La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • L’opérateur de transports publics californien visé par des pirates
  • Uber: 57 millions d’utilisateurs victime du piratage
  • OSX.Proton: umalware propagé via un faux blog Symantec
  • Piratage d’Imgur: 1.7 millions de victimes 
  • Qudian: victime d’une fuite de données
  • 30 millions de dollars dérobés de la plateforme d’échange Tether
  • Alibaba: des vulnérabilités menacent les utilisateurs
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
  • Focus sur les groupes « Lazarus « 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Menaces Sectorielles

Transport

Un réseau de transport californien ciblé par des pirates
Durant le week-end du 18 novembre, des pirates ont attaqué Sacramento Regional Transit, l’opérateur de transports publics du comté de Sacramento en Californie. Les pirates auraient d’abord visé toute la partie relative à l’affectation du personnel des bus et des itinéraires (cela représenterait 30% des données stockées par les différentes agences de Sacramento Regional Transit). Les attaquants auraient ensuite menacé poursuivre leurs attaques si Sacramento Regional Transit ne leur versait pas une rançon équivalent à un bitcoin (un peu moins de 7 000 euros). La rançon n’a pas été versée aux attaquants. A la suite, le site de Sacramento Regional Transit ainsi que le système de paiement ont cessé temporairement de fonctionner, mais la circulation des transports n’a pour autant pas été affectée. Sacramento Regional Transit affirme que ses systèmes sont désormais sécurisés et qu’aucune donnée n’a été dérobée.
En savoir plusUber révèle un piratage sur 57 millions d’utilisateurs
Le PDG de l’entreprise de VTC américaine Uber, a révélé, mardi 21 novembre, que l’entreprise avait été victime d’un piratage informatique en fin 2016 : les données de 57 millions d’utilisateurs à travers le monde auraient été piratées. Les données dérobées contiendraient les noms, adresses, emails, et numéros de téléphone, ainsi que les numéros de permis de 600 000 chauffeurs. Le PDG d’Uber affirme que l’historique des trajets, les numéros de cartes bancaires, les numéros de sécurité sociale ainsi que les dates de naissance des utilisateurs n’auraient pas été piratés. Selon Bloomberg, Uber aurait payé 100 000 dollars aux attaquants afin qu’ils ne divulguent ni le piratage, ni aucune donnée associée.
En savoir plus

Numérique

Le malware OSX.Proton propagé via un faux blog Symantec
Des pirates ont créé un faux blog usurpant l’apparence et le contenu du blog de Symantec, afin de propager un malware. Sur ce blog, un article fictif au sujet d’une nouvelle version de CoinThief aurait été publié, faisant la promotion d’un programme nommé « Symantec Malware Detector », également fictif, pour contrer ce nouveau malware. Les utilisateurs ayant cliqué sur le lien pour télécharger et installer ce programme se seraient retrouvés infectés par le malware Proton. Malwarebytes LABS fait remarquer que les pirates auraient pris des précautions pour faire passer leur blog fictif pour un blog légitime. Le domaine, « symantecblog.com » en utilisant les mêmes informations que le blog officiel, à l’exception de l’adresse email utilisée. Le certificat du site SSL était authentique, mais fourni par Comodo et non Symantec. Quant à l’article fictif, ai a été diffusé via de faux comptes sur les réseaux sociaux, mais aussi par d’authentiques comptes compromis.
En savoir plusImgur annonce avoir été victime d’un piratage en 2014
Le site de partage de photos Imgur, a annoncé, vendredi 24 novembre, avoir subi un piratage de ses données en 2014, et ne l’avoir découvert que le 23 novembre 2017. C’est Troy Hunt, responsable du service de notation de violation de données « Have I Been Pwned », qui a récemment publié l’information. Le vol de données ne concerne 1.7 millions de comptes sur une base de 150 millions d’utilisateurs, et les informations compromises comprendraient les adresses email et les mots de passe.
En savoir plus

Finance

30 millions de dollars dérobés de la plateforme d’échange Tether
La société Tether, propriétaire du jeton USDT (un crypto-jeton qui fixe sa valeur au dollar américain à travers une politique monétaire inflationniste), a annoncé mardi le 21 novembre le piratage de son système, Un individu aurait réussi à détourner l’équivalent de 30 950 010 de dollars vers une adresse  Bitcoin non autorisée. Tether indique que tous les services de portefeuille ont été suspendus en attendant une enquête approfondie sur la cause du piratage, et lance une nouvelle version « Omni Core » via un hard fork (un embranchement) afin d’empêcher l’attaquant de transférer des fonds dans n’importe quel autre portefeuille. Tether étudie les moyens qui permettront de récupérer les jetons dérobés.
En savoir plus

Commerce

Des « coupons de réduction malveillants » sur AliExpress
Checkpoint a déclaré cette semaine avoir signalé début octobre une vulnérabilité à la société AliExpress, plateforme d’e-commerce du groupe Alibaba, destinée à la vente de produits en gros à l’international. Alibaba étant protégé contre les visites en provenance de référents non autorisés, CheckPoint aurait contourné cette barrière en envoyant aux victimes un email de phishing contenant l’URL d’une page malveillante cachée dans un lien de redirection Alibaba. Cette URL malveillante dirigerait l’internaute vers un pop-up prêt à dérober ses coordonnées bancaires, en imitant une approche fréquemment utilisée par AliExpress : le pop-up propose à l’utilisateur de recevoir un coupon de réduction. CheckPoint a souligné la réactivité d’AliExpress, qui aurait corrigé la faille en deux jours, et invite à la prudence sur les sites d’e-commerce à l’approche des fêtes de fin d’année.
En savoir plus

Ecosystème Régional

Ecosystème moyen-oriental

Une attaque informatique « avancée » vise l’Arabie saoudite 
Le Centre national de cybersécurité saoudien (NCSC) a annoncé lundi 20 novembre que l’Arabie saoudite avait subi une attaque informatique avancée visant à infiltrer des ordinateurs du gouvernement saoudien, en utilisant la technique du phishing et le logiciel Powershell. Le communiqué de la NCSC affirme avoir détecté « une nouvelle menace persistance avancée (APT) ». L’Arabie saoudite est une cible fréquente d’attaques informatiques, le malware Shamoon a notamment visé le secteur d’énergie en 2012, et le secteur publique et financier en 2016.
Source
Le département de la Justice américain accuse un iranien pour le piratage d’HBO
Le département de la Justice américain affirme avoir remonté la piste du pirate responsable du piratage d’HBO. Selon Joon Kim, le porte-parole du procureur fédéral de New York, le pirate serait Mesri Behzad, connu sous le pseudonyme de « Skote Vahshat », soupçonné de travailler pour le gouvernement iranien. Selon l’acte d’accusation, Mesri Behzad serait à l’origine du vol de 1,5 To de données sur les serveurs d’HBO entre mai et août 2017, dont des scripts inédits, documents légaux, emails de responsables et numéros de téléphone des stars de la série Game of Thrones.
Source

Ecosystème chinois

Le spécialiste du micro-crédit Qudian victime d’une fuite de données
La jeune société chinoise Qudian, introduite à la Bourse de New York le mois dernier, aurait été victime d’une fuite de données. Les informations personnelles de milliers d’étudiants chinois seraient ainsi disponibles sur le marché noir, détaillant noms, numéros de téléphone, nom de l’établissement et dortoir fréquenté, noms et numéros de téléphone des parents, adresses email et mots de passe utilisés pour se connecter sur des sites universitaires. Cette fintech, partenaire d’Alibaba, qui opère aujourd’hui un site d’e-commerce permettant aux étudiants et jeunes salariés de faire des achats en payant par mensualités, était précédemment spécialisée dans les prêts étudiants, ce qui explique qu’elle ait accumulé ce type de données. La thèse la plus probable, à ce stade, est celle d’une diffusion volontaire des informations par d’anciens collaborateurs de la société, suite aux licenciements qui ont suivi l’arrêt par Qudian de son activité de prêts étudiants. Plusieurs ex-employés auraient en effet expliqué aux journalistes que les systèmes de Qudian souffraient alors de très importantes failles de sécurité, et que presque n’importe qui aurait pu télécharger le contenu de la base de données.

Individus & Groupes« Lazarus »
Le groupe Lazarus, soupçonné d’être soutenu par le gouvernement nord-coréen, serait impliqué dans la propagation d’un nouveau malware Android semblant visé un public coréen. Cette théorie est celle des experts de McAfee Mobile Search, qui se basent sur le format du malware en question : il contient une porte dérobée « backdoor » sous la forme d’un fichier ELF (Executable and Linkable Format), similaire à ceux utilisés par Lazarus. Le malware est une version modifiée d’une application existante pour lire la Bible en coréen. La version illégitime de l’application ne serait pas propagée par Google Play. Les chercheurs ne sont, à ce stade, pas parvenu à déterminer le canal de diffusion utilisée. Si l’hypothèse de McAfee est confirmée, il s’agirait de la première incursion du groupe Lazarus dans le domaine des malwares sur mobiles.
En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !