Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Jean MARSAULT du hackathon organisé par la Hack.lu.
Veille cybercriminalité
Analyse d’un service de DDoS à la demande
Un nouveau rapport démontre l’intérêt de se pencher sur le mode de financement des services de cybercriminalité, dans le cadre de la lutte contre ceux-ci.
Le service de DDoS à la demande étudié ici, a rapporté à ses créateurs jusqu’à plus de $42.000 par mois.
Le service de DDoS à la demande étudié ici, a rapporté à ses créateurs jusqu’à plus de $42.000 par mois.
Le revendeur de jeux et matériel électronique Gamestop piraté
La chaîne spécialisée en revente de jeux vidéo Gamestop disposant de plus de 7000 points de vente et possédant notamment l’enseigne Micromania a notifié ses utilisateurs d’une fuite de leurs données de carte bancaire.
Le nombre d’utilisateurs concernés n’a pas été communiqué.
Le nombre d’utilisateurs concernés n’a pas été communiqué.
Les Raspberry PI ciblés par un malware de minage de crypto-monnaie
Un nouveau malware intitulé « Linux.MulDrop.14 » cible les Raspberry Pi insuffisamment sécurisés dans l’objectif de miner (fabriquer) de la crypto-monnaie (par exemple Bitcoin) pour le compte de son créateur.
Les possesseurs d’un Raspberry PI doivent s’assurer que le mot de passe du compte par défaut du système (pi) a été modifié.
Les possesseurs d’un Raspberry PI doivent s’assurer que le mot de passe du compte par défaut du système (pi) a été modifié.
Sources :
Veille Vulnérabilité
Le logiciel de véhicule connecté de Subaru affecté par 8 vulnérabilités
Un chercheur sécurité a mis à l’épreuve Starlink, la technologie du constructeur Subaru permettant de contrôler à distance les fonctions multimédia, sécurité et sûreté, et a identifié des vulnérabilités permettant notamment d’agir sur le verrouillage du véhicule, accéder à sa géolocalisation…
Sources :
- https://www.scmagazine.com/researcher-hacks-subaru-wrx-sti-starlink/article/666460/
- http://www.databreachtoday.com/exclusive-vulnerabilities-could-unlock-brand-new-subarus-a-9970
Utilisation de Intel AMT pour contourner le firewall Windows
Le groupe PLATINUM déjà auteur d’attaques sur les institutions et entreprises du sud et sud-est de l’Asie est connu pour réaliser un nombre d’attaques ciblées limitées par an, développer ses propres outils, utiliser des vulnérabilités non patchées et limiter ses traces au maximum.
Microsoft a découvert une évolution dans l’outillage de PLATINUM pour communiquer avec les hôtes infectés : l’utilisation du canal de communication Serial-over-LAN, via l’utilisation d’Intel AMT (Active Management Technology).
Le trafic réseau utilisé par AMT est entièrement cloisonné du reste du système d’exploitation, ce qui rend impossible l’analyse du trafic par l’OS hôte ou son firewall.
Microsoft a découvert une évolution dans l’outillage de PLATINUM pour communiquer avec les hôtes infectés : l’utilisation du canal de communication Serial-over-LAN, via l’utilisation d’Intel AMT (Active Management Technology).
Le trafic réseau utilisé par AMT est entièrement cloisonné du reste du système d’exploitation, ce qui rend impossible l’analyse du trafic par l’OS hôte ou son firewall.
Sources :
Indicateurs de la semaine
Le leak de la semaine
Le leak de la semaine est signé The Intercept. Il s’agit d’un rapport de la NSA dévoilant les vagues de phishing ayant touché les éditeurs de logiciels de machines de vote électronique et des fonctionnaires électoraux locaux. Le renseignement militaire russe est suspecté.
À noter qu’au passage, The Intercept a involontairement révélé l’identité de sa source en publiant des captures d’écran des documents watermarkés (numériquement tatoués), et l’a ainsi conduite à son arrestation.
À noter qu’au passage, The Intercept a involontairement révélé l’identité de sa source en publiant des captures d’écran des documents watermarkés (numériquement tatoués), et l’a ainsi conduite à son arrestation.
Sources :
- https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/
- http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html
L’outil de la semaine - InvokeCradleCrafter
Daniel Bohannon a récemment publié un module Powershell appelé « CradleCrafter ». Ce dernier permet la création de « Cradles », qui correspondent en PowerShell a des étapes d’obfuscation permettant de dissimuler le réel contenu d’un script malveillant.
Cet outil permet l’enchaînement de ces Cradles afin d’obtenir un payload personnalisé quasi indétectable par les antivirus.
Source :
Cet outil permet l’enchaînement de ces Cradles afin d’obtenir un payload personnalisé quasi indétectable par les antivirus.
Source :
L'attaque de la semaine
Une étude réalisée par les chercheurs en sécurité chez ESET et Dragos démontre l’existence et l’utilisation d’un malware spécialement créé pour s’attaquer aux réseaux de distribution d’électricité, et pointent sa responsabilité dans l’attaque menée en décembre 2016 contre le réseau électrique Ukrainien ayant abouti aux coupures électriques dans la ville de Kiev pendant une heure.
L’objectif poursuivi par ce malware dénommé CrashOverride/Industroyer est le sabotage. Le groupe ELECTRUM ayant mené l’attaque est suspecté de liens avec la Russie.
Source :
L’objectif poursuivi par ce malware dénommé CrashOverride/Industroyer est le sabotage. Le groupe ELECTRUM ayant mené l’attaque est suspecté de liens avec la Russie.
Source :
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
David CAZUC