ElasticSearch mal sécurisée et qui contiendrait un énorme volume de journaux d’appels VOIP (téléphonie numérique), de SMS/MMS et d’identifiants systèmes en clair, aurait récemment été découverte par le biais du moteur de recherche Shodan. Cette base de données serait contrôlée par la société VOIPO, un fournisseur de téléphonie numérique basé en Californie. D’après la société VOIPO, il s’agirait d’un serveur en version de développement, qui aurait été accidentellement mal configuré et laissé exposé sur Internet. Toutefois, la base de données contiendrait toute de même des « données valables », c’est-à-dire des données de production réelles. Par ailleurs, des journaux contenant des clés API pour les systèmes internes auraient également été détectés dans cette base de données. Les chercheurs à l’origine de cette découverte auraient directement informé la société, qui aurait pris les mesures nécessaires afin de sécuriser cette base de données.
En savoir plus

Jeux Vidéo

Plusieurs failles Fortnite ont permis aux experts de dérober les comptes de joueurs
Les chercheurs en sécurité informatique de Check Point ont annoncé le 16 janvier dernier avoir découvert une faille dans le jeu vidéo Fortnite qui concernait potentiellement l’ensemble des comptes enregistrés, soit 200 millions de joueurs. Il s’agirait d’une faille dans l’identification en passant par un autre sous-domaine de l’éditeur Epic Games, dédié aux résultats d’Unreal Tournament 2004, qui contenait une faille SQL (http://ut2004stats.epicgames[.]com). Les chercheurs ont pu voler le jeton d’identification OAuth de l’utilisateur, qui lui permet de s’identifier avec un compte tiers, comme Facebook, Xbox Live, Nintendo, Google ou encore PlayStation Network. Ce jeton suffit à accéder au compte du joueur sur le site. L’attaque prend la forme d’un lien, le simple fait de cliquer sur le lien permet au pirate de voler le jeton, aucune autre action n’est nécessaire. La démonstration des chercheurs montre qu’ils ont pu accéder à l’ensemble du compte, et même acheter la monnaie virtuelle avec la carte bancaire enregistrée. De plus, un éventuel pirate aurait pu suivre les discussions dans le jeu, notamment les discussions audio. Epic Games a assuré à ses utilisateurs que la faille a été corrigée.
En savoir plus

Individus & Groupes

Grim Spider

Les attaques du ransomware Ryuk attribuées au groupe Grim Spider/TEMP.MixMaster
Les sociétés de cybersécurité CrowdStrike et FireEye ont récemment publié deux analyses sur le ransomware Ryuk, à l’origine de plusieurs attaques en 2018 dont celle visant les services d’impression de plusieurs grands journaux américains en fin d’année. Initialement la diffusion du malware avait été attribuée au groupe nord-coréen Lazarus en raison de similarités dans le code avec le malware Hermès. Les deux sociétés ont constaté au cours de leurs investigations que plusieurs infections menées à l’aide du ransomware Ryuk succéderaient à des attaques du malware bancaire Trickbot et que ces infections pourraient être liées. D’après CrowdStrike, les attaques Ryuk seraient donc à l’origine d’un groupe baptisé « Grim Spider », une antenne du groupe nommé Wizard Spider suspecté d’être à l’origine du malware Trickbot. FireEye semble confirmer cette hypothèse bien que le groupe soit labellisé TEMP.MixMaster de son côté. Le groupe en question opérerait depuis la Russie..
En savoir plus ici et là 

Écosystème sinophone

Un malware chinois bloque les protections antivirus cloud
Les chercheurs chinois de Huorong ont récemment découvert un nouveau malware baptisé WenkPico. Ce dernier arrive jusqu’à l’utilisateur si celui-ci télécharge certains fichiers de type image disque depuis PCbeta, un forum chinois dédié à l’informatique. Au moment de l’installation, la charge malveillante est libérée. WenkPico va alors modifier le comportement du navigateur quand l’internaute veut accéder à un certain nombre de sites connus (le moteur de recherche Baidu, les sites d’e-commerce Taobao, JD et Dangdang , etc.). Ce malware a pour particularité de réussir à échapper aux contrôles de nombreux antivirus chinois et étrangers fonctionnant en cloud (mais il est bien intercepté par les antivirus fonctionnant en local) en bloquant la récupération des échantillons par la solution de protection utilisée. L’analyse de Huorong montre que certains composants du malware sont signés « Shandong Anzai Information Technology Co., Ltd ». Les chercheurs en cybersécurité recommandent donc que des investigations soient rapidement menées autour de cette société.

En savoir plus 

 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<