rogue0 Posté(e) le 13 juin 2017 Share Posté(e) le 13 juin 2017 Le 17/05/2017 à 16:27, Boule75 a dit : Si je puis me permettre, plus qu'un échec de Microsoft ou des éditeurs d'anti-virus, la propagation de ce virus démontre, vu de moi :(...)Donc on peut gueuler autant qu'on veut sur Krosoft dans cette affaire, mais ça me semble un peu malhonnête. Les "écosystèmes" Linux / Cloud /Android actuels me semblent largement aussi fragiles et sur une pente particulièrement glissante. Facteur de résistance par rapport à l'univers Microsoft : l'hétérogénéité... Nouvelle affaire de malware (touchant un composant linux très courant) Après un patch samba, des pirates ont retrouvé la faille (via retro ingénierie), et ont diffusé un malware sambacry, de minage de crypto monnaie (touchant des PC, des NAS, etc) Même sans NSA, sans shadow brokers, sans stockage de 0 day, et sans krosoft, on en arrive au même résultat. La diffusion des patchs est un énorme problème. https://m.nextinpact.com/news/104531-sambacry-faille-samba-au-minage-distribue-crypto-monnaie-par-malware.htm (note le débat sur les responsabilités relatives de la nsa et microsoft sur wannacry n'est pas clôt. Y a eu de bons arguments dessus, j'y reviendrais dès que j'ai le temps et l'énergie. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 13 juin 2017 Share Posté(e) le 13 juin 2017 (modifié) On en apprend plus sur les hacking russes sur les systèmes de vote américains Le 07/06/2017 à 17:33, Marcus a dit : https://www.theregister.co.uk/2017/06/06/contractor_leaked_russians_hacking_election_systems/ https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/ D’après The intercept , la NSA pense que la Russe aurait envoyé des macros –virus Word à des société de comptage de vote et à VR Systems La NSA ne sait pas le résultat de l’attaque. Pour compléter les documents fuités par winner, bloomberg cite aujourd'hui 3 hauts responsables des renseignements. Les efforts russes étaient bien plus intenses que ce qui a été rendu public l'été 2016, au point de provoquer un "appel" sur le "téléphone" rouge par Obama Les autorités auraient des preuves de hacking sur les infrastructures électorales de 39 états sur 50. Dans la majorité des cas, aucune modification de donnée n'a été détectée (une tentative de suppression de registre électoral signalé). Les renseignements US ne savent pas avec certitude pourquoi les russes n'ont pas tenté plus d'interférence sur les infrastructures de vote. (en septembre, Trump n'etait absolument pas donné gagnant même par lui même). En tout cas le telephone rouge ne les a pas dissuadé : les hackers ont continué jusqu'au dernier jour.(les registres étaient peut être trop décentralisés pour que ca en vaille la peine). En tout cas, ils ont la cartographie détaillée pour f***** le boxon sur les mid terms et 2020. EDIT : Et entre ça et les fake news, leur intégrité vaudra autant que ... la parole de Trump disons Et c'est sans doute pourquoi Obama voulait déclarer en urgence les systèmes de vote comme infrastructure vitale fédérale. (ils sont sous la responsabilité de chaque état).Les republicains avaient alors hurlé au coup d'etat... Obama n'a pas fait de scandale. Il ne voulait pas de scandale remettant en cause l'immaculee République US. Avec le recul , il a eu tort... (trop conciliateur) https://www.bloomberg.com/amp/politics/articles/2017-06-13/russian-breach-of-39-states-threatens-future-u-s-elections Note : Ces fuites sortent juste après l'audition secrète devant le sénat de l'ex chef du DHS. Ces sources ne seront pas poursuivies pour trahison, contrairement a la fuiteuse winner. 2 poids, 2 mesures... Elle n'est pas passée par le bon canal https://www.emptywheel.net/2017/06/13/the-sources-for-some-russian-voting-hacks-will-not-be-prosecuted/ Modifié le 13 juin 2017 par rogue0 3 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
collectionneur Posté(e) le 13 juin 2017 Share Posté(e) le 13 juin 2017 Sabotage industriel, test grandeur nature en Ukraine d'un nouveau virus ? http://www.20minutes.fr/high-tech/2086123-20170613-industroyer-inquietant-virus-attaque-centrales-electriques 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 13 juin 2017 Share Posté(e) le 13 juin 2017 il y a 39 minutes, collectionneur a dit : Sabotage industriel, test grandeur nature en Ukraine d'un nouveau virus ? http://www.20minutes.fr/high-tech/2086123-20170613-industroyer-inquietant-virus-attaque-centrales-electriques En fait, c'est le même que j'ai décrit hier ... en remontant 3 posts plus haut ce sont les cadences infernales en ce moment sur le sujet ... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Boule75 Posté(e) le 13 juin 2017 Share Posté(e) le 13 juin 2017 Il y a 5 heures, rogue0 a dit : Obama n'a pas fait de scandale. Il ne voulait pas de scandale remettant en cause l'immaculee République US. Avec le recul , il a eu tort... (trop conciliateur) C'est loin d'être le seul sujet sur lequel il s'est fait rouler (les banques, la possibilité de travailler avec les Républicains...) mais ce serait une histoire pour le fil "USA". Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Marcus Posté(e) le 14 juin 2017 Share Posté(e) le 14 juin 2017 Il y a 15 heures, rogue0 a dit : Les renseignements US ne savent pas avec certitude pourquoi les russes n'ont pas tenté plus d'interférence sur les infrastructures de vote. (en septembre, Trump n'etait absolument pas donné gagnant même par lui même). Les renseignements US sont curieusement timides. Hacker les sites qui font du comptage de vote pour changer les résultats, c’est parfaitement possible. Mais ce n’est pas utile à long terme. Les pirates auraient pu modifier le résultat des élections Présidentielles et faire élire Hitler. Mais très vite, les Américains se seraient rendu compte que le compte des votes n’est pas bon. Pleins de militants font des vérifications qui auraient montré simplement le problème. On aurait eu le chaos quelque jour mais c’est tout. Les services secrets Russes ont déjà fait des opérations uniquement pour ridiculiser les USA, mais c’était avec des choses qui ne leur coutaient rien. Comme les vielles faiblesses trouvées par la NSA. Le fait que les Russes n’aient utilisé l’accés aux systèmes de comptage de vote montre que les Russes considèrent que ce piratage a de la valeur. Bien plus de valeur que de faire élire Hitler pendant 2 jours. Hacker les sites qui font du comptage de vote, c’est un préliminaire indispensable si on veut faire changer les résultats au niveau des bureaux de votes. Cela permet de savoir qu’elles sont les programmes utilisés, les états qui les utilisent et le nombre de votant à chaque fois. Cela permet de viser précisément les programmes de vote les plus utiles pour diminuer le risque d’être pris par la NSA. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 15 juin 2017 Share Posté(e) le 15 juin 2017 Le 13/06/2017 à 23:01, collectionneur a dit : Sabotage industriel, test grandeur nature en Ukraine d'un nouveau virus ? http://www.20minutes.fr/high-tech/2086123-20170613-industroyer-inquietant-virus-attaque-centrales-electriques Edito complémentaire de lawfare dessus. Pour lui , c'est un "test d'arme" avant utilisation operationnelle. Il rajoute quelques réflexions sur la protection des systèmes de contrôles Scada des sites industriels (j'avais loupé le sabotage des réseaux d'égout en australie en 2000)... Et sur le besoin de se préparer a des coupures d'infrastructure de longue durée (semaine) https://www.lawfareblog.com/cyber-weapon-warhead-test 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
collectionneur Posté(e) le 15 juin 2017 Share Posté(e) le 15 juin 2017 Merci, désolé du doublé. Bon, prévoir le stock de bougies, allumettes et rations de campagnes a manger froid... Je ne plaisante pas tellement, même nombre de famille n'ont pas de trousse de premier secours correcte a part aspirines et sparadrap, et je m'aperçois qu'une partie de la mienne est périmé :( Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 16 juin 2017 Share Posté(e) le 16 juin 2017 Facebook révèle par inadvertance l'identité de ses modérateurs anti daech/intégristes. Suite a un bug (et de très mauvaises décisions d'organisation), les groupes extrémistes censurés par facebook pouvaient accéder aux noms et adresses des modérateurs. Au moins 6 d'entre eux ont été "révélés" de cette façon, et depuis vivent la peur au ventre. Quelle bande de bras cassés... Accessoirement on voit les conditions de travail de ces modos, des prestataires payés 15 $ de l'heure, a visionner des massacres a longueur de journée. bien loin de millions en stock option . https://amp.theguardian.com/technology/2017/jun/16/facebook-moderators-identity-exposed-terrorist-groups 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Patrick Posté(e) le 16 juin 2017 Share Posté(e) le 16 juin 2017 il y a 54 minutes, rogue0 a dit : Facebook révèle par inadvertance l'identité de ses modérateurs anti daech/intégristes. Suite a un bug (et de très mauvaises décisions d'organisation), les groupes extrémistes censurés par facebook pouvaient accéder aux noms et adresses des modérateurs. Au moins 6 d'entre eux ont été "révélés" de cette façon, et depuis vivent la peur au ventre. Quelle bande de bras cassés... Accessoirement on voit les conditions de travail de ces modos, des prestataires payés 15 $ de l'heure, a visionner des massacres a longueur de journée. bien loin de millions en stock option . https://amp.theguardian.com/technology/2017/jun/16/facebook-moderators-identity-exposed-terrorist-groups Et après on s'étonne des théories du complot... Un peu comme pour twitter plus prompt à "shadowban" de bien inoffensifs soutiens de Trump qu'à bannir les comptes djihadistes. Ou Youtube qui lutte contre la violence en démonétisant les vidéos des chaînes (pourtant très globalement apolitiques) d'amateurs d'armes, tout en laissant parfois des jours entiers des vidéos d'instruction de daesh sur la fabrication d'explosifs. Mais bon, "ne jamais attribuer à la malveillance ce qui s'explique très bien par la stupidité"... Sauf que parfois, c'est dur. 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Marcus Posté(e) le 16 juin 2017 Share Posté(e) le 16 juin 2017 (modifié) Il y a 1 heure, rogue0 a dit : Facebook révèle par inadvertance l'identité de ses modérateurs anti daech/intégristes. Suite a un bug (et de très mauvaises décisions d'organisation), les groupes extrémistes censurés par facebook pouvaient accéder aux noms et adresses des modérateurs. Au moins 6 d'entre eux ont été "révélés" de cette façon, et depuis vivent la peur au ventre. Quelle bande de bras cassés... Accessoirement on voit les conditions de travail de ces modos, des prestataires payés 15 $ de l'heure, a visionner des massacres a longueur de journée. bien loin de millions en stock option . https://amp.theguardian.com/technology/2017/jun/16/facebook-moderators-identity-exposed-terrorist-groups Bonne article que cette énorme imprudence de Facebook. Facebook annonce qu’il investit massivement dans l’IA pour remplacer ses modérateurs. Ils espèrent visiblement réduire le cout total. Je savais que Facebook utilise des bots simples avec des mots interdits. Je ne le savais pas qu’utilisait des humains. D’après l’article, 1000 personnes travaillant 8 heures à 15 $, cela représente 44 millions $. Les bots coutent moins cher. L’intelligence humaine reste indispensable aux modérateurs. C’est exactement le même problème que la traduction : Si tu ne sais pas le contexte, tu ne comprends rien. Voici un exemple simple et réel : Un avocat écoutait un téléphone mis sous écoute. Voix 1 - « Bonjour, c’est pour…» Voix 2 - « Je vous coupe. Le téléphone est peut mis sous écoute. » Voix 1 - « Compris.» Voix 2 - « Il faut dire pizza » Voix 1 - « Compris.» Voix 2 - « Petite, moyenne, ou grande ?» Voix 1 - « Petite» Voix 2 - « La petite pizza sera disponible à l’adresse XXX » Voix 1 - « Compris.» Vous comprenez sans aucuns problèmes la vraie nature de la transaction. Pour une IA, c’est une pizzeria… Modifié le 16 juin 2017 par Marcus 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Marcus Posté(e) le 16 juin 2017 Share Posté(e) le 16 juin 2017 Le ministre de l’intérieur Allemand, Thomas de Maizière, veut passer une loi interdisant le cryptage informatique si l’état Allemand n’a pas une clef de déchiffrement. http://www.theregister.co.uk/2017/06/15/germany_joins_antiencryption_posse/ L’objectif théorique est de lutter contre le terrorisme. Les terroristes et voleurs continueront d’utiliser le cryptage. Une cellule terroriste arrêtée utilisait des macros Excel pour crypter ses messages. Les criminels pourront aussi récupérer très facilement des programmes de cryptage sur Internet. Ce sont des criminels, bien évidemment, ils ne respectent pas les lois. C’est juste de la gesticulation judiciaire inutile. Aucun attentat n’a eu lieu parce que la police Allemande n’a pas été capable de décrypter un message. Est-ce que c’est légal au niveau de la constitution Européenne ? Je n’en ai pas la moindre idée. Les services secrets hostiles vont apprécier cette loi. Inutile de se fatiguer à briser individuellement toutes les clefs de chiffrements utilisées en Allemagne. Il suffit de réussir à pirater l’un des nombreux postes ou sauront stocker les clefs de déchiffrements. La NSA à déjà réussi à pirater Merkel. Ils vont simplement recommencer. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 16 juin 2017 Share Posté(e) le 16 juin 2017 il y a 34 minutes, Marcus a dit : Le ministre de l’intérieur Allemand, Thomas de Maizière, veut passer une loi interdisant le cryptage informatique si l’état Allemand n’a pas une clef de déchiffrement. +1 Notre tout nouveau président et (tante) May ont le même genre de projet. Tout ça alors que les méga fuites Shadow Brokers et Vault 7 démontrent l'impossibilité même pour la NSA de sécuriser leurs propres systèmes : dans un monde normal, ça enterrerait définitivement tout projet de backdoor d'etat. En remplacement, le blog lawfare propose les mesures suivantes, pour que la police puisse faire son travail (aux USA). * Éduquer les flics sur les outils/meta données déjà disponibles. * légiférer sur les outils de hacking judiciaire (avec une procédure d'emploi comme les interceptions téléphoniques). Ils n'auraient pas le même niveau que les outils des SR. * avoir une agence gouvernementale chargée de la recherche des 0 day (avec process VEP), pour assécher le marché gris (le gouv US est le premier client sur l'achat de 0 day) https://www.lawfareblog.com/ending-endless-crypto-debate-three-things-we-should-be-arguing-about-instead-encryption-backdoors Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
hadriel Posté(e) le 16 juin 2017 Share Posté(e) le 16 juin 2017 C'est à croire que l'objectif final de toutes ces gesticulations n'est pas d'arrêter des terroristes, mais de pouvoir fouiller dans les mails de tous les opposants, syndicalistes et autres citoyens gênants... Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 18 juin 2017 Share Posté(e) le 18 juin 2017 Le 15/06/2017 à 11:31, collectionneur a dit : Merci, désolé du doublé. Bon, prévoir le stock de bougies, allumettes et rations de campagnes a manger froid... Je ne plaisante pas tellement, même nombre de famille n'ont pas de trousse de premier secours correcte a part aspirines et sparadrap, et je m'aperçois qu'une partie de la mienne est périmé :( Y a pas de soucis hein ^^; Les société de sécurité ont la désagréable habitude de ne jamais se mettre d'accord sur une appellation commune des malware et des cybercriminels. Au fait, quelqu'un aurait un contact / ou une boîte à suggestion pour les commandements cyber-offensifs français ou allemands ? J'ai quelques idées (du simple bon sens) à leur soumettre pour rendre les prochains piratages douloureux ... pour l'attaquant. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 21 juin 2017 Share Posté(e) le 21 juin 2017 Le 21/05/2017 à 15:27, rogue0 a dit : Pour Wannacry 2.0, c'est un chercheur français qui a le crédit d'avoir trouvé et activé le "bouton stop", ainsi qu'un outil de décryptage: https://twitter.com/msuiche 1 mois et demi après la crise, Honda a dû stopper une de ses usines au Japon suite a une infection Wannacry. Visiblement, Ils n'ont pas dû installer les correctifs malgré tout le tintamarre médiatique et ils ont dû probablement bloquer l'accès au domaine qui sert de kill switch. Les boulets quoi... http://mobile.reuters.com/article/amp/idUSKBN19C0EI Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 25 juin 2017 Share Posté(e) le 25 juin 2017 Le 13/06/2017 à 17:45, rogue0 a dit : Nouvelle affaire de malware (touchant un composant linux très courant) Après un patch samba, des pirates ont retrouvé la faille (via retro ingénierie), et ont diffusé un malware sambacry, de minage de crypto monnaie (touchant des PC, des NAS, etc) Même sans NSA, sans shadow brokers, sans stockage de 0 day, et sans krosoft, on en arrive au même résultat. La diffusion des patchs est un énorme problème. https://m.nextinpact.com/news/104531-sambacry-faille-samba-au-minage-distribue-crypto-monnaie-par-malware.htm (note le débat sur les responsabilités relatives de la nsa et microsoft sur wannacry n'est pas clôt. Y a eu de bons arguments dessus, j'y reviendrais dès que j'ai le temps et l'énergie. Encore une affaire de rançonlogiciel. Sauf que celle-là est rentable pour les pirates: Une compagnie sud coréenne a été victime d'un ransomware, et a accepté de payer 1 million de dollar de rançon (en bitcoin). Le malware Erebus a été réécrit pour s'attaquer en priorité aux serveurs web (Linux). La compagnie hébergeait sur 150 serveurs les sites web de 3400 sociétés différentes (sur des versions obsolètes de Apache, Linux depuis 2008 (!) ou avant). C'est beaucoup plus rentable que Wannacry. Là encore, je note plusieurs choses: Y a pas de jaloux, des machines Linux mal mises à jour sont aussi vulnérables que Windows. Etrangement, Wikileaks n'a démarré aucune controverse sur le rôle de Microsoft ou la NSA: c'est normal, c'est totalement la faute de la compagnie de laisser des serveurs non patchés depuis 10 ans! On peut s'attendre à ce que des ransomware continuent à se spécialiser sur les attaques de données (cloud, serveurs d'application, bases de données en ligne) http://www.securityweek.com/web-hosting-provider-pays-1-million-ransomware-attackers Révélation South Korean web hosting company Nayana agreed to pay $1 million in Bitcoin after a ransomware attack hit 153 Linux servers. The attack took place June 10 and resulted in over 3,400 business websites the company hosts being encrypted. According to the Nayana’s initial announcement, the attacker demanded 550 Bitcoins (over $1.6 million) to decrypt the infected files. Following negotiations, they lowered the ransom demand to 397.6 Bitcoins (around $1.01 million). The payments, the company announced, will be made in three batches, and the attackers will decrypt the affected servers accordingly. Two payments were already made, and the company is currently in the process of recovering the data from the first two server batches. The ransomware used in this attack, Trend Micro reveals, was Erebus, a piece of malware that was initially spotted in September 2016 and which was already seen in attacks earlier this year, when it packed Windows User Account Control bypass capabilities. Apparently, someone ported the ransomware to Linux and is using it to target vulnerable servers. Running on Linux kernel 2.6.24.2, which was compiled back in 2008, Nayana’s website is vulnerable to a great deal of exploits that could provide attackers with root access to the server, such as DIRTY COW, Trend Micro notes. The company’s website also uses Apache version 1.3.36 and PHP version 5.1.4, both released in 2006 and known to include vulnerabilities. Most likely, the vulnerable Linux installation was used as an entry point to run the Erebus ransomware on Nayana’s systems. The Apache version that Nayana uses runs as a user of nobody(uid=99) and “a local exploit may have also been used in the attack,” the researchers say. The ransomware appears heavily targeted to South Korea, although samples were submitted to VirusTotal from Ukraine and Romania too (Trend Micro suggests that there might be other researchers who have found the malware). Erebus uses a sophisticated encryption method that makes decryption difficult without the RSA keys. The malware uses the RSA algorithm to encrypt AES keys and each infected file is encrypted with a unique AES key. However, the RSA-2048 public key is shared. “The file is first scrambled with RC4 encryption in 500kB blocks with randomly generated keys. The RC4 key is then encoded with AES encryption algorithm, which is stored in the file. The AES key is again encrypted using RSA-2018 algorithm that is also stored in the file,” Trend Micro explains. The ransomware targets Office documents, databases, archives, and multimedia files, being able to encrypt a total of 433 file types. However, the malware was built specifically to target and encrypt web servers and data stored in them, the researchers say. “As exemplified by Nayana, Linux is an increasingly popular operating system and a ubiquitous element in the business processes of organizations across various industries—from servers and databases to web development and mobile devices. Data centers and hosting/storage service providers also commonly use machines running Linux, for instance,” Trend Micro concludes. 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 26 juin 2017 Share Posté(e) le 26 juin 2017 (modifié) Après Snowden, un audit interne de la NSA (obtenu via FOIA) révèle le peu de progrès dans les mesures de sécurisation et de réduction des risques de fuites. Un détail assez hallucinant : la NSA avait une vieille liste des super users (acces total au réseau ET le droit d'utiliser des clés USB) au moment de la fuite Snowden. Ils ont perdu ladite liste... Et a la place, ils ont un nouveau système d'autorisation renouvelable de 3 mois. (et le nombre de super user ne cesse de grandir !!! ). Edit : et toujours pas d'explication ou de démission sur l'origine des 6 fuites hors snowden (shadow brokers, vault7) des mois après... https://www.schneier.com/blog/archives/2017/06/nsa_insider_sec.html https://motherboard.vice.com/en_us/article/wjqk99/the-nsa-has-done-little-to-prevent-the-next-edward-snowden Modifié le 26 juin 2017 par rogue0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 26 juin 2017 Share Posté(e) le 26 juin 2017 posté sur le fil USA La NSA (et d'autres) font probablement du contre-hacking contre les départements cyber adverses (russes, chinois, nord coréens). Cela facilite considérablement le travail d'attribution : (soit en surveillant les serveurs intermédiaires d'attaque, soit directement chez les cyber ennemis) Cf incident du hack du département d'état de 2014. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
collectionneur Posté(e) le 27 juin 2017 Share Posté(e) le 27 juin 2017 L'Estonie va ouvrir un centre de données au Luxembourg ayant statut d'ambassade pour y mettre ses informations a l'abri ! http://www.usinenouvelle.com/article/l-estonie-ouvre-une-ambassade-numerique-au-luxembourg-pour-se-proteger-des-cyberattaques.N558398 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 27 juin 2017 Share Posté(e) le 27 juin 2017 Le 21/06/2017 à 19:02, rogue0 a dit : 1 mois et demi après la crise, Honda a dû stopper une de ses usines au Japon suite a une infection Wannacry. Visiblement, Ils n'ont pas dû installer les correctifs malgré tout le tintamarre médiatique et ils ont dû probablement bloquer l'accès au domaine qui sert de kill switch. Les boulets quoi... http://mobile.reuters.com/article/amp/idUSKBN19C0EI J'espère que tout le monde a patche... Un nouveau ransomware petya, utilisant la meme faille eternal blue arrive en force. https://mobile.twitter.com/threatintel/status/879716609203613698 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 27 juin 2017 Share Posté(e) le 27 juin 2017 (modifié) Il y a 6 heures, rogue0 a dit : J'espère que tout le monde a patche... Un nouveau ransomware petya, utilisant la meme faille eternal blue arrive en force. https://mobile.twitter.com/threatintel/status/879716609203613698 Après quelques heures, des détails étranges émergent à propos de ce "ransomware" Petya/ Petna: La rançon serait à payer par un email ... qui a déjà été bloqué. Idem, il n'y a qu'un seul compte bitcoin codé en dur, qui va être surveillé. il n'y a pas de serveur de commandement ni killswitch Pas moyen d'arrêter l'attaque même si l'attaquant le voulait ... ou s'il était payé. Donc ce n'est pas pour le profit. Le malware ressemble superficiellement à Petya, un ransomware de cybercriminel lambda... Mais il est bien mieux écrit et beaucoup plus destructeur. (Rien à voir avec Wannacry, il a des techniques efficaces pour passer certains antivirus: faux certif Microsoft, code masqué à la volée en XOR). EDIT En plus de la faille NSA Eternal blue, il essaie de se connecter avec des mots de passe administrateur volés (hashs), et de se lancer à travers le réseau : il faut bloquer le protocole SMB1 pour être tranquille... cette fois. L'Ukraine est fortement touchée (supermarché, institutions, énergie, avions ...) , la Russie a déclaré l'être, mais la sécurité IT de Rosneft aurait stoppé net l'invasion (Ahem). L'un des principaux foyers d'infection est ... le serveur de MAJ d'un logiciel de compta standard ukrainien (MeDoc). TheGrugq lance un pari : il fait l'hypothèse que c'est en fait une cyber attaque contre l'Ukraine déguisée en ransomware crapuleux. A vérifier demain. Assez curieusement, AP Maersk (la plus grosse compagnie de transport de container au monde) fait partie des victimes (ce qui a causé la fermeture de plusieurs ports) ...Et utiliserait ce soft de compta ukrainien. A voir si Saint Gobain est dans le même cas. S'il a raison, va falloir blinder les points de distribution standards de logiciel : clubic, sourceforge, microsoft, les impôts, facebook, twitter, et les logiciels de forum...https://medium.com/@thegrugq/pnyetya-yet-another-ransomware-outbreak-59afd1ee89d4 Quelques symptômes et conseils pour les infectés (ne pas rebooter ... et s'il reboote débrancher la prise)https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html Modifié le 27 juin 2017 par rogue0 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 28 juin 2017 Share Posté(e) le 28 juin 2017 (modifié) Le 27/06/2017 à 23:54, rogue0 a dit : Après quelques heures, des détails étranges émergent à propos de ce "ransomware" Petya/ Petna: [...] TheGrugq lance un pari : il fait l'hypothèse que c'est en fait une cyber attaque contre l'Ukraine déguisée en ransomware crapuleux. A vérifier demain.https://medium.com/@thegrugq/pnyetya-yet-another-ransomware-outbreak-59afd1ee89d4 L'hypothèse se renforce. Matt Suiche, (un hacker white hat réputé français), démontre avec Kaspersky, que ce malware est purement destructif. Par conception, les données ne peuvent pas être récupérées (écrasement du master boot, et la clé de cryptage des fichiers reste en local, les pirates ne peuvent pas la donner). L'écran de "ransomware" et la ressemblance superficielle avec WannaCry semblent être là comme fausse piste, et pour détourner l'attention des médias.(au moins, les concepteurs de Wannacry ont tenté de corriger les bugs de leur virus, pour encaisser l'argent. Pour Petna, non c'est déjà la version finale) https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b Autre timing troublant: Cette attaque est intervenue la veille de la Fête Nationale Ukrainienne (Constitution Day le 28 août). Quelques heures après l'attaque, les Shadow Brokers se manifestent, et font encore un sketch pour rappeler le monde qu'ils existent : EDIT pour la première fois, en accusant un cyber de faire partie de l'Equation Group et d'avoir participé à des hacks sur des cibles chinoises et en menaçant de balancer des preuves, 2 jours avant que les chinois prennent la présidence du conseil de sécurité de l'ONU) ... Par contre, pour leur prétendu service d'abonnement aux failles, il faudra repasser. Le paquet de Juin n'est toujours pas arrivé... (et tout le monde sait bien que le dump arrivera, même si personne ne paye). Aujourd'hui et hier, 2 voitures piégées qui ont tué des policiers ou agents de renseignement ukrainiens. "Death of SBU colonel, Yuriy Vozny, must've come shortly after car blast in Kyiv that killed Colonel Maksim Shapova of military intel." Pour les infections "latérales" (DPP, St Gobain, etc), je n'ai toujours pas d'explication. MalwareTechBlog (célèbre après avoir tué Wannacry dans l'oeuf) a une hypothèse: des sous-masques de réseau mal configurés (Petna scanne dans tout le sous réseau à la recherche de machines à infecter). A confirmer:https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html Modifié le 29 juin 2017 par rogue0 3 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 29 juin 2017 Share Posté(e) le 29 juin 2017 (modifié) Les premiers editos structurés sur l'attaque de wiper Petna/notPetya commencent à tomber sur le sujet. Et sur la cybersecurité, celui du NYT est - cette fois- complètement a côté de la plaque. https://mobile.twitter.com/pwnallthethings/status/880367594276093952 Il est resté sur le cheval du message Snowden/Assange : c'est la faute a la NSA, du VEP, il faut du cyber désarmement global. (qui avait un peu de sens pour wannacry) Or, ce malware peut quand même infecter et détruire des PC complètement patchés ... A moins que les admins réseau n'aient une politique de sécurité très rigoureuse (pas de SMB, pas de psexec, pas de wmi voire pas de compte admin valable sur le réseau). EDIT : en résumé, il n'a plus grand rapport avec la NSA : le mode de propagation principal ne semble pas être la faille Eternal Blue. Plutôt la corruption de logiciels populaires, puis une fois dans un réseau, voler des identifiants réseau pour contaminer tout le réseau. Il y a 2 grandes questions a résoudre : * géopolitique : si la piste du soft de compta ukrainien est confirmée, alors le message des attaquants est : nous attaquerons toute compagnie qui ose échanger avec l'Ukraine (Moersk,saint gobain, etc). La réponse a ça est politique et commerciale. *IT : la vitesse de patch n'est plus suffisante face a ce type de menace. Il faut appliquer les best practice de sécurité rigoureusement... Et faire des surveillances proactive , heuristique et comportementale. Les utilisateurs vont hurler.... 2 éditos pointus qui prennent du recul sur l'affaire https://www.lawfareblog.com/thoughts-notpetya-ransomware-attack https://www.lawfareblog.com/ransomware-remixed-song-remains-same Modifié le 29 juin 2017 par rogue0 3 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
rogue0 Posté(e) le 3 juillet 2017 Share Posté(e) le 3 juillet 2017 (modifié) Plusieurs intrusions informatiques ont été détectées sur des centrales nucléaires US. Ces incidents ne sont pas censé avoir affecté les systèmes nucléaires (ou les systèmes de contrôle SCADA donc pas de notif d'incident nucléaire), mais l'incident a reçu un nom de code : Nuclear 17 Aucun autre détail n'est connu. Après les hacks du réseau électrique en Ukraine (blackenergy) et les attaques intenses sur leurs infrastructures, j'ai les cheveux qui se dressent sur la tête. http://www.businessinsider.fr/us/nuclear-power-plant-breached-cyberattack-2017-6/ https://nakedsecurity.sophos.com/2017/07/03/breach-at-us-nuclear-plants-raises-concerns-in-wake-of-petya/amp/ Modifié le 3 juillet 2017 par rogue0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.