La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • La fuite de données Facebook plus sérieuse que prévue
  • Le gouvernement américain alerte sur des équipements d’espionnage actifs à Washington DC
  • Une vulnérabilité sur le site Web de la chaîne américaine de boulangerie Panera Bread entraîne la fuite des données client
  • L’application de rencontre Grindr aurait partagé le « statut VIH » d’utilisateurs vers ses prestataires
  • Google supprime les extensions Chrome qui minent de la crypto-monnaie
  • Un ransomware aurait chiffré les données d’une compagnie indienne du secteur de l’énergie
  • Une nouvelle variante de KevDroid détectée
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
  • Le groupe FIN7 s’attaque aux chaînes de magasins Lord & Taylor et Saks Fifth Avenue : 5 millions de cartes bancaires potentiellement dérobées

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Réseaux sociaux

La fuite de données Facebook plus sérieuse que prévue
Le groupe Facebook a annoncé le 4 avril dernier que les données de 87 millions d’utilisateurs du réseau social (dont 211 591 utilisateurs français) ont été exploitées par la société de conseil en communication britannique Cambridge Analytica, afin d’influencer le comportement de ces utilisateurs durant les élections présidentielles américaines. Cambridge Analytica aurait ainsi récupéré une grande base de données via un questionnaire psychologique téléchargé par plus de 300 000 personnes dans le monde. Dans ce contexte, Facebook a annoncé une série de mesures visant à restreindre les droits des applications et autres services tiers se connectant au réseau social. En effet, ces applications auraient été en mesure de collecter de nombreuses données sur leurs utilisateurs, telles que leur religion ou leur orientation politique, lorsque ces informations étaient fournies par l’internaute. Parallèlement, le réseau social aurait rendu impossible la recherche d’un utilisateur Facebook à partir de son numéro de téléphone ou de son email. De son côté la société d’analyses de données pointée du doigt réfute ce chiffre et indique n’avoir « reçu » les données que de « 30 millions » de personnes via la société Global Science Research (GSR) qui les aurait, selon Facebook, transmis sans autorisation.
En savoir plus

Secteur Public

Le gouvernement américain alerte sur des équipements d’espionnage actifs à Washington DC
L’utilisation de simulateurs de sites de téléphones mobiles à des fins d’espionnage est une pratique connue et surveillée depuis longtemps par les Etats-Unis. Une unité américaine a d’ailleurs été créée en 2014 par la Commission Fédérale des Communications pour tenter de réguler les « IMSI catchers » (International Mobile Subscriber Identity) étrangers, susceptibles de nuire à la sécurité économique du pays. Néanmoins, aucune mesure n’aurait été prise et, le 26 mars dernier, le Ministère américain de la sécurité intérieure aurait finalement rendu publique l’effectivité de simulateurs cellulaires au cœur de Washington DC. Aucun détail sur les opérateurs de ces matériels n’a été transmis par le Ministère mais les possibilités offertes par ces équipements sont non négligeables : géolocalisation exacte du mobile, interception des appels ou encore insertion d’un malware dans le smartphone. Par ailleurs, les caractéristiques de ces équipements également appelés « Stingrays » les rendent difficiles d’accès pour les autorités : grâce à leur petite taille, ils pourraient être utilisés dans un avion survolant la ville ou encore dans une voiture située à côté de lieux stratégiques.
En savoir plus

Restauration

Une vulnérabilité sur le site Web de la chaîne américaine de boulangerie Panera Bread entraîne la fuite des données client
La chaîne américaine de boulangeries Panera Bread, qui possède près de 2 100 points de ventes aux Etats-Unis et au Canada, aurait laissé fuiter ses propres données pendant près de huit mois. La fuite serait liée à un défaut présent sur le site Web de Panera Bread qui pourrait permettre d’accéder à des informations confidentielles (informations sur les comptes client avec nom d’utilisateur, adresse email, lieu de résidence, numéros de téléphone, numéros de cartes bancaires) à partir d’URL vulnérables. L’information a été publiée par Brian Krebs le 2 avril après que le chercheur en sécurité à l’origine de la découverte, Dylan Houlihan, lui ait indiqué avoir notifié la société au sujet de cette vulnérabilité en août 2017. Panera Bread aurait attendu la parution de l’article de Brian Krebs pour corriger cette faille, tout en indiquant qu’il n’y avait aucune preuve d’un accès illégitime aux informations accessibles via l’URL vulnérable sur les huit derniers mois. Plus de 37 millions de comptes pourraient être concernés par la fuite de données en question.
En savoir plus

Numérique

L’application de rencontre Grindr aurait dévoilé des données privées de ses utilisateurs, dont leur « statut VIH »
Selon une enquête menée par une ONG suédoise, l’application de rencontres Grindr aurait partagé le « statut VIH » de ses utilisateurs avec des entreprises tierces aux Etats-Unis. L’enquête révélerait qu’une personne utilisant le même réseau WI-FI pourrait facilement accéder à certaines informations personnelles d’un utilisateur Grindr, telles que ses préférences sexuelles, son origine ethnique, sa position GPS ainsi que son « statut VIH ». L’application, qui serait utilisée par des millions de personnes à travers le monde, n’exigerait pas suffisamment de consentement de la part de ses utilisateurs.
En savoir plus

Crypto-monnaie

Google supprime les extensions Chrome qui minent de la crypto-monnaie
Google a annoncé le 2 avril dernier qu’aucune extension de minage de crypto-monnaie ne serait plus disponible sur le Chrome Web Store (bibliothèque d’extensions du navigateur Chrome). L’ensemble des extensions de minage qui figurent actuellement sur le Chrome Web Store seront supprimées en juin prochain. Toutefois, Google a précisé que les autres extensions liées à la technologie blockchain resteront autorisées. Jusqu’à maintenant, les extensions dont l’unique fonction était de miner des crypto-monnaies étaient acceptées sur le Chrome Web Store. Ces extensions utilisent une part importante des ressources des ordinateurs, augmentant leur consommation d’énergie et accélérant l’usure de leurs composants.
En savoir plus

Secteur énergétique

Un ransomware aurait chiffré les données d’une compagnie indienne du secteur de l’énergie
Dans la nuit du 21 mars, un logiciel malveillant aurait pénétré le système informatique et chiffré l’ensemble des données de facturation des clients de la compagnie d’électricité Uttar Haryana Bijli Vitran Nigam (UHBVN), l’une des deux plus grandes sociétés d’énergie de l’état d’Haryana. Pour les déchiffrer, les pirates auraient exigé en bitcoin la somme de 10 millions de Roupies – soit l’équivalent de 152 000 dollars américains -. La société indienne a annoncé, via un communiqué, que les données de 4 000 clients seraient de nouveau utilisables. La brigade de lutte contre la cybercriminalité indienne aurait lancé des investigations afin de découvrir l’auteur de cette attaque. Certains chercheurs en cybersécurité avancent l’hypothèse d’un lien entre cette attaque et les attaques subies en 2017 par de nombreuses compagnies, impliquant des « armes cyber » volées à la NSA.
En savoir plus

Malware

Nouvelle variante de KevDroid détectée 
Les chercheurs de Cisco Talos ont annoncé le 2 avril dernier avoir découvert deux nouvelles variantes du trojan KevDroid. Distribuées via une fausse application anti-virus, ces deux versions ont les mêmes fonctionnalités : voler des informations sensibles telles que la liste des contacts, les SMS et emails, les applications installées, l’historique des appels, les coordonnées de géolocalisation toutes les 10 secondes et peuvent également enregistrer les appels téléphoniques. Cependant, la deuxième variante utilise la CVE-2015-3636 afin d’obtenir les droits root sur l’appareil compromis permettant ainsi d’effectuer plus d’actions sans interaction avec l’utilisateur. Toutes les données volées seraient ensuite envoyées à un serveur de commande et de contrôle (C&C) contrôlé par l’attaquant, hébergé sur le réseau de flux de données global PubNub, à l’aide d’une requête HTTP POST. Les médias sud-coréens ont associé KevDroid au groupe de pirate nord-coréen « Groupe 123 ».
En savoir plus

Ecosystème Régional

Écosystème arabe

Ecosystème arabe : des sites israéliens piratés par Anonymous
Des dizaines de sites israéliens ont été victimes d’un piratage le 4 avril dernier par un collectif de pirates palestiniens appartenant au mouvement « Anonymous ». Les pages d’accueil des sites Web du ministère de la santé, de l’opéra national israélien, du syndicat des enseignants, du centre médical Hillel Yaffe, ainsi que de plusieurs villes israéliennes auraient été défacées. Leurs pages d’accueil auraient été remplacées par les messages : « Jérusalem est la capitale de la Palestine » en anglais, et « nous n’oublierons pas nos martyrs » en arabe. Ces attaques font partie d’une campagne annuelle anti-israélienne menée par Anonymous, dans le cadre de l’opération « OpIsrael », qui vise chaque année les sites et les comptes des réseaux sociaux du gouvernement israélien et d’autres institutions, dans le but de défendre la cause palestinienne.
En savoir plus

Écosystème chinois

Plusieurs attaques décryptées par les chercheurs chinois
Les experts de Tencent ont publié leur analyse d’un malware délivré sous la forme d’un fichier SYLK (format d’échanges de données Microsoft tout comme CSV, utilisé avec des logiciels de types tableur, traitement de texte ou base de données), souvent délivré par un email frauduleux. Ce format a l’avantage de rendre le document difficilement suspect aux yeux des anti-virus. Son ouverture permet une injection de code par l’intermédiaire du protocole Dynamic Data Exchange, qui lui permet d’accéder à l’interface de ligne de commande Windows PowerShell pour finalement lancer Orcus, un outil d’administration à distance de Windows. Tencent a également travaillé sur un malware mobile baptisé « Bank Holiday ATM » qui a la particularité de ne pas arriver en un bloc sur le système affecté, mais de se recomposer à partir de plusieurs morceaux distribués via des canaux différents. Enfin, le laboratoire de cyber-sécurité récemment inauguré par Ksyun, hébergeur cloud rattaché au géant chinois Kingsoft, a mis en avant sa découverte des auteurs d’attaques DDoS regroupant jusqu’à 750 000 bots, soit un groupe basé dans la province du Fujian.
En savoir plus ici ou .

Individus & Groupes

Le groupe FIN7 s’attaque aux chaînes de magasins Lord & Taylor et Saks Fifth Avenue : 5 millions de cartes bancaires potentiellement dérobées
Le 1er avril dernier la société Hudson’s Bay Company (HBC) a indiqué dans un communiqué officiel que ses enseignes Lord & Taylor, Saks Fifth Avenue et Saks OFF 5TH auraient été victimes d’une fuite de données visant notamment les informations bancaires de clients qui auraient procédé à des achats dans des magasins localisés en Amérique du Nord. D’après la société de Threat Intelligence Gemini Advisory cette fuite de données serait l’œuvre de l’APT FIN7 (aka JokerStash, Carbanak) qui a indiqué dès le 28 mars, être en possession de plus de cinq millions de cartes bancaires volées. La société précise que les réseaux des magasins Lord & Taylor ainsi que 83 points de ventes appartenant à Saks Fifth Avenue auraient été compromis depuis mai 2017, permettant ainsi à FIN7 de collecter les informations bancaires sur une période relativement longue. A date de rédaction de leur rapport, JokerStash aurait proposé 125 000 cartes bancaires à la vente sur les cinq millions présumées.
En savoir plus ici ou .

 

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !