La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • 2 844 fuites de données s’ajoutent au service « Have I Been Pwned »
  • Les clients de la société T-Mobile vulnérables à des usurpations de comptes
  • Les données personnelles de 693 000 lecteurs de L’Express accessibles en ligne durant plus d’un mois
  • Une faille affectant des pages Facebook exposerait des données personnelles des utilisateurs
  • La plus grande attaque DDoS jamais détectée cible le site de GitHub
  • 53 applications Android infectées par le malware RedDrop
  • Le ransomware Data Keeper, un RaaS complexe
  • Des certificats TLS contrefaits vendus sur le Dark Web
  • Des informations sur des menaces informatiques provenant de nos sources russes et chinoises
  • Focus sur la nouvelle attaque du groupe russe « APT28 » et sur le groupe iranien « Chafer »

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !Menaces Sectorielles

Multisectorielle

2 844 fuites de données s’ajoute au service « Have I Been Pwned »
Le chercheur en sécurité et fondateur du site Web « Have I Been Pwned », Troy Hunt, a procédé à l’ajout de 80 115 532 adresses courriel uniques, issues de 2 844 fichiers, au sein de son service de fuites de données. Ces informations ont été découvertes au sein d’une archive ZIP de 8,8 Go contenant 2 889 fichiers texte et concernant potentiellement 200 millions de comptes utilisateurs unique. Près de 70% des informations contenues étaient déjà connues. Néanmoins, près de 30% des données ne l’étaient pas, ce qui a motivé Troy Hunt à les ajouter à son service. Les données ont été également partagées sur une plateforme malveillante du Surface Web. Nos services ont également pu se procurer les bases de données fuitées qui ont été traitées pour nos clients. Plus de 18 000 identifiants ont ainsi été détectés.

Télécommunications

Les clients de la société T-Mobile vulnérables à des usurpations de compte
Découverte en décembre 2017, une faille sur le site de l’opérateur aurait permis à des pirates de se connecter comme n’importe quel client possédant un compte T-Mobile. Le chercheur en sécurité ayant détecté la faille, Kane Gamble, aurait obtenu plus de 800 identifiants en se connectant trois fois sur le journal du site. Depuis la révélation publique de la vulnérabilité, la société aurait classé l’incident comme « critique » et développé une mise à jour corrigeant le bug. A l’heure actuelle, les recherches internes à la société T-Mobile ne permettent pas de savoir si des vols de données ont eu lieu.

Médias

Les données personnelles de 693 000 lecteurs de L’Express accessibles en ligne durant plus d’un mois
Une faille contenue dans l’un des serveurs de l’hebdomadaire français L’Express aurait permis à des individus malveillants d’accéder à une base de données contenant environ 60 Go de données personnelles de lecteurs, ainsi qu’à d’autres informations sensibles relatives aux opérations menées en ligne par les administrateurs du magazine. Les noms, prénoms, adresses mail, photo de profil et professions de centaines de milliers d’utilisateurs auraient ainsi été exposés en ligne et sans mot de passe ; libres de tout téléchargement. Bien qu’alertés dès janvier, les responsables informatiques n’auraient pas remédié immédiatement à cette vulnérabilité. Selon l’analyse de Mickey Dimov, chercheur à l’origine de la découverte, des pirates auraient tenté de monétiser les données une douzaine de fois.

Réseaux sociaux

Une faille affectant des pages Facebook exposerait des données personnels des utilisateurs
Le chercheur de l’institut International pour la cybersécurité Mohamed Baset a annoncé le 25 février dernier que le géant des réseaux sociaux Facebook venait d’appliquer un correctif pour une vulnérabilité exposant les données des pages des utilisateurs. La faille en question apparaîtrait lorsque l’utilisateur reçoit un email de Facebook l’invitant à suivre une page dont il a déjà aimé une publication. Via le code de l’email, il est possible de retrouver le nom du propriétaire de la page. Ce qui peut représenter une menace pour les pages d’entreprises, les utilisateurs verraient le risque d’être victime d’une cyberattaque ou tout simplement soumis à du harcèlement. Le chercheur égyptien a reçu 2 500 dollars dans le cadre de son programme de chasse aux bugs.

Numérique

La plus grande attaque DDoS jamais détectée cible le site de GitHub
Le 28 février, le site de la plateforme collaborative GitHub aurait été ciblé par une attaque par déni de service distribuée (DDoS) de la plus grande ampleur jamais détectée sur Internet. Celle-ci aurait atteint le débit de 1,35 térabit par seconde. Les pirates, dont l’identité reste inconnue, auraient mené l’attaque par le biais de serveurs « Memcached », soit un service qui permettrait de faire des requêtes sur un cache de données stocké en mémoire et qui serait par défaut accessible par le protocole UDP vulnérable à l’usurpation des adresses IP. Les attaquants auraient ainsi envoyé des requêtes vers ces serveurs et réorienteraient des réponses à ces requêtes vers le site ciblé, en profitant du facteur d’amplification du service Memcached. Ce facteur serait de 51 000, ou bien pour chaque requête de taille d’un byte envoyé par pirate vers les serveurs exploités, une réponse de taille de 51 kilobytes serait diffusée vers le site ciblé. Selon les chercheurs de l’entreprise Akamai ayant remédié à cette attaque, plus de 93 000 serveurs Memcached seraient actuellement exposés sur Internet et exploitables pour les attaques DDoS.

53 applications Android infectées par le malware RedDrop
Des chercheurs de la société britannique Wandera, spécialisée dans la sécurité des mobiles, auraient découvert l’existence d’un logiciel espion polyvalent, intitulé RedDrop, et qui serait capable de réaliser des enregistrements audio et de télécharger ces fichiers vers des comptes DropBox ou Google Drive. Malgré ses fonctionnalités intrusives, le malware n’aurait pas été utilisé dans des opérations de cyberespionnage. Il serait distribué principalement en Chine où Google Play Store n’est pas disponible, ce qui oblige les utilisateurs à télécharger les applications via des sites alternatifs qui ne peuvent pas garantir leur niveau de sécurité. Une fois installé sur le mobile, le malware s’exécute au démarrage et téléchargerait en parallèle sept nouvelles applications qui doperaient le malware initial en lui offrant ainsi de nouvelles fonctionnalités. Les chercheurs de Wandera estiment que ce malware serait principalement utilisé à des fins de chantage.

Le ransomware Data Keeper, un RaaS complexe
Découvert il y a quelques jours sur le Dark Web par les chercheurs de Bleeping Computer, le nouveau Ransomware-as-a-Service Data Keeper, aurait déjà fait ses premières victimes. A l’image du RaaS Saturne, Data Keeper permettrait à n’importe qui de souscrire au service et de générer immédiatement des fichiers binaires malveillants, sans avoir à payer de frais pour ouvrir un compte. Les auteurs de ce malware autoriseraient les utilisateurs à générer et envoyer eux-mêmes les fichiers infectés à leur victimes, leur permettant ainsi de percevoir directement une partie de la rançon exigée pour déchiffrer les fichiers, sans toutefois préciser le montant en Bitcoin de la commission. Les chercheurs ne seraient pas pour l’instant en mesure de pouvoir récupérer les fichiers infectés des victimes. En outre, d’après les experts, des variantes de ce ransomware seraient déjà disponibles.

Dark web

 

Des certificats TLS contrefaits vendus sur le Dark Web
En 2017, des chercheurs en cybersécurité auraient constaté une augmentation soudaine de certificats de signatures de code, utilisés comme technique d’obfuscation dans les campagnes malveillantes. Les experts de Recorded Future auraient découvert que les acteurs malveillants proposant à la vente ces certificats de signature de code, proposent également à l’achat les noms de domaine comportant les certificats SSL associés. Contrairement à l’idée que les faux certificats en vente sur le Dark Web seraient dans un premier temps volés à leur propriétaires légitimes avant d’être utilisés pour des campagnes malveillantes, les experts affirment que les certificats seraient créés à partir d’une identité volée spécialement pour un acheteur spécifique, rendant la sécurité du réseau traditionnel moins efficace. Les auteurs de ces certificats contrefaits utiliseraient des paires de clés volées à des sociétés réputées telles que Comodo, Thawte, ou Symantec, afin de générer ces faux certificats, au lieu de revendre directement les clés dérobées.

 

Ecosystème Régional

Ecosystème russe

L’application mobile GetContact menace les données personnelles
Le mercredi 28 février, Roskomnadzor (Service fédéral de supervision des communications, des technologies de l’information et des médias de masse en Russie) aurait vérifié la conformité de l’application GetContact avec la législation de la Fédération de Russie sur la protection des données personnelles. GetContact apparait aujourd’hui comme leader des téléchargements sur l’App Store russe, devançant Telegram et Sberbank-online. Précisément, GetContact serait une application de blocage des spams et d’identification de l’appel entrant, permettant de connaitre automatiquement l’identité de la personne appelant, même si celle-ci n’est pas enregistrée dans la liste des contacts. Les utilisateurs pourraient également savoir sous quel format leur nom est stocké dans la liste de contacts d’autres personnes. Selon les conditions générales d’utilisation, GetContact pourrait partager avec des tiers toute les informations personnelles. Les experts de Roskomnadzor estiment qu’en téléchargeant de telles applications sur appareil mobile, les utilisateurs ouvrent l’accès à toutes leurs données personnelles, pouvant ensuite être détournées à des fins malveillantes.

Ecosystème chinois

Six APT ont sévi en Chine en 2017
Le 360 Threat Intelligence Center a publié le 25 février 2018 un rapport sur les APT en 2017. Si cette publication fait un état des lieux mondial, elle comprend une section dédiée aux APT ciblant spécifiquement la Chine. D’après cette étude, la Chine serait le deuxième pays le plus affecté par ces menaces récurrentes, et une large variété d’entités y seraient visées (gouvernement, armée, télécoms, médias, aéronautique, finance, etc). Les pirates passeraient principalement par des attaques de phishing pour cibler majoritairement les provinces du littoral Est et le centre. Sur trente-huit groupes référencés par le 360 TIC comme ayant historiquement pris le pays pour cible, six auraient encore été en activité en 2017. Trois des groupes sont identifiables, dont OceanLotus (groupe réputé pour avoir des liens avec le gouvernement vietnamien) et Hangover (un groupe présumé indien également connu sous les noms de « Viceroy Tiger », « Patchwork » ou encore « Dropping Elephant »), qui auraient mené des attaques constantes contre l’empire du milieu sur l’ensemble de l’année 2017, et serait d’ailleurs toujours actif en février 2018. DarkHotel, découvert par Kaspersky en 2014, aurait également pris pour cible le pays, mais aurait cessé ses attaques depuis octobre 2017. Enfin, trois autres groupes sont désignés par des références internes : APT-C-12, APT-C-56 et APT-C-58 ; 360 TIC ne donne que peu de détails les concernant. Ainsi, APT-C-56, connu depuis 2014, aurait démarré ses attaques en novembre 2017 et ciblerait toujours la Chine à l’heure actuelle.

 

Individus & Groupes

« Chafer », un groupe de pirates iranien en pleine expansion internationale
Symantec a publié le 28 février un rapport analytique avertissant de la menace représentée par le groupe de pirates iranien connu sous le nom de « Chafer ». « Chafer » serait apparu en juin 2014 et effectuerait principalement des attaques ciblant le secteur des télécommunications et du transport aérien et naval. Le groupe aurait été particulièrement actif au cours de l’année 2017, en conduisant une série de cyber opérations contre des cibles en Arabie Saoudite, Emirats Arabes Unis, Israël, Jordanie et Turquie. D’après cette étude, le motif de « Chafer » serait de recueillir des renseignements sur des individus utilisant les services ciblés par les attaques, pour ensuite conduire la surveillance et le traçage de ces individus au niveau domestique et international. Le vecteur principal des attaques de « Chafer » seraient les injections SQL sur les serveurs d’entreprises victimes et les campagnes de phishing ciblé (spear phishing) par le biais d’emails contenant des fichiers Excel malveillants. Par ailleurs, Symantec aurait détecté des preuves de l’expansion internationale du groupe : celui-ci aurait tenté d’infiltrer le site de réservation de voyages appartenant à une entreprise internationale ainsi qu’une compagnie aérienne africaine. Des chercheurs de Symantec formulent l’hypothèse que « Chafer » serait identique à un autre groupe de pirates iraniens connu sous l’appellation « Crambus » ou « Oilrig ».

Une nouvelle attaque vise les réseaux informatiques internes du gouvernement allemand
Le groupe de pirates russes APT28 (ou Fancy Bear) évoqué la semaine dernière dans Threat Landscape serait cette fois suspecté d’avoir infiltré les réseaux internes sécurisés du gouvernement allemand, pendant plus d’un an. Un logiciel malveillant aurait en effet ciblé des entités fédérales stratégiques dont le Ministère des Affaires Etrangères et celui de la Défense. Selon les premières investigations, les pirates auraient été en capacité de voler des données mais les chercheurs ne peuvent pour le moment pas déterminer la période durant laquelle leur réseau a été vulnérable. Le porte-parole des entités ciblées aurait confirmé la clôture de l’incident.

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !