Cyberwarfare

[christophe 38]

Il y a 9 heures, 13RDP a dit :

Une question que j'aimerais aborder.

Celle des antivirus "gratuits". Typiquement Avast.

 

Sachant qu'ils équipent la TRES grosse majorité des PC domestiques et que suivant l'axiome "quand c'est gratuit, c'est toi le produit" je pense qu'il serait intéressant de développer les enjeux qui se jouent. Tant en terme de collecte de data qu'en terme de "protection".

 

Merci d'avance pour vos éclairages!

ça fait plus de 10 ans que le modele gratuit équipe mes 2 pc à la maison.

J'ai une pratique du surf "prudente" : je ne fais pas n'imp' et j'ai, environ, 2 alertes par an.

de meme, de temps en temps je teste par un antivirus en ligne, si jamais quelque chose était passé à travers.

 

pour moi, il fait le job

 

tout de suite maintenant, je n'ai pas besoin d'un vpn (au pire, un rasperry fera l'affaire)... ou un vrai logiciel de vpn (payant)

[Wallaby]

Je recopie :

  

Le 01/03/2021 à 22:25, Wallaby a dit :

https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html

On agite, chez les Américains, le soupçon que la panne d'électricité de Bombay du 13 octobre a pour origine un maliciel chinois.

 

Le 04/03/2021 à 16:21, collectionneur a dit :

Article en français sur le sujet ;

https://www.lepoint.fr/monde/comment-la-chine-peut-plonger-l-inde-dans-le-noir-04-03-2021-2416345_24.php

 

[13RDP]

Je l'utilise aussi depuis des lustres et le trouve à priori très efficace. C'est justement cela qui m'interpelle 

Vu l'enjeu que représente la protection et à une époque où le cyber constitue notre talon d'Achille, sa gratuité m'a toujours paru suspecte.

Après si cela se résume à la collecte de data à des fins marketing, on va dire que c'est un moindre mal et un moyen pour le faire parmi d'autres. Car dans les faits Avast à accès à toutes nos données privées, nos codes divers. Potentiellement c'est énorme.

[clem200]

Il y a 5 heures, 13RDP a dit :

Je l'utilise aussi depuis des lustres et le trouve à priori très efficace. C'est justement cela qui m'interpelle 

Vu l'enjeu que représente la protection et à une époque où le cyber constitue notre talon d'Achille, sa gratuité m'a toujours paru suspecte.

Après si cela se résume à la collecte de data à des fins marketing, on va dire que c'est un moindre mal et un moyen pour le faire parmi d'autres. Car dans les faits Avast à accès à toutes nos données privées, nos codes divers. Potentiellement c'est énorme.

Ils se font de l'argent avec les versions payantes, pas avec des collectes de données (enfin ils se sont déjà fait attraper, mais c'était peu de chose)

Modifié le 6 mars 2021 par clem200

[christophe 38]

Il y a 6 heures, 13RDP a dit :

Je l'utilise aussi depuis des lustres et le trouve à priori très efficace. C'est justement cela qui m'interpelle 

Vu l'enjeu que représente la protection et à une époque où le cyber constitue notre talon d'Achille, sa gratuité m'a toujours paru suspecte.

Après si cela se résume à la collecte de data à des fins marketing, on va dire que c'est un moindre mal et un moyen pour le faire parmi d'autres. Car dans les faits Avast à accès à toutes nos données privées, nos codes divers. Potentiellement c'est énorme.

question sotte, mais, quand meme :

si on considere que gratuit veut dire que le client est le produit, le pigeon à tondre...

qu'est ce qui prouve qu'en payant on ne se fait pas piquer non plus nos données ??

autrement écrit, payant nous donnera acces à d'autres options (VPN, par exemple) mais, nos données ?????

[13RDP]

@clem200As tu des chiffres ou un ordre d'idée de ce que constituerait la vente de versions payantes sur leur CA général.

 

Parce qu'à mon sens -je peux me tromper- c'est bel et bien les datas l'enjeu majeur. Leur collecte et leur revente/exploitation. De très TRES loin.

[Boule75]

Il y a 9 heures, 13RDP a dit :

Je l'utilise aussi depuis des lustres et le trouve à priori très efficace. C'est justement cela qui m'interpelle 

Vu l'enjeu que représente la protection et à une époque où le cyber constitue notre talon d'Achille, sa gratuité m'a toujours paru suspecte.

Après si cela se résume à la collecte de data à des fins marketing, on va dire que c'est un moindre mal et un moyen pour le faire parmi d'autres. Car dans les faits Avast à accès à toutes nos données privées, nos codes divers. Potentiellement c'est énorme.

Tu parles bien de l'anti-virus Windows Defender ? Je comprend bien la question, mais il me semble que les motivations de Microsoft sur ce coup étaient différentes.

Lemme : nos données, ils les ont quand ils veulent. Ils installent ce qu'ils veulent sur les PC, c'est du closed source, et même l'armée française (qui est censée disposer du code source) fait très certainement comme tout le monde, c'est à dire "on fait confiance à Microsoft et on installe sagement les mises à jour sans avoir aucunement les moyens d'en vérifier l'innocuité ni prétendre que qui que ce soit le fasse". MS est donc root (a accès à tout), et dispose déjà d'outils d'indexation qui eux-même sont directement connectés à Bing et à tout le bazar des sites de Krosoft. En clair : si vous accédez à Internet depuis votre PC, Microsoft peut le piloter et sortir ce qu'il veut quand il veut tant que votre réseau l'autorise. Point barre.
L'anti-virus ne leur apporte rien de plus.

Leur motivation, c'était l'image et... la satisfaction du client :

• les clients n'aiment pas se faire poutrer ; à un moment les produits Microsoft avaient une image exécrable en terme de sécurité et de stabilité. Ils ont beaucoup travaillé sur les deux.
• les anti-virus ont toujours été des plaies purulentes en terme de performance et de stabilité des machines, et pour cause : ils s'intercalent avec les couches d'accès au réseau et aux disques, ils sont un goulot d'étranglement à eux seuls, ils ruinent les efforts des devs du noyau.
  Donc faire un bon anti-virus était, là encore, bénéfique pour les clients et source d'économies pour le SAV. Quel SAV me direz-vous ? C'est vrai, il n'existe pas, mais quand même !
• les données d'attaque remontées par l'anti-virus donnent des informations précieuses sur ce qu'il y a à colmater, sur les failles.

My 2 cents

[ARPA]

Il y a 4 heures, clem200 a dit :

Ils se font de l'argent avec les versions payantes, pas avec des collectes de données (enfin ils se sont déjà fait attraper, mais c'était peu de chose)

Accessoirement, pour un anti-virus, la base du travail, c'est de collecter des données (des virus)

En pratique, les anti-virus ne peuvent protéger que des virus connus (et de leurs dérivées) ou de ceux qu'ils ont eu le temps de tester. Donc pour l'éditeur d'anti-virus, c'est particulièrement intéressant d'avoir des millions d'usagers (gratuit ou non) qui lui signalent les virus qui viennent de sortir. L'analyse de tous les fichiers "douteux" en quarantaine permet de préciser les menaces.

Pour un logiciel type Avast, ça peut se justifier d'avoir une version gratuite pour accumuler les données pour la version payante qui est mise à jour plus vite, plus sensible...

Quand on veut se protéger d'un virus qui vient de sortir, il faut parfois regarder l'heure de la mise à jour de l'antivirus. La version payante peut se justifier même pour gagner quelques heures sur la mise à jour.

[clem200]

Il y a 2 heures, 13RDP a dit :

@clem200As tu des chiffres ou un ordre d'idée de ce que constituerait la vente de versions payantes sur leur CA général.

Parce qu'à mon sens -je peux me tromper- c'est bel et bien les datas l'enjeu majeur. Leur collecte et leur revente/exploitation. De très TRES loin.

A priori 95% en 2019 et maintenant 100% 

https://www.zdnet.fr/actualites/oui-avast-vend-des-donnees-personnelles-et-cela-se-savait-39898209.htm

[christophe 38]

Il y a 12 heures, Boule75 a dit :

Tu parles bien de l'anti-virus Windows Defender ? Je comprend bien la question, mais il me semble que les motivations de Microsoft sur ce coup étaient différentes.

Lemme : nos données, ils les ont quand ils veulent. Ils installent ce qu'ils veulent sur les PC, c'est du closed source, et même l'armée française (qui est censée disposer du code source) fait très certainement comme tout le monde, c'est à dire "on fait confiance à Microsoft et on installe sagement les mises à jour sans avoir aucunement les moyens d'en vérifier l'innocuité ni prétendre que qui que ce soit le fasse". MS est donc root (a accès à tout), et dispose déjà d'outils d'indexation qui eux-même sont directement connectés à Bing et à tout le bazar des sites de Krosoft. En clair : si vous accédez à Internet depuis votre PC, Microsoft peut le piloter et sortir ce qu'il veut quand il veut tant que votre réseau l'autorise. Point barre.
L'anti-virus ne leur apporte rien de plus.

Leur motivation, c'était l'image et... la satisfaction du client :

• les clients n'aiment pas se faire poutrer ; à un moment les produits Microsoft avaient une image exécrable en terme de sécurité et de stabilité. Ils ont beaucoup travaillé sur les deux.
• les anti-virus ont toujours été des plaies purulentes en terme de performance et de stabilité des machines, et pour cause : ils s'intercalent avec les couches d'accès au réseau et aux disques, ils sont un goulot d'étranglement à eux seuls, ils ruinent les efforts des devs du noyau.
  Donc faire un bon anti-virus était, là encore, bénéfique pour les clients et source d'économies pour le SAV. Quel SAV me direz-vous ? C'est vrai, il n'existe pas, mais quand même !
• les données d'attaque remontées par l'anti-virus donnent des informations précieuses sur ce qu'il y a à colmater, sur les failles.

My 2 cents

yop

 

pour moi, il  existe une grosse différence entre win defender et avast..

avast filtre ce qui rentre, arrete ou signale les virus (place en quarantaine, par exemple)

win def laisse entre mais averti quand le programme se déploie...

 

au pire et c'est comme cela que je le concois, ils sont complémentaires .... l'un empeche les virus d'entrer, l'autre averti s'ils se lancent ; en cas de défaillance de l'un, je peux "compter" sur l'autre (les guillemets, c'est que si c'est un virus tout neuf qui n'est pas dans les bases connues, il fera ce qu'il veut ; mais, j'ai fini d'aller sur la mule télécharger n'imp ; mes sources sont plus fiables)

[Nemo123]

Le 06/03/2021 à 19:54, Boule75 a dit :

Lemme : nos données, ils les ont quand ils veulent. Ils installent ce qu'ils veulent sur les PC, c'est du closed source, et même l'armée française (qui est censée disposer du code source) fait très certainement comme tout le monde, c'est à dire "on fait confiance à Microsoft et on installe sagement les mises à jour sans avoir aucunement les moyens d'en vérifier l'innocuité ni prétendre que qui que ce soit le fasse".

Je me permets une précision : l'OS est une black box : les clients n'ont officiellement pas accès au code source, même si aujourd'hui, on sait très bien décompiler du code. C'est d'ailleurs la raison pour laquelle les OS Microsoft vont probablement à moyen terme finir open source (d'ici 2025, probablement). Mais les partenaires étatiques majeurs ont accès au code source et au contenu des patchs mensuels, et peuvent les auditer. Effectivement, comme dit Boule75, dans les faits, cette vérification n'est faite que très superficiellement (manque de personnel qualifié).

Dans les faits, c'est vrai qu'ils installent un peu ce qu'ils veulent dessus.

 

Le 06/03/2021 à 19:54, Boule75 a dit :

En clair : si vous accédez à Internet depuis votre PC, Microsoft peut le piloter et sortir ce qu'il veut quand il veut tant que votre réseau l'autorise. Point barre.
L'anti-virus ne leur apporte rien de plus.

Là par contre je ne suis pas d'accord. Il existe des tas de moyen de conteneriser des choses dans Windows, avec des applications tierces. Dans les faits, Windows pourrait essayer de contourner ces contenerisations, mais ces accès non autorisés seraient logués et immanquablement décelés. Ils le sont régulièrement, généralement par malentendu. Quant à la fuite via une connexion réseau, on sait tout bloquer avec un firewall, du temps que le flux n'est pas chiffré (teasing, il l'est toujours), et on sait bloquer de plus en plus de choses avec de l'inspection TLS (quand la donnée est chiffrée sur son trajet, et pas en local), et ça va beaucoup augmenter dans les années à venir. Jettez un oeil aux concepts de DLP (data leak prevention) par SSL inspection. Avant on pouvait dire : si Microsoft chiffre son flux sortant vers chez lui, tu ne peux rien empêcher. Or désormais (depuis 3-4 ans en gros, à confirmer), c'est faux... Sauf si la donnée est chiffrée avant d'être envoyée, mais je n'ai encore jamais vu ça à part pour des mots de passe, des certificats ou des éléments de ce type.

 

Le 06/03/2021 à 19:54, Boule75 a dit :

Leur motivation, c'était l'image et... la satisfaction du client :

• les clients n'aiment pas se faire poutrer ; à un moment les produits Microsoft avaient une image exécrable en terme de sécurité et de stabilité. Ils ont beaucoup travaillé sur les deux.
• les anti-virus ont toujours été des plaies purulentes en terme de performance et de stabilité des machines, et pour cause : ils s'intercalent avec les couches d'accès au réseau et aux disques, ils sont un goulot d'étranglement à eux seuls, ils ruinent les efforts des devs du noyau.
  Donc faire un bon anti-virus était, là encore, bénéfique pour les clients et source d'économies pour le SAV. Quel SAV me direz-vous ? C'est vrai, il n'existe pas, mais quand même !
• les données d'attaque remontées par l'anti-virus donnent des informations précieuses sur ce qu'il y a à colmater, sur les failles.

Les anti-virus c'est effectivement avant tout un objet de satisfaction client. Il y a encore quelques années à la ramasse d'un point de vue performances, ils ont largement rattrapé leur retard, devenant d'après Gartner (qui fait autorité en terme de comparatifs dans le monde de l'IT) l'antivirus le plus adapté à W10. J'en profite pour dire que le mot antivirus, techniquement, correspond à EPP : end point protection plateform. Vous trouverez ci-dessous le comparatif le plus officiel et rationnel d'après la communauté IT :

Comparatif : https://www.gartner.com/reviews/market/endpoint-protection-platforms

Le Magic Quadrant qui date de Aout 2019 (je n'ai pas trouvé plus récent) :

 

Si les anti-virus étaient autrefois une plaie en terme de perfs, c'est désormais beaucoup moins vrai.

Et effectivement, l'arguement n°2 (après la satisfaction client) de déployer un AV sur plein de PC c'est les nombreuses signatures que l'antivirus sera capable de remonter. Ca permet d'avoir une meilleure compréhension de l'environnement hostile en général.

 

Ce qui m'amène à vous parler de la différence entre EDR et AV.

Un AV est un logiciel qui (pour stigmatiser, même si c'est plus compliqué que ça) se contente de lire tous les fichiers, et regarde si leur condensat, ou signature, correspond à un malware connu dans la base de données de l'éditeur (d'où le fameux "base de données antivirale mise à jour"). SI un fichier listé comme malveillant est détecté, il est mis en quarantaine ou supprimé selon la politique en vigueur. Mais les virus évolués sont aujourd'hui tous polymorphiques ou font appel à de l’obfuscation, ce qui rend cette stratégie de comparaison des signatures complètement caduque.

Un EDR ne fonctionne pas de la même manière : il ne scanne pas, il observe le comportement du système à l'affut d'un comportement suspect, signe de l'agissement d'un malware (modification de certaines clefs de registre, dépassement de la mémoire tampon dans un processus, désactivations de fonctions de sécurité, création d'un nouveau compte root, effacement de l'historique des commandes, ... la liste est très longue). Et s'il trouve le comportement suspect, il bloque une partie de la machine pour empêcher le malware de continuer ses agissements (la rendant généralement inutilisable, ce qui active la venue du support technique, qui peut évincer le malware).

 

Vous l'aurez compris : un AV est quelque chose de désuet. C'est toujours mieux que rien sur une machine personnelle sur laquelle le déploiement d'un EDR serait trop couteux (on ne rencontre ça qu'en entreprise, globalement). Paramétrer le firewall de sa box et de son PC en mode restrictif / le plus sécurisé n'empêchera pas un hack, mais ralentira l'attaquant, qui ira probablement chercher une cible plus facile. Attention si vous regardez la TV par internet ou jouez aux jeux vidéos, généralement ça ne fait pas bon ménage.

La meilleure chose à faire reste, avant tout, d'avoir un comportement responsable (pas de P2P, téléchargement de contenu illégal / sites porno sur des sites sérieux qui vérifient leur contenu, pas de windows ou logiciels craqués, mettre à jour toutes ses applications, y compris windows et surtout navigateurs aussi souvent que possible, installer un minimum d'applications, ne pas cliquer partout sur les pubs comme un débile, ne pas ouvrir les mails suspicieux et encore moins cliquer sur les liens qu'ils contiennent, etc... cf le site de l'ANSSI pour la liste des bonnes pratiques).

 

[Nemo123]

Je fais un second message, car celui-ci est sans rapport avec le premier.
Peut-être avez-vous entendu parler de 4 failles de sécurité non documentées (0 day) et exploitées dans la nature, qui permettent l'exécution de code arbitraire à distance sans authentification (la pire sévérité qui soit, on ne peut pas faire pire) sur des serveurs Exchange (emails) exposés en DMZ (accessible depuis internet, mais rien de plus normal pour un serveur mail).

Juste pour donner un ordre de grandeur, on parle de 30.000 entreprises compromises aux Etats Unis et plusieurs centaines de milliers à travers le monde.

L'idée, pour l'attaquant (dont la spécialité est la primo-infection), est de gagner un accès root sur le serveur de mail, pour installer sa persistance (une backdoor, lui permettant d'accéder de manière pérenne au serveur par ses propres moyens même si la faille est corrigée a posteriori). Une fois cette backdoor installée, l'accès est vendu sur le darknet à un autre groupe spécialisé dans le pivotement, l'exploration et la latéralisation, dont l'objectif sera d'installer une nouvelle backdoor au cœur du réseau, sur ses serveurs les plus critiques. Ces nouvelles backdoors seront alors vendues à de nouveaux acteurs dont l'objectif est la réalisation de l'attaque : chiffrement, demande de rançon, exfiltration de données, espionnage, chantage, ...

Autant, la primo infection (exploitation des 4 vulnérabilités connues) est assez facile à détecter / colmatter et nettoyer, autant, une fois que l'attaquant est passé aux étapes suivantes, c'est un merdier sans nom pour l'évincer du réseau (c'est tellement compliqué qu'un attaquant qui est assez bon ne se fera plus jamais sortir, si le SI est assez complexe / gros pour se cacher dans un coin non maitrisé).

Un lien vers le déroulé des découvertes : https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
 

Révélation

 

Here’s a rough timeline as we know it so far:

• Jan. 5: DEVCORE alerts Microsoft of its findings.
• Jan. 6: Volexity spots attacks that use unknown vulnerabilities in Exchange.
• Jan. 8: DEVCORE reports Microsoft had reproduced the problems and verified their findings.
• Jan. 11: DEVCORE snags proxylogon.com, a domain now used to explain its vulnerability discovery process.
• Jan. 27: Dubex alerts Microsoft about attacks on a new Exchange flaw.
• Jan. 29: Trend Micro publishes a blog post about “Chopper” web shells being dropped via Exchange flaws (but attributes cause as Exchange bug Microsoft patched in 2020)
• Feb. 2: Volexity warns Microsoft about active attacks on previously unknown Exchange vulnerabilities.
• Feb. 8: Microsoft tells Dubex it has “escalated” its report internally.
• Feb. 18: Microsoft confirms with DEVCORE a target date of Mar. 9 (tomorrow) for publishing security updates for the Exchange flaws. That is the second Tuesday of the month — a.k.a. “Patch Tuesday,” when Microsoft releases monthly security updates (and yes that means check back here tomorrow for the always riveting Patch Tuesday roundup).
• Feb. 26-27: Targeted exploitation gradually turns into a global mass-scan; attackers start rapidly backdooring vulnerable servers.
• Mar. 2: A week earlier than previously planned, Microsoft releases updates to plug 4 zero-day flaws.
• Mar. 2: DEVCORE researcher Orange Tsai (noted for finding and reporting some fairly scary bugs in the past) jokes that nobody guessed Exchange as the source of his Jan. 5 tweet about “probably the most serious [remotely exploitable bug] I have ever reported.”
• Mar. 3: Tens of thousands of Exchange servers compromised worldwide, with thousands more servers getting freshly hacked each hour.
• Mar. 4: White House National Security Advisor Jake Sullivan tweets about importance of patching Exchange flaws, and how to detect if systems are already compromised.
• Mar. 5, 1:26 p.m. ET: In live briefing, White House press secretary Jen Paski expresses concern over the size of the attack.
• Mar. 5, 4:07 p.m. ET: KrebsOnSecurity breaks the news that at least 30,000 organizations in the U.S. — and hundreds of thousands worldwide — now have backdoors installed.
• Mar. 5, 6:56 p.m. ET: Wired.com confirms the reported number of victims.
• Mar. 5, 8:04 p.m. ET: Former CISA head Chris Krebs tweets the real victim numbers “dwarf” what’s been reported publicly.
• Mar. 6: CISA says it is aware of “widespread domestic and international exploitation of Microsoft Exchange Server flaws.”
• Mar. 7-Present: Security experts continue effort to notify victims, coordinate remediation, and remain vigilant for “Stage 2” of this attack (further exploitation of already-compromised servers).

Update, 12:11 p.m. ET: Correct link to Dubex site (it’s Dubex.dk). Also clarified timing of White House press statement expressing concern over the number of the Exchange Server compromises. Corrected date of Orange Tsai tweet.

 

 

Modifié le 9 mars 2021 par Nemo123

[Nemo123]

Concernant cette dernière campagne d'attaque, appelée ProxyLogon ou Hafnium, nous avons pu observer 10 groupes différents déployer la première étape de backdoors. Ces groupes ne semblent pas disposer de procédures particulières laissant penser à un sponsor étatique, mais plutôt à des acteurs mafieux.

L’intérêt de s'attaquer à un système d'emails est qu'il permet d'exfiltrer beaucoup d'informations sensibles, faciles à revendre. Sa contrainte est que ce traitement des informations exfiltrées prend du temps et doit faire appel à des experts techniques qui ne sont pas du domaine de compétences des hackers pour étudier la pertinence et la valeur du contenu fuité (données financières, techniques, stratégiques, ...)...

Pour la première fois hier, il semblerait que des attaquants soient arrivés à l'étape finale de chiffrement d'un système d'informations, en délivrant un code d'attaque type ransomware nommé Dearcry.

Jusqu'ici, les victimes sont principalement US, Canadiennes et Australiennes. Les deux premiers (US et CA) sont habitués à être dans les top victimes des ransomwares, tout simplement car ils sont plus enclins à payer les rançons (généralement en cryptomonnaie Monero, plus rarement Bitcoin) que les autres pays (ce qui pourrait changer à l'avenir avec une nouvelle loi US interdisant le financement des activités cybermaveillantes, y compris par le payement de rançons).

Modifié le 12 mars 2021 par Nemo123

[rogue0]

Le 05/03/2021 à 17:19, Nemo123 a dit :

Ayant pas mal bossé sur cette attaque je me permets un petit RETEX : quelques centaines de victimes sur les 18.000 ayant téléchargé la mise à jour vérolée. Cela témoigne du Big Game Hunting (l'attaquant se paye le luxe de choisir ses victimes).

Cette attaque est de loin la plus sophistiquée que j'ai vu, avec une multitude de tactiques, techniques et procédures, groupe, acteurs, et potentiellement plusieurs nationalités impliquées [...]
J'aimerais vous en parler pendant des heures, mais voici quelques infos à la volée :

Je suis content de voir qu'il y a des cyberdef qui fréquentent le forum : ça permettra de garder un peu de rigueur sur ce fil :)
Ca fait 15 ans que je ne bosse plus en cybersécurité, mais j'essaie de rester à jour.

Perso, un topo sur l'intrusion Solarwinds (*) m'intéresse.
(* même s'il y a eu d'autres vecteurs d'attaques, apparemment via cloud)
(* je dis bien intrusion voire espionnage ... à priori pas attaque)

[g4lly]

On 3/9/2021 at 2:08 PM, Nemo123 said:

Je fais un second message, car celui-ci est sans rapport avec le premier. Peut-être avez-vous entendu parler de 4 failles de sécurité non documentées (0 day) et exploitées dans la nature, qui permettent l'exécution de code arbitraire à distance sans authentification (la pire sévérité qui soit, on ne peut pas faire pire) sur des serveurs Exchange (emails) exposés en DMZ (accessible depuis internet, mais rien de plus normal pour un serveur mail).

En même temps un serveur Exchange en front c'est tendre le bâton pour se faire battre ...

On 3/12/2021 at 9:55 AM, Nemo123 said:

Jusqu'ici, les victimes sont principalement US, Canadiennes et Australiennes. Les deux premiers (US et CA) sont habitués à être dans les top victimes des ransomwares, tout simplement car ils sont plus enclins à payer les rançons (généralement en cryptomonnaie Monero, plus rarement Bitcoin) que les autres pays (ce qui pourrait changer à l'avenir avec une nouvelle loi US interdisant le financement des activités cybermaveillantes, y compris par le payement de rançons).

Pour comprendre ... les échanges Monero sont crypté et son difficilement traçable ... alors que Bitcoin est complétement ouvert - c'est cette transparence qui garantit l’honnêteté de toutes les transactions - ce qui permet relativement facilement de suivre les paiement. D’où le fait que les méchants préfère se faire payer en Monero ... ils ont plus de chance de garder la tête sur les épaules s'ils tombent sur une cible un peu rancunière.

[Nemo123]

Il y a 9 heures, g4lly a dit :

En même temps un serveur Exchange en front c'est tendre le bâton pour se faire battre ...

En même temps un serveur Exchange qui n'est pas en front (ou accessible depuis le web sur des ports de services email) ça veut dire que c'est une messagerie purement d'interne à interne, et non ouvert à l'extérieur. C'est assez rare de rencontrer ce cas de figure (à part dans le secteur de la défense, jamais vu).

 

Il y a 9 heures, g4lly a dit :

Pour comprendre ... les échanges Monero sont crypté et son difficilement traçable ... alors que Bitcoin est complétement ouvert - c'est cette transparence qui garantit l’honnêteté de toutes les transactions - ce qui permet relativement facilement de suivre les paiement. D’où le fait que les méchants préfère se faire payer en Monero ... ils ont plus de chance de garder la tête sur les épaules s'ils tombent sur une cible un peu rancunière.

Disons que Monero anonymise les portefeuilles successifs auxquels sont transférés les fonds, donc plus facile de se cacher. Alors que Bitcoin a la liste des portefeuilles successifs complètement publique, et qu'il faut faire un montage sur une plate-forme avec une banque peu regardante pour faire sortir les sous. Ça nécessite un montage financier pas forcément à la portée du premier venu.

Mais ça ne lève pas le principal défit : la manière de blanchir de l'argent. Que ça soit en bitcoin ou en monero, ça reste un vrai problème, d'où le développement de l'économie du hacking via ces cryptos (pour la location de serveurs, de puissance de calcul, l'achat de vulnérabilités, le payement des salaires et autres sous-traitants, entre autres). Et d'où le fait que beaucoup de mafias conservent des activités économiques légales propices au blanchiment d'argent.

 

Pour info, le groupe qui opère le ransomware Sodinokibi / Revil (un des plus connus) propose depuis quelques mois 10% de discount sur la rançon si la victime paye en Monero plutôt qu'en bitcoin.

 

 

Il y a 9 heures, rogue0 a dit :

Perso, un topo sur l'intrusion Solarwinds (*) m'intéresse.
(* même s'il y a eu d'autres vecteurs d'attaques, apparemment via cloud)
(* je dis bien intrusion voire espionnage ... à priori pas attaque)

Mon post du 5 Mars en bas de la page.

A ma connaissance, il n'y a pas eu de vecteur d'intrusion via le Cloud (après "cloud" c'est un peu un mot valise qui veut tout et rien dire). L'exfiltration de données s'est souvent produite via Office 365, une messagerie Azure de Cloud public (Microsoft). Le vecteur d'intrusion initial s'est fait par compromission d'un prestataire (nommé SolarWinds), puis une fois dans le réseau de la victime ciblée, on est allé de porte à porte par email, VPN, rebond simple par manque de segmentation entre les filiales pour aller chercher la victime finale qui détenait la propriété intellectuelle à exfiltrer.

En informatique, on parle d'attaque dès lors que l'activité est illégale : rentrer dans un réseau privé est illégal (il y a d'ailleurs un disclamer qui s'affiche à la connexion, qui te demande de te déconnecter sauf si tu fait parti de l'équipe d'admin), même si tu n'y fais absolument rien. Rien que ça est puni par la loi. Donc l'espionnage est complètement catégorisé comme une attaque d'un point de vue informatique (après, on laisse les militaires juger selon leur vocabulaire).

Après, il existe des activités borderline, qui ne sont officiellement pas des attaques mais qui sont tellement hostiles que quand tu les vois, tu cherches à devenir contre-offensif si possible. Je pense notamment à tout ce qui scan massif de ports réseaux. C'est un peu comme quand un adversaire t'illumine au radar : il n'a rien fait de nuisible concrètement, mais c'est un acte tellement hostile que dans certaines situations, tu seras autorisé à abattre l'adversaire par prévention.

Modifié le 24 mars 2021 par Nemo123

[g4lly]

5 minutes ago, Nemo123 said:

Mais ça ne lève pas le principal défit : la manière de blanchir de l'argent. Que ça soit en bitcoin ou en monero, ça reste un vrai problème, d'où le développement de l'économie du hacking via ces cryptos (pour la location de serveurs, de puissance de calcul, l'achat de vulnérabilités, le payement des salaires et autres sous-traitants, entre autres). Et d'où le fait que beaucoup de mafias conservent des activités économiques légales propices au blanchiment d'argent.

Tu veux dire blanchir ... en produisant des "euros blancs" ? Parce que tout un tas de pays ne sont pas un poil regardant sur la source de tes revenus tant que tu les dépenses chez eux

Et comme de plus en plus tu pourras commercer directement en crypto le besoin de convertir en "euros" sera plus modeste.

Pour les activités "légale" ce n'est rien de nouveau ... tous les mafieux aspirent à se monter des petites affaires légales pour sortir du business un jour, et s'offrir ou offrir à leur enfants une façade présentable  ... mais vu la rentabilité pharaonique du business ... en générale il ne le quitte jamais.

[Shorr kan]

Il y a 4 heures, Nemo123 a dit :

  

... 

Exactement !

Même si on a souvent un faisceau d'indices, un acteur étatique n'aura en principe pas trop de mal à se cacher. Regardez avec SolarWinds depuis 4 mois : on sait qu'il y avait du Russe, de l'ex-bloc de l'Est en général, du Chinois, des groupes mafieux, probablement des groupes étatiques, pas vraiment de pilote / commanditaire avéré car inutile : tous ont la même manière de faire et le même but : exfiltrer silencieusement de la propriété intellectuelle.

 

...

 

Concrètement, comment font-ils pour dissimuler l'origine/lieu de l'attaque ?

Modifié le 24 mars 2021 par Shorr kan

[Nemo123]

il y a une heure, Shorr kan a dit :

Concrètement, comment font-ils pour dissimuler l'origine/lieux de l'attaque ?

En fait, il faut se poser la question inversement : comment fait-on pour retrouver l'origine de l'attaque ? Il existe une spécialité en SSI qui s'appelle le forensic, et qui, comme sa traduction l'indique, consiste à chercher des artefacts et autres preuves du passage des attaquants sur les SI infectés. Or, ces éléments (fichiers reliquats, journaux systèmes, adresses IP vers lesquelles on a communiqué, outils utilisés, plages horaires, langue du clavier, etc...) sont globalement tous anonymisables et open source (ou un peu personnalisés), si bien que leur découverte n'implique pas corrélation avec un acteur précis.

Des collectifs s'associent pour répertorier toutes les TTP (techniques, tactiques et procédures) connues sur tous les hacks pour dresser des "profils" d'attaquant et faire des corrélations de méthodes. La plus connue est le MITRE ATT&CK (mais il en existe plein d'autres) : https://attack.mitre.org/

Sur la page d'accueil du site, tu as la liste de toutes les méthodes d'attaque connues de tous les attaquants du monde.

Quand tu vas sur la page d'un acteur malveillant connu, par exemple APT28 (groupe russe affilé au renseignement militaire Russe), tu y vois en dessous toutes les techniques qu'on leur suppose utiliser : https://attack.mitre.org/groups/G0007/

Sauf que ceci est plus ou moins fiable et documenté, car comme tu peux le lire, l'immense majorité des artefacts retrouvés sont communs à plein de groupes d'attaquants, et sont même des outils d'audit grand public que j'utilise au quotidien dans une démarche bienveillante. Toutes (ou presque) les procédures et outils sont open source, n'importe qui pourrait le faire à leur place. Donc le boulot est de faire de la corrélation statistique entre les preuves retrouvées et "ce" qu'on connait des différents groupes existants ("ce" qui est souvent soumis à caution).

 

Ça c'est pour la méthodologie.

Si après tu rajoutes toutes les mesures d'anonymisations via VPN, TOR, cryptomonnaies, etc... ça noie d'autant plus le poisson. Il existe une spécialité pas mal demandée sur le darknet qui s'appelle l'obfuscation, qui est une discipline qui consiste à maquiller des procédures mais surtout du code pour le rendre inconnu / d'aspect légitime / différent de ce qui a été vu par le passé, ...

Sans parler de l'immense porosité entre les milieux des hackers mafieux qui pissent du ransomware le soir et le weekend (un hobby, je vous dis) et bossent pour le GRU la semaine de 9h à 18h. Sans parler de tous les sous-traitants et proxies utilisés, commanditaires étatiques qui sous-traitent à des copains hackers. Sans parler des "malware as a service" où un éditeur de logiciel malveillant propose une location, avec tout un package clef en main qui fait que même ma grand mère pourrait infecter la CIA avec un ransomware (ou presque) en demandant simplement une rétrocession sur la rançon obtenue (mais lui ne fait rien de malveillant).

 

Sauf grosse erreur de l'attaquant, il est très rare de pouvoir déterminer avec certitude l'origine d'une attaque. Limite le contexte diplomatique te donnerait plus d'indices.

 

Modifié le 24 mars 2021 par Nemo123

[Shorr kan]

il y a 22 minutes, Nemo123 a dit :

En fait, il faut se poser la question inversement : comment fait-on pour retrouver l'origine de l'attaque ? Il existe une spécialité en SSI qui s'appelle le forensic, et qui, comme sa traduction l'indique, consiste à chercher des artefacts et autres preuves du passage des attaquants sur les SI infectés. Or, ces éléments (fichiers reliquats, journaux systèmes, adresses IP vers lesquelles on a communiqué, outils utilisés, plages horaires, langue du clavier, etc...) sont globalement tous anonymisables et open source (ou un peu personnalisés), si bien que leur découverte n'implique pas corrélation avec un acteur précis.

Des collectifs s'associent pour répertorier toutes les TTP (techniques, tactiques et procédures) connues sur tous les hacks pour dresser des "profils" d'attaquant et faire des corrélations de méthodes. La plus connue est le MITRE ATT&CK (mais il en existe plein d'autres) : https://attack.mitre.org/

Sur la page d'accueil du site, tu as la liste de toutes les méthodes d'attaque connues de tous les attaquants du monde.

Quand tu vas sur la page d'un acteur malveillant connu, par exemple APT28 (groupe russe affilé au renseignement militaire Russe), tu y vois en dessous toutes les techniques qu'on leur suppose utiliser : https://attack.mitre.org/groups/G0007/

Sauf que ceci est plus ou moins fiable et documenté, car comme tu peux le lire, l'immense majorité des artefacts retrouvés sont communs à plein de groupes d'attaquants, et sont même des outils d'audit grand public que j'utilise au quotidien dans une démarche bienveillante. Toutes (ou presque) les procédures et outils sont open source, n'importe qui pourrait le faire à leur place. Donc le boulot est de faire de la corrélation statistique entre les preuves retrouvées et "ce" qu'on connait des différents groupes existants ("ce" qui est souvent soumis à caution).

 

Ça c'est pour la méthodologie.

Si après tu rajoutes toutes les mesures d'anonymisations via VPN, TOR, cryptomonnaies, etc... ça noie d'autant plus le poisson. Il existe une spécialité pas mal demandée sur le darknet qui s'appelle l'obfuscation, qui est une discipline qui consiste à maquiller des procédures mais surtout du code pour le rendre inconnu / d'aspect légitime / différent de ce qui a été vu par le passé, ...

Sans parler de l'immense porosité entre les milieux des hackers mafieux qui pissent du ransomware le soir et le weekend (un hobby, je vous dis) et bossent pour le GRU la semaine de 9h à 18h. Sans parler de tous les sous-traitants et proxies utilisés, commanditaires étatiques qui sous-traitent à des copains hackers. Sans parler des "malware as a service" où un éditeur de logiciel malveillant propose une location, avec tout un package clef en main qui fait que même ma grand mère pourrait infecter la CIA avec un ransomware (ou presque) en demandant simplement une rétrocession sur la rançon obtenue (mais lui ne fait rien de malveillant).

 

Sauf grosse erreur de l'attaquant, il est très rare de pouvoir déterminer avec certitude l'origine d'une attaque. Limite le contexte diplomatique te donnerait plus d'indices.

 

Donc, pour vérifier que j'ai bien compris : il est presque impossible, sauf grosse bourde de l'attaquant, de géolocaliser directement le lieu de l'attaque. J'ai bon ? 

[Nemo123]

il y a 47 minutes, Shorr kan a dit :

Donc, pour vérifier que j'ai bien compris : il est presque impossible, sauf grosse bourde de l'attaquant, de géolocaliser directement le lieu de l'attaque. J'ai bon ? 

Le lieu de l'attaque est bien connu puisque c'est celui qui se plaint

 

En revanche, le lieu de résidence de l'attaquant, quel est-il ? Mais surtout : qui est l'attaquant ?

Celui du commanditaire ? S'il a communiqué le nom de la cible à un attaquant dans une enveloppe en papier, ça va être compliqué de retrouver sa trace sans choper l'enveloppe et faire un prélèvement ADN.

Celui des serveurs de l'attaquant ? Des dizaines de milliers dans le monde dans des botnets (des ensembles de PC / serveurs de rebonds contrôlés par l'attaquant, qui sont dispos à la location que tous les attaquants utilisent à tour de rôle). Le PC de ma grand mère en fait probablement partie si elle clique sur toutes les pubs qu'elle voit quand elle consulte ses sites de bridge. Ainsi que le Galaxy S8 de mon petit cousin qui va sur des sites de cul en cliquant partout n'importe comment et qui n'installe aucune mise à jour. C'est aussi la camera IP qui sert à la surveillance du local A36-18v9 d'entrepôt des écrous type 44R de la SNCF dans un lieu-dit de la Creuse. Bref, ces "zombies", c'est un peu tout le monde (n'importe quel équipement qui a une connexion internet), et leur identification n'est pas très intéressante.

Le serveur qui contrôle ces réseaux de botnets cités au dessus ? Trop compliqué à retrouver, sauf grosse bourde de l'attaquant. Sans compter les moyens de noyer le poisson. Et même si tu le localises à Miami, USA dans la maison de la famille Smith au 7 Victoria street, le mec peut être de nationalité Tchèque, mais bossant pour un groupe Bulgare dont les services ont été ponctuellement achetés par les Nord Coréens pour palier à une lacune dans leurs compétences permettant de participer à une opération de grande envergure commanditée par le Kremlin. On n'a pas vraiment sur le scénario du bon petit soldat russe qui travaille officiellement pour l'Armée Russe qui va tous les matins dans les bureaux de l'armée Russe en utilisant des serveurs domiciliés en Russie avec une sortie internet de l'Armée Russe pour attaquer les affreux capitalistes avec des lignes de commandes en cyrillique dans un logiciel édité officiellement en Russie.

 

Quasiment tous les hackers (ou réseaux de hackers) qui sont tombés ces dernières années ont été identifiés par une erreur d’inattention des attaquants, débusquée par une armée 50 analystes qui ont bossé pendant 3 ans full time sur le sujet pour choper un unique mec...

Modifié le 24 mars 2021 par Nemo123

[gustave]

Ce qui explique le concept d'attribution, qui n'est pas une certitude scientifique mais une décision politique résultant d'un faisceau de présomptions autant géopolitiques, politiques, que techniques...

[fraisedesbois]

Je signale la parution de Guérilla 2.0. Guerres irrégulières dans le cyberespace, Bertrand Boyer, éditions de l'école de guerre, Paris Déc. 2020.
 

Alors que les technologies de l’information et de la communication favorisent le développement d’une société plus ouverte, interconnectée, elles permettent également l’émergence de nouvelles menaces et conflits.
La guerre irrégulière connaît un développement inédit : la guérilla 2.0.

Pour autant, la nature du combat insurrectionnel a-t-elle évolué ? La révolte 2.0 est-elle si différente des barricades de 1848 ? Comment la mondialisation des menaces et les nouvelles formes de terrorisme se nourrissent de la société de l’information ?

Autant de questions que se propose d’explorer l’auteur car la bataille ne se joue plus sur un champ clos, où s’opposent des forces armées, mais au cœur des populations, sous le regard des caméras et des influenceurs.

 

https://ecoledeguerre.paris/livres/guerilla-20/

[Nemo123]

Kaspersky (et d'autres éditeurs) a dévoilé mardi une campagne de grande ampleur attribuée (par les officiels US) à APT10 (chinois, affiliés au gouvernement) visant à infiltrer des entreprises industrielles japonaises (beaucoup d’entreprises), pour , a minima exfiltrer de la propriété intellectuelle et potentiellement dans le futur à saboter ce qui peut l'être.

L'opération, initiée par du renseignement depuis Mars 2019 et entré dans une phase active depuis Octobre 2019, a passé un point culminant en Janvier 2021, a été détectée et suivie attentivement par Symantec (US).

Source : https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

Modifié le 1 avril 2021 par Nemo123

[Nemo123]

Le 01/04/2021 à 12:16, Nemo123 a dit :

Kaspersky (et d'autres éditeurs) a dévoilé mardi une campagne de grande ampleur attribuée (par les officiels US) à APT10 (chinois, affiliés au gouvernement) visant à infiltrer des entreprises industrielles japonaises (beaucoup d’entreprises), pour , a minima exfiltrer de la propriété intellectuelle et potentiellement dans le futur à saboter ce qui peut l'être.

L'opération, initiée par du renseignement depuis Mars 2019 et entré dans une phase active depuis Octobre 2019, a passé un point culminant en Janvier 2021, a été détectée et suivie attentivement par Symantec (US).

Source : https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

Pour faire suite à mon message précédent, la liste des entreprises connues s'étant déclarées victimes a été publiée sur un média français dont le nom m'échappe. J'ai noté des noms de la tech, micro électronique et ce genre de chose et Bridgestone.

 

***********************************************************************

 

Hier Dimanche, l'Iran devait mettre en service ses nouvelles centrifugeuses d'enrichissement d'Uranium à destinée militaire sur son site enterré de Natanz. Sauf que, lors du lancement, l'infrastructure électrique ne s'est pas comportée comme attendu, entrainant des dégradations qualifiées par plusieurs sources. Ce phénomène, présenté par les Iraniens comme du sabotage et attribué à des terroristes, a été revendiqué à demi-mots par le premier ministre Israélien aujourd'hui. Les Iraniens ont promis une riposte.

Coïncidence ou pas, le ministre de la défense US était à Tel Aviv en visite officielle ce jour-là.

D'un point de vue technique, il sera probablement compliqué de déterminer la source de l'attaque, comme d'habitude. Mais de même que d'habitude en cyber, le contexte géopolitique tendu (cf, fil de politique internationale sur l'Iran) donne plus de leviers pour identifier les commanditaires de l'attaque.

Les systèmes industriels visés sont appelés les "SCADA", et sont des éléments critiques des systèmes d'informations (pas d'un point de vue fonctionnement, mais d'un point de vue "métier"), et généralement très mal protégés (car conçus pour être efficaces et pas pour se protéger).

Modifié le 12 avril 2021 par Nemo123