La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Piratages des réseaux SWIFT de banques Indiennes et Russes
  • Des données sensibles d’employés de l’Etat de Californie exposées
  • L’outil « Jenkins » ciblé par un malware d’extraction de Monero
  • La société Telsa victime de crypto-jacking
  • Les IoT ciblés par une nouvelle version du botnet Mirai
  • Plus de 50 000 identifiants de connexion d’utilisateurs de Snapchat dérobés
  • Des utilisateurs piratés par une vulnérabilité sur uTorrent
  • Des informations sur des menaces informatiques provenant de nos sources russes et chinoises
  • Focus sur les groupes « APT37 » et « APT28 »

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !Menaces Sectorielles

Finance

Une banque indienne piratée via le système de transferts financiers SWIFT
La banque indienne City Union Bank a indiqué avoir été la cible de transferts financiers frauduleux, à hauteur de près de deux millions de dollars. La banque aurait immédiatement mis le personnel hors de cause, et affirmerait qu’il s’agit d’une organisation de pirates informatiques internationaux. Les pirates auraient utilisé le système de transferts de fonds SWIFT, afin de s’infiltrer au sein des serveurs de la banque et d’effectuer trois virements vers différentes destinations dans le monde, à New-York, à Dubaï ou en Chine. La banque aurait été en mesure de bloquer un virement d’un montant 500 000 dollars envoyé à une banque de Dubaï. La plateforme SWIFT avait déjà fait l’objet de plusieurs piratages, illustrés notamment par le vol de près de 81 millions de dollars à une banque du Bangladesh en 2016. Par ailleurs, la Banque Centrale russe a récemment indiqué qu’une banque russe aurait également été victime d’un piratage de son réseau SWIFT, et se serait vue dérober l’équivalent de six millions de dollars.

Politique

Une faille expose des données sensibles appartenant à des fonctionnaires de l’Etat californien
Le 16 février, le quotidien américain « Sacramento Bee » a signalé un incident datant potentiellement de décembre 2017. Une faille dans un système de stockage aurait causé la fuite de milliers de noms et de numéros de sécurité sociale appartenant à des fonctionnaires du Ministère de la pêche et de la vie sauvage de l’Etat de Californie. Ceux-ci n’auraient été alertés que cette semaine par l’intermédiaire d’une note envoyée par le Ministère. Par ailleurs, des informations commerciales auraient également été divulguées. Il s’agirait d’un incident d’origine humaine impliquant un ancien employé ayant téléchargé des données sur un appareil personnel avant de le déconnecter du réseau sécurisé utilisé par l’Etat. Les services californiens mèneraient une enquête visant à déterminer l’origine de l’attaque.

Cryptomonnaie

L’outil « Jenkins » ciblé par un malware d’extraction de Monero
Les chercheurs de « Check Point » ont récemment découvert que les serveurs de l’outil d’intégration continue « Jenkins », effectuant des tests automatisés et des opérations basées sur les résultats de ces tests, auraient été infectés par un malware de minage de la cryptomonnaie Monero. Un groupe de pirates anonymes aurait installé sur les serveurs de Jenkins un malware « minerxmr.exe », en exploitant la vulnérabilité « CVE-2017-1000353 » qui permettrait d’exécuter un code malveillant sans besoin d’authentification préalable. Le malware, vraisemblablement actif depuis plusieurs mois, aurait miné plus de 10 800 Monero, soit 3,4 millions de dollars. Il aurait été téléchargé depuis une adresse IP localisée en Chine et associée à un serveur appartenant au gouvernement local de la province chinoise de Huai’an. Or, selon les chercheurs, le serveur en question aurait pu être compromis et exploité par les pirates sans être à l’origine de l’attaque lui-même. L’attaque serait facilité par le fait que plus de 25 000 serveurs de Jenkins resteraient actuellement exposés en ligne.

Telsa victime d’un piratage lié au minage de la cryptomonnaie
La société RedLock, spécialisée dans la sécurité informatique a récemment découvert que des pirates ce seraient infiltrés dans un environnement Amazon Cloud appartenant à Telsa via une console Kubernetes accessible sans mot de passe. Le piratage aurait exposé des informations d’identification contenant potentiellement un grand nombre de données sensibles. Par ailleurs, les pirates auraient également exploité l’un des serveurs de la société de robotique afin de miner de la cryptomonnaie, tout en cachant la véritable adresse IP du serveur utilisé pour le minage, afin de ne pas être détectés immédiatement. La société Telsa aurait réagit très rapidement à cette attaque après que les équipes de RedLocker ont signalé l’incident.

IoT

Les IoT ciblés par une nouvelle version du botnet Mirai
Une nouvelle version du botnet Mirai baptisée OMG aurait été détectée par l’équipe de chercheurs de Fortinet ce mois-ci. La multiplication des nouvelles versions du botnet Mirai serait liée à la fuite du code source de ce dernier en octobre 2016. En l’occurrence, cette nouvelle variante contiendrait des caractéristiques similaires à la version d’origine mais exploiterait le logiciel open source 3proxy pour s’en servir comme serveur proxy tout en dirigeant le trafic vers deux ports choisis au hasard et qui sont ensuite transmis au serveur de commande et contrôle (C&C). D’après Fortinet il s’agirait de la première version du botnet Mirai capable à la fois de mener des attaques de type DDoS tout en mettant en place un serveur proxy sur des objets connectés vulnérables.

Réseaux Sociaux

Une attaque de phishing a collecté les identifiants de connexion de plus de 50 000 utilisateurs de Snapchat
Des utilisateurs de Snapchat auraient été victimes d’une attaque de phishing en 2017, à l’issue de laquelle Snapchat avait décidé de réinitialiser une grande partie des comptes des utilisateurs de l’application. Cette première attaque reposait sur un lien envoyé aux utilisateurs à partir d’un compte pirate. Ce lien renvoyait vers une copie du site officiel. Les pirates responsables de l’attaque ont partagé une liste regroupant les identifiants de connexion de 55 851 comptes Snapchat sur le site klkviral[.]com, ouvert dans cet unique but et désormais inactif. L’entreprise a prévenu ses utilisateurs et conseillent d’utiliser des mots de passe forts et de ne pas utiliser d’autres application ou plugins tiers autres que Snapchat.

Informatique

Une vulnérabilité sur uTorrent permettrait de pirater les utilisateurs
Selon l’équipe de Google Project Zero (une équipe de Google chargée de détecter des vulnérabilités Zero day), une vulnérabilité sur le client torrent uTorrent aurait été découverte. La vulnérabilité permettrait aux pirates d’accéder aux fichiers et d’y glisser du code malveillant. Pour cela, les pirates utiliseraient le DNS Rebinding (une technique qui permet à un attaquant situé dans un réseau d’accéder à une application web située dans un autre réseau). Dans un email envoyé le 20 février dernier, le vice-président de l’ingénierie de BitTorrent (le développeur des applications uTorrent) assure avoir corrigé la faille dans une version beta. Il est déconseillé d’utiliser le logiciel avant le déploiement d’une mise à jour dans la version de distribution.

 

Ecosystème Régional

Ecosystème russe

Un cas de fraude utilisant la signature électronique détecté en Ukraine
Les services secrets ukrainiens auraient détecté un piratage au sein du registre foncier de l’Etat ukrainien. Un groupe de pirates, dirigé par un officier de l’Etat ukrainien dont l’identité n’est pas connue, aurait mis en place un schéma de fraude permettant d’attribuer des biens immobiliers à des personnes fictives. L’officier de l’Etat ayant accès au serveur du registre foncier aurait utilisé le mécanisme de signature électronique pour modifier les actes juridiques du tribunal de l’arrondissement de Kiev-Svyatochinsky, et détourner ainsi les biens de l’Etat ukrainien. Le coût des biens illégalement dérobés est estimé à plus de 70 millions d’hryvnia, soit plus de 210 000 euros.

Ecosystème chinois

Les données personnelles d’environ 2 500 foyers précaires exposées
Les sites officiels de cinq localités chinoises afficheraient en clair sur internet les données personnelles de certains de leurs résidents. C’est ce que le journal shanghaïen The Paper aurait rapporté aux autorités. Les localités concernées sont le village de Tantou au Fujian, le district de Ningdu de la ville de Ganzhou au Jiangxi, le district de de Suxian de la ville de Chenzhou au Hunan, le district de Chenxi de la ville de Huahua au Hunan et le district de Yao’an de la ville de Chuxiong au Yunnan. Les sites de ces gouvernements locaux auraient tous eu pour point commun d’afficher ouvertement sur leurs sites la liste de leurs résidents en situation de pauvreté, avec des détails tels que le numéro de carte d’identité du porteur, le nombre de personnes au sein du foyer, le village de résidence, le numéro de téléphone ou encore le motif de la situation de précarité. La situation a depuis été rectifiée et les données ne sont plus accessibles publiquement.

 

Individus & Groupes

« ATP37 » ou « Reaper »
Selon un rapport de l’entreprise de cybersécurité américaine FireEye, un groupe de professionnels du piratage informatique, baptisé APT37 (ou encore Reaper), serait actif depuis au moins 2012, avec le soutien du gouvernement de Pyongyang. Moins connu que le groupe Lazarus (qui serait notamment soupçonné d’être à l’origine de la cyberattaque WannaCry en 2017), le groupe APT37 serait responsable des attaques informatiques dont la Corée du Sud aurait récemment fait l’objet. En outre, APT37 serait également à l’origine de l’exploitation de la vulnérabilité Zero day dans Adobe Flash Player. Cette vulnérabilité représente, selon les experts, un niveau d’expertise qui laisse supposer la montée en puissance de ce groupe, qui le qualifient de « petit frère » du groupe Lazarus.

Changement de cap pour le groupe de pirates russes « APT28 »
Après la campagne « Dealer’s Choice » menée début 2017 contre les nations constitutives de l’OTAN ainsi que contre l’Ukraine, il semblerait que les pirates du groupe APT28 aient depuis modifié leurs cibles. Les experts de Kaspersky indiquent en effet un intérêt grandissant du groupe pour la zone moyen-orientale et centrasiatique depuis mi-2017. D’après leur analyse, le groupe viserait de plus en plus des pays d’Asie centrale ayant appartenu au bloc soviétique, tels que le Kazakhstan, l’Arménie, le Kirghizistan et l’Ouzbékistan. Précisément, les compagnies stratégiques de télécommunications ou relatives à la défense seraient les cibles prioritaires des campagnes de phishing menées par APT28. Egalement appelé Fancy Bear, ce groupe de pirates utiliserait des outils puissants tels que Zebrocy, efficace pour collecter les données des victimes.

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !