La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Le secteur de la finance visé par une attaque de phishing
  • Piratage de la NASA : les données personnelles de plusieurs collaborateurs compromises
  • Le réseau d’échange de la diplomatie européenne piraté : des milliers de télégrammes exposés
  • Notre cellule russophone s’intéresse au piratage d’un institut russe par un groupe de pirates surnommé « Digital Revolution »
  • Focus sur les dernières campagnes du groupe russe Sofacy

Les équipes d’Intrinsec vous souhaitent d’excellentes fêtes de fin d’année !

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Finance

La NASA victime d’un piratage et d’une fuite de données 
La NASA a fait savoir que des données personnelles appartenant à certains de ses employées auraient été compromises par un piratage de ses systèmes en octobre dernier. En effet, un serveur, qui contiendrait des informations personnellement identifiables (PII) d’employés actuels et ou ayant travaillé précédemment pour la NASA, auraient été compromises lors d’une attaque, attaque pour laquelle aucun détail n’a été dévoilé. Parmi les informations exposées, on retrouverait notamment les numéros de sécurité sociale des employés. Dans un mémo envoyé à tous les employés, l’agence aurait indiqué que seules les données personnelles des employées ayant travaillé pour la NASA entre juillet 2016 et octobre 2018 serait concernées.
En savoir plus

Aérospatial

Les données personnelles de 120 millions de brésiliens exposées
Des chercheurs de la société de sécurité informatique InfoArmor auraient découvert une base de données ouverte et exposée sur Internet, qui contiendrait les données personnelles de près de 120 millions de brésiliens. Parmi ces données fuitées, on retrouverait, en plus de leur numéro CPF (numéro d’enregistrement fiscal brésilien), les noms et prénoms, l’historique et les données bancaires, les adresses postales et email, ainsi que la fonction, le montant du salaire de l’ensemble de ces victimes. L’exposition de cette base de données aurait été rendue possible via un fichier de sauvegarde non protégé, stocké sur le cloud et intitulé « index.html_bkp ». Selon les ingénieurs d’InfoArmor, il est probable que ces données aient été récupérées et revendues sur le Dark Web à des fins malveillantes.
En savoir plus

Politique

Des télégrammes de la diplomatie européenne piratés
L’Union européenne a fait savoir qu’elle enquêtait sur une potentielle fuite de données, révélée par le New York Times. Le journal américain a affirmé que le réseau COREU, qui est le réseau de communication au sein duquel s’échangent des télégrammes et des emails entre les diplomates de l’Union européenne, aurait été infiltré par des pirates informatiques pendant près de trois ans, et des milliers de télégrammes auraient ainsi été collectés à des fins malveillantes. Toujours selon le New York Times, ces télégrammes concerneraient des échanges relatifs aux diplomaties américaine, russe et chinoise, ainsi qu’au programme nucléaire iranien.  Ce serait par une campagne de phishing ciblée envers des diplomates chypriotes que les pirates auraient réussi à avoir accès à ce réseau. D’après la société Area 1 qui a analysé les emails de phishing, la méthode employée pourrait être attribuée à un groupe lié à l’armée chinoise.
En savoir plus ici et

 

 

Écosystème russophone

Piratage de l’institut « Kvant » par « Digital Revolution »
L’institut de recherches scientifiques russes « Kvant » aurait fait l’objet de plusieurs attaques informatiques provenant du groupe de pirates russes « Digital Revolution ». Ce groupe, connu en Russie pour ses opinions contre le système politique actuel du pays, aurait affirmé que Kvant aurait des liens étroits avec les services secrets russes et avec « Roskomnadzor » dans le cadre de la surveillance d’opinions de citoyens russes sur les réseaux sociaux (Twitter, Facebook, Vkontakte, Instagram). Cette opération de surveillance aurait pour but de détecter des utilisateurs s’opposant au régime en place. Afin d’appuyer ces propos, les pirates ont partagé sur leurs sites Web officiel un document nommé « Avenir », appartenant à l’Institut « Kvant  » et qui contiendrait les informations sur le mode opératoire de cette surveillance. Le site Web officiel de l’Institut aurait également été défacé, et les pirates y auraient apposé leur logo officiel ainsi que le message « Nous continuerons à agir ».
En savoir plus

Individus & Groupes

Palo Alto s’intéresse aux dernières campagnes du groupe Sofacy
Des experts de la société Palo Alto auraient découvert une nouvelle version du trojan Zebrocy utilisé par le groupe de pirates russes Sofacy (connu pour être à l’origine de l’attaque contre le Comité National Démocrate de 2016). Cette variante programmée en Go aurait été utilisée dans le cadre de deux vagues d’attaques en octobre puis en novembre 2018. La première attaque détectée le 11 octobre n’aurait pas abouti en raison d’un problème dans le code du script qui aurait empêché l’exécution de la charge malveillante. La seconde vague serait liée à la campagne baptisée Dear Joohn survenue entre mi-octobre et mi-novembre et ciblant des organisations membres de l’OTAN ainsi que des instances gouvernementales de l’ex-URSS. Cette dernière version de Zebrocy permettrait au groupe de collecter de l’informations sur le système compromis et de les envoyer au serveur de commande et contrôle puis de gagner en persistance sur la machine. Une seconde charge serait distribuée avant de télécharger des modules malveillants supplémentaires sur le système.

En savoir plus
.
.
 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<