La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Aux Etats-Unis, l’industrie du nucléaire en proie aux cyberattaques
  • Malware sur les terminaux de point de vente : Avanti Market récente victime
  • L’industrie aérospatiale victime d’une campagne de spam 
  • Sécurité Android : SpyDealer et LeakerLocker menacent les utilisateurs
  • Finance : les banques suisses sous la menace du malware OSX_DOK
  • Télécommunications : fuite de données chez Verizon et l’opérateur indien Jio Reliance
  • Fuite de données3 millions de fans de catch voient leurs données personnelles exposées
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises 
  • Focus sur le pirate « Dhostpwned »
Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Les menaces sectorielles

Energie

L’industrie américaine du nucléaire, cible de cyberattaques
D’après le New York Times, le département américain de la Sécurité intérieure aurait publié un rapport d’alerte sur des cyberattaques en cours visant le secteur de l’industrie nucléaire américaine. Parmi les victimes de ces cyberattaques figurerait Wolf Creek Nuclear Operating Corporation, qui gère notamment la centrale nucléaire du Kansas. La nature de la charge malveillante, le nom des pirates ainsi que l’objectif de ces attaques demeurent incertains. Toutefois, des hypothèses circulent sur l’origine des pirates, suspectés d’être russes. La seule information relayée concernerait le vecteur de l’attaque : le malware a été distribué via une campagne de spear-phishing visant des ingénieurs de contrôle des installations nucléaires (grâce à l’envoi de faux CV).
En savoir plus

Restauration

La chaîne américaine Avanti market victime d’un malware sur ses terminaux de points de vente
Avanti Market, une société américaine spécialisée dans la restauration collective et présente dans 46 états américains, a annoncé avoir été victime d’une fuite de données le 4 juillet dernier. D’après le communiqué de l’entreprise, certaines bornes de paiement auraient été touchées par une attaque menée avec un malware capable de collecter les données bancaires des clients (le nom du propriétaire de la carte bancaire, le numéro ainsi que la date d’expiration). Les adresses email et les informations biométriques de certains clients possédant la carte de fidélité du groupe pourraient également avoir fuité si elles ont été utilisées depuis les bornes compromises.
En savoir plus

 

Aérospatiale

Le secteur de l’aérospatiale visé par une campagne de spam
L’industrie de l’aérospatiale en Suisse, en Ukraine, en Autriche et aux Etats-Unis a été la cible d’une campagne de spam délivrant le malware Adwind, un remote access trojan. Le malware serait capable d’opérer sur une variété de logiciels d’exploitation (Windows, Linux, Mac OSX et Android) et d’effectuer des tâches variées telles que voler des identifiants de connexion, enregistrer les touches frappées, prendre des captures d’écran ou exfiltrer de la donnée. La campagne de spam a été délivrée en deux fois : le 7 puis le 14 juin dernier avec un lien renvoyant vers un URL malveillant.
En savoir plus

Numérique

LeakerLocker, le ransomware Android qui menace de divulguer l’historique de navigation   
D’après McAfee, un nouveau ransomware baptisé LeakerLocker affecte les appareils Android à travers deux applications présentes sur le Google Play Store : Wallpapers Blur HD et Booster & Cleaner Pro. La particularité de ce malware n’est pas de chiffrer les données du smartphone, mais de sauvegarder les informations sensibles telles que l’historique de navigation, les photos, les SMS, mails, messages Facebook, etc. Le ransomware bloque le smartphone et un message s’affiche menaçant d’envoyer les informations compromettantes à tous les contacts. McAfee précise que LeakerLocker n’exploite aucune vulnérabilité, rendant sa détection difficile. Il se sert simplement des autorisations acceptées lors de l’installation.
En savoir plus

SpyDealer, le malware Android qui menace un utilisateur sur quatre
Les experts de l’entreprise Palo Alto Networks ont découvert un nouveau malware Android baptisé SpyDealer qui espionne plus de 40 applications (messageries, navigateurs, réseaux sociaux) et qui est capable d’exfiltrer des données systèmes. Après avoir analysé le malware, les ingénieurs ont conclu qu’il existait depuis 2015 et comptait 1046 versions dont 3 toujours actives (v1.9.1, v1.9.2, v1.9.3). Le malware est particulièrement actif en Chine où il se propage via les applications GoogleService et GoogleUpdate. D’après les ingénieurs, le malware est actuellement en cours de développement.
Étant donné que la plupart des malwares nécessitent l’accès root, SpyDealer utilise Baidu Easy, qui permet d’obtenir les droits nécessaires sur les appareils fonctionnant sous les versions 2.2 et 4.4 d’Android (25% des utilisateurs Android seraient ainsi potentiellement concernés). Si le logiciel malveillant n’arrive pas à obtenir les droits root, il se limite à la collecte d’informations.
En savoir plus

 

Finance

OSX_DOK : le malware qui vise les banques suisses 
Dans l’édition du 09 mai de Threat Landscape, nous avions évoqué le malware Dok. Découvert par CheckPoint, ce malware vise les utilisateurs de Mac et cherche à intercepter le trafic Internet de la victime. Cette attaque « Man-in-the-Middle » permet au pirate de récupérer les informations que la victime a entrées sur les sites Web consultés. TrendMicro a découvert une variante de ce malware, baptisé OSX_DOK, configuré pour détourner le trafic uniquement si l’adresse IP publique de la victime est située en Suisse, et redirige les utilisateurs vers une fausse page de connexion bancaire en ligne s’ils visitent le site Web d’une organisation financière. Le malware installe également des faux certificats de sécurité imitant le certificat racine COMODO et configure des proxy dans le but de détourner le trafic Web de l’utilisateur pour le rediriger, en cas d’accès, à des sites de phishing imitant des pages Web bancaires. Les analystes de Trend Micro supposent que le malware fait partie de la campagne Emmental, une campagne lancée en 2012 par des pirates (russes) et visant à déjouer les systèmes de double authentification des services bancaires en ligne.
En savoir plus

Télécommunications

Fuites de données depuis le Cloud Amazon : 14 millions de données personnelles de clients Verizon exposées
D’après la société UpGuard, les données personnelles (noms, adresses, détails du compte, numéro d’identification personnel) de 14 millions de clients de l’entreprise de télécommunications américaine Verizon auraient fuité. Les données en question auraient été stockées par la société NICE Systems dans un service Cloud chez Amazon AWS (service de stockage S3) qu’elle aurait mal configuré, laissant ainsi accessible et téléchargeable publiquement l’ensemble des données. Après détection le 8 juin dernier, Verizon a été informé de cette erreur le 13 juin et l’a corrigée le 22.
En savoir plus

Données clients menacées : fuite de données massive d’un opérateur de télécommunication indien
Les données personnelles de 120 millions de clients de Jio Reliance, opérateur mobile indien, auraient fuité. Sur le site magicapk.com une personnes non identifiée pour le moment aurait mis en ligne une base de données, qui comprend le nom et le prénom, le numéro de téléphone mobile, l’e-mail, la date de l’activation de la carte SIM ainsi que le numéro Aadhaar des utilisateurs. Un des plus grands problèmes liés à la fuite de la base est une possible utilisation illégitime des numéros d’identification Aadhaar par les personnes malveillantes. Jio Reliance est l’un des rares opérateurs qui utilisent ce numéro pour activer la carte SIM. Le code Aadhaar est un numéro d’identification unique composé de 12 chiffres, qui est attribué à tous les citoyens indiens par le système national UIDAI (Unique Identification Authority of India). Cet identifiant garde des données personnelles (le lieu de résidence, les comptes bancaires, les numéros de téléphone etc.) , y compris les données biométriques. A l’heure actuelle le site magicapk.com est bloqué et l’enquête de police est en cours.
En savoir plus

 

Sport

Fuite de données : les données de 3 millions de fans de catch en accès libre
Selon la firme de sécurité Kromtech, la plus grande entreprise de catch au monde WWE aurait laissé fuiter les données personnelles de plus de 3 millions d’utilisateurs. L’ensemble des données comprenait les adresses emails, les dates de naissances, et les tranches d’âges des clients de WWE. Les données en question auraient été stockées dans un service Cloud Amazon AWS (service de stockage S3) mal configuré ce qui les aurait ainsi exposées. Un porte-parole de la WWE a déclaré qu’une enquête est en cours, et que la base de donnée ne contenait ni de mots de passe ni informations sur des cartes de paiement. Par ailleurs, une autre base de données de la WWE avait été laissée accessible sur un serveur Amazon et contenant des informations sur essentiellement des fans européens de catch. WWE a été informée de la fuite par Dyachenko le 4 juillet et a rapidement supprimé la base de données.
En savoir plus

Ecosystème Régional

Ecosystème moyen-oriental

Le compte twitter d’une chaine iranienne piraté 
La chaîne de télévision iranienne AL-ALAM a déclaré lundi 10 juillet que son compte Twitter a été piraté par le groupe saoudien « Bouclier du royaume ». Le groupe a mis une photo du roi saoudien, et a changé le logo de la chaîne par une photo du roi saoudien. Ce piratage s’inscrit dans le cadre du conflit politique et militaire entre l’Arabie Saoudite et l’Iran.
Source

Ecosystème chinois

Un nouveau virus, Pengex, aurait été propagé depuis un canal Tencent  
Le 6 juillet 2017, la société Huarong Security a annoncé avoir détecté un nouveau virus, baptisé Pengex. Il installe une backdoor au niveau du kernel dont le but est de compromettre la page d’accueil en redirigeant le trafic. Mais Pengex est également capable de bloquer la plupart des antivirus chinois, ce qui rend le système infecté particulièrement vulnérable. Il attaque même les autres virus pour prendre le contrôle total de la machine. Huarong a néanmoins remarqué que Pengex est configuré pour ne pas affecter les ordinateurs des administrateurs de Tencent (grand groupe IT chinois), ce qui suggère que les auteurs auraient propagé le virus depuis un canal Tencent.
Source

Individus & Groupes

« Dhostpwned »
Un pirate répondant au pseudonyme « Dhostpwned » a indiqué à Bleeping Computer avoir piraté un service d’hébergement de sites Web du réseau Tor, Deep Hosting. L’équipe de Deep Hosting a confirmé qu’un piratage a eu lieu le dimanche 9 juillet dernier, affectant 91 sites Web du réseau Tor. Pour l’instant le pirate n’a publié aucune information sur les données qu’il aurait obtenues à l’issue de son piratage.
En savoir plus
 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !