Recommended Posts

La LPM contiendrait aussi des propositions concrètes sur la cybersécurité (à confirmer, c'est le seul article qui en parle jusqu'à présent).

http://www.lemonde.fr/pixels/article/2018/02/08/cybersecurite-le-gouvernement-veut-mettre-les-telecoms-a-contribution-pour-detecter-les-attaques_5253808_4408996.html

Comme discuté plus haut, il s'agirait de mettre a contribution les opérateurs télécoms pour la cyberdéfense (puisque l'ANSSI n'a de mandat que pour surveiller l'IT gouvernementale et les infrastructures vitales).

En prévention d'attaque, il s'agirait de rechercher sur leurs réseaux, des signatures d'attaque en cours (DDoS, Mirai, ou plus sophistiqué), puis de prendre des mesures palliatives ( notifier les utilisateurs, ou bloquer les attaques).

C'est théoriquement une entorse à la neutralité des opérateurs (de tout laisser passer sans surveillance), mais on est à l'ère où des webcam connectées peuvent être piratées pour balancer des attaques de déni de service à 1 Tb/seconde ... il faut bien faire quelque chose.

 

  • Upvote 1

Share this post


Link to post
Share on other sites
Le 06/02/2018 à 14:53, Rob1 a dit :

 

 

Merci pour la recherche.

En parlant des hollandais, un gars intéressant (Max Smeets) vient de publier un billet dans le Wapo, analysant la révélation des capacité cyber sous plusieurs points de vue:

  • "Bonne" relation publique pour le gouvernement
  • Communication des SR envers les adversaires ... et les alliés.
    En faisant la parallèle avec Casimir et la conférence d'un certain officiel français (Mr Bernard Barbier)

https://www.washingtonpost.com/news/monkey-cage/wp/2018/02/08/the-netherlands-just-revealed-its-cyber-capacity-so-what-does-that-mean/?utm_term=.d00db8b6b843

Share this post


Link to post
Share on other sites
Le 26/01/2018 à 14:42, Rob1 a dit :

- les Néerlandais pensent que Cozy Bear est un groupe du SVR (jusqu'ici il me semble qu'on soupçonnait plutôt le FSB)

(...)

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

A propos des relations entre les SR russes et leur groupes de hacker  / APT favori, l'Estonie vient de publier son rapport annuel sur la sécurité du pays...
Consacré à 95% par la Russie (compréhensible vu leur situation géographique et les tensions récurrente) : la menace militaire, les guerres de propagande, et les pirates.

On trouve en page 56 du rapport un beau schéma sur leur théorie sur le rattachement des groupes de hacker.
Le FSB utiliserait le groupe Turla/ Snake/Uroboros pour leurs opérations offensives "déniables", et les centres  (16ème et 18ème) pour les opérations officielles de SIGINT et cyber.

Révélation

DVgUAn7X4AAne93.jpg

 

 

 


Rapport complet en anglais ici.
https://www.valisluureamet.ee/pdf/raport-2018-ENG-web.pdf


Extra bonus.
A propos de Fancy Bear : vu le ramdam sur leur expertise à influer sur les élections, il ne pas oublier qu'ils font aussi de l'espionnage industriel.

En épluchant une liste de cibles de phishing sur la période 2015-2016, ces journalistes de AP ont remarqué un effort marqué pour viser les spécialistes de drones armés, et de l'aérospatial (comme SpaceX et le X-37). (via phishing, piratage de boite mail, etc)

Et tout comme pour les interférences électorales, le FBI n'a prévenu quasiment aucune de ces cibles (militaires, sensibles) qu'ils étaient visés par des hackers...

https://apnews.com/cc616fa229da4d59b230d88cd52dda51


Edited by rogue0
  • Like 1

Share this post


Link to post
Share on other sites
Le 2/8/2018 à 14:38, rogue0 a dit :

La LPM contiendrait aussi des propositions concrètes sur la cybersécurité (à confirmer, c'est le seul article qui en parle jusqu'à présent).

http://www.lemonde.fr/pixels/article/2018/02/08/cybersecurite-le-gouvernement-veut-mettre-les-telecoms-a-contribution-pour-detecter-les-attaques_5253808_4408996.html

Comme discuté plus haut, il s'agirait de mettre a contribution les opérateurs télécoms pour la cyberdéfense (puisque l'ANSSI n'a de mandat que pour surveiller l'IT gouvernementale et les infrastructures vitales).

En prévention d'attaque, il s'agirait de rechercher sur leurs réseaux, des signatures d'attaque en cours (DDoS, Mirai, ou plus sophistiqué), puis de prendre des mesures palliatives ( notifier les utilisateurs, ou bloquer les attaques).

C'est théoriquement une entorse à la neutralité des opérateurs (de tout laisser passer sans surveillance), mais on est à l'ère où des webcam connectées peuvent être piratées pour balancer des attaques de déni de service à 1 Tb/seconde ... il faut bien faire quelque chose.

 

Je réponds à tes questions du fil LPM:

Citation

Après, du point de vue d'un profane, ça me semble être l'extension logique de la loi de renseignement et des fameuses "boîtes noires" DPI, à brancher sur les opérateurs.
(bien plus intrusives pour la vie privée, vu que les DGSI et DGSE ont pour mandat le renseignement et la collecte).
Dont toutes les modalités d'application sont aussi fixé par décret/ordonnance.

Le chapeautage par l'ANSSI / ARCEP ne te rassure pas du tout ?
Ce ne sont pas des agences de collecte de renseignement, elles (contrairement à la NSA/Cybercom, qui sont légèrement Judge Dredd en la matière...)

La différence fondamentale est que les boites noires sont encadrées par la commission nationale de controle des techniques de renseignement, dont la composition et les pouvoirs sont prévus par la loi, et qui a de vrais pouvoirs de contrainte et un expertise à la fois juridique et technique. Et les boites noires ne concernent que les métadonnées si je me souviens bien.

Là on parle de "marqueurs techniques", qui peuvent tout à fait faire partie du contenu (un lien, une pièce jointe par exemple) si on a une interprétation large. Bien que l'ANSSI ne soit pas officiellement un service de renseignement, rien ne l'empêche de communiquer les conclusion de ses enquêtes aux services de renseignement (et je suis quasiment sur qu'elle le fait pour maintenir la direction technique de la DGSE et le commandement cyberdéfense au courant des menaces qu'elle voit), voire aux autorités judiciaires. Et la collecte des marqueurs sera encadrée on ne sait pas comment par l'ARCEP, vu que le gouvernement fixera les modalités du contrôle par ordonnance. Les parlementaire ne pourront même pas poser d'amendements.

L'article du monde est assez équilibré, dans la mesure où le journaliste n'était pas au courant du passage par ordonnances (le gouvernement a du lui cacher parce que politiquement ça la fout un peut mal)

  • Thanks 1

Share this post


Link to post
Share on other sites

Il y a un nouveau directeur pour la NSA.

Ils n'ont pas cherché bien loin, il était déjà chef de CyberCOM.
Lt Général Paul M Nakasone.

Voilà la Biographie officielle:

https://www.army.mil/article/199703/biography_lt_gen_paul_m_nakasone_commanding_general_us_army_cyber_command

Il succède à Mike Rodgers, qui a subit des crises terribles pendant son mandat (la bombe Snowden, Shadow Brokers, piratage russes sur les élections, etc).

 

  • Upvote 1

Share this post


Link to post
Share on other sites
Il y a 13 heures, rogue0 a dit :

Ils n'ont pas cherché bien loin, il était déjà chef de CyberCOM.

Attention,

maitre-capello.jpg

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Share this post


Link to post
Share on other sites
Le 10/02/2018 à 01:51, rogue0 a dit :

On trouve en page 56 du rapport un beau schéma sur leur théorie sur le rattachement des groupes de hacker.
Le FSB utiliserait le groupe Turla/ Snake/Uroboros pour leurs opérations offensives "déniables", et les centres  (16ème et 18ème) pour les opérations officielles de SIGINT et cyber.

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

Citation

the  GRU likely possesses the finest technological and operational capabilities  among Russia’s special services

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Edited by Rob1

Share this post


Link to post
Share on other sites

Un peu de news cyber française.

Publication par la SGDN de la revue stratégique de cyberdéfense.
Pas trop le temps de poster ( et c'est un gros bébé de 167 pages+), mais ça a l'air intéressant ... si on met les moyens derrière.

Voilà le document.
Les actions recommandées sont résumées à partir de la page 137.
(j'ai raté le RIE, réseau interministériel d'état qui semble comprendre un accès internet durci et contrôlé)

http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/

Et une première analyse par un chercheur infosec franco polonais (mais qui écrit en anglais, vu l'audience cyber...)

http://blog.lukaszolejnik.com/highlights-of-french-cybersecurity-strategy/

https://mobile.twitter.com/lukOlejnik

Note: spécial pour @hadriel : la coopération ANSSI et opérateurs télécoms est plus détaillée à partir de l'annexe 9, page 166.

  • Like 1

Share this post


Link to post
Share on other sites
Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

maitre-capello.jpg

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Ach so, ça m'apprendra à lire en diagonale.
Du coup, voilà une autre bio plus complète avec son parcours public:

https://www.cyberscoop.com/new-nsa-director-cyber-command-paul-nakasone-trump-rob-joyce/

PS: maitre Capello a eu une rénovation, cf plus bas :biggrin:

Ted Mosby

screen-shot-2017-07-12-at-9-17-27-pm.png

 

Le 14/02/2018 à 22:11, Rob1 a dit :

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Attention, tu es à deux doigts de penser : "c'était mieux avant, au moins avec le KGB, c'était plus simple à retenir " :tongue:

Edited by rogue0
  • Haha 1

Share this post


Link to post
Share on other sites

Autres news cyber:

  • Upvote 1

Share this post


Link to post
Share on other sites

DJIHAD BUTLÉRIEN !!! 

Tu ne fera point de machines à l'esprit de l'Homme semblable.

On arrive a un point ou notre civilisation est bien trop vulnérable devant l'action de quelques groupuscules... 

  • Haha 2
  • Upvote 1

Share this post


Link to post
Share on other sites
Le 26/01/2018 à 14:42, Rob1 a dit :

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

A ce sujet, Thomas Rid a trouvé un scoop.

En faisant de l'archéologie sur la légendaire attaque Moonlight Maze/Makers Mark/Storm Cloud (années 96+ : des gigaoctets du Pentagone exfiltrés à l'ère des modem 56K... ), il a trouvé des logs complets de l'attaque sur un vieux serveur honeypot.
(grâce à des documents FOIA mal anonymisés par le FBI...)

Et bonus, il a trouvé de fortes similarité avec les outils d'attaque de Turla (un APT de haute volée, avec des techniques de masquage avancées).
Si c'est confirmé, alors ce serait un groupe de pirate avec une ancienneté comparable à l'Equation Group de la NSA...
Et grâce aux 6 mois de logs, on peut voir l'évolution des outils et techniques d'attaque.

résumé grand public
https://motherboard.vice.com/en_us/article/vvk83b/moonlight-maze-turla-link

conférence détaillée (ironiquement organisée par Kaspersky):
https://securelist.com/penquins-moonlit-maze/77883/

papier complet (35 pages)
https://kas.pr/4P8E

EDIT appendices techniques sur les 30+ outils capturés par le honeypot
https://kas.pr/z52c

 

Edited by rogue0
ajout des appendices techniques
  • Like 1
  • Upvote 3

Share this post


Link to post
Share on other sites

brèves cyber en série :

Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Audition parlementaire pour confirmer le nouveau chef de la NSA, Paul Nakasone 

https://www.cyberscoop.com/nakasone-nomination-hearing-they-dont-fear-us/

En résumé, il confirme l'état des lieux de son prédecesseur, cad que les adversaires des USA continuent leurs attaques ou ingérence, sans peur des représailles : normal, puisqu'elles sont souvent inexistantes (ou inaudibles vu les signaux contradictoires de PotUS vs le reste du gouvernement US : DDoS sur une institution de hacker nord coréen par exemple).

Il semble préparer le terrain à un portefeuille d'actions de représailles, surtout cyber, et de renforcer la défense.
Une posture totalement  défensive est perdante.

  • Upvote 1

Share this post


Link to post
Share on other sites

Pour éviter des fiasco comme au Donbass (où des troufions russes ont posté des selfie en territoire séparatistes, quand les chefs niaient farouchement toute intervention),

Les autorités militaires ont choisi les méthodes traditionnelles de COMSEC... mais toujours efficaces.
https://medium.com/dfrlab/putinatwar-burner-phones-are-back-in-10c4dc368d7c

En déploiement, seule une petite liste de téléphone est autorisée...
Et aucun d'eux n'est un smartphone, ou n'a de caméra frontale.
Les chefs précisent bien que ces téléphones peuvent envoyer des SMS ... (en mode T9 à la mode des vieux nokia).

En cas de violation des consignes, les smartphones saisis sont littéralement crucifiés .
Et leur propriétaire ? ... no comment :dry:

  • Haha 1

Share this post


Link to post
Share on other sites
Le 17/02/2018 à 01:20, rogue0 a dit :

 

Suite de l'affaire.

Le Pentagone avait déjà annoncé que l'attaque informatique sur les JO était un false flag (russe) cherchant à blâmer les Nord Coréens, mais ça méritait confirmation.

Une confirmation indépendante vient de tomber lors de la conférence de sécurité de haut vol #SAS2018.
Ironiquement, ça vient des chercheurs de Kaspersky (société russe avec des liens au FSB)...

En gros, les créateurs du malware Olympic Destroyer ont bien recopié des modules du groupe Lazarus (nord coréen)...
Sauf que la procédure de mise en oeuvre étaient différente (exemple: au lieu de mot de passe de cryptage complexe de 30 caractères, mot de passe "123" ).

Rendus méfiants, ils ont remarqué que l'en-tête de compilation (supposément créé par le vénérable Visual Studio 6 1997 prisé par les nord coréens sans le sous) était un faux.
Vu sa signature, il a sans doute été créé sous Visual Studio 2010, puis édité ensuite pour ressembler (superficiellement) aux malware nord coréens.

Et si on élimine les Nord Coréens, il ne reste plus grand monde comme suspect.
Affaire classée.
(et un signe de plus que Kaspersky n'est pas tout pourri)

version grand public:

https://www.axios.com/olympic-destroyer-8fdef84a-16ea-4b31-a409-35bb75bad4b0.html?source=sidebar

version détaillée:

https://securelist.com/the-devils-in-the-rich-header/84348/

  • Like 1
  • Upvote 1

Share this post


Link to post
Share on other sites

Papier assez  pointu trouvé sur Springer : Torres, Douglas. "Cyber security and cyber defense for Venezuela: an approach from the Soft Systems Methodology." Complex & Intelligent Systems (2018).

Résumé (en anglais) :

Révélation

The use of the Internet by large sectors of society represents the interaction through information technology infrastructure, communication networks, information systems and telecommunications, as it determines the presence and exposure of cyber threats. The Soft Systems Methodology (SSM) was used to transit between observed reality and the world of systems, where emerges a Strategic Cyber Security and Cyber Defense Model (SCSCDM), proposed as a component of the security, defense and integral development of Venezuela. The human activities system foresees five subsystems: universal and inalienable guarantees of fundamental rights and freedoms of citizens; research, prevention, detection and management of cyber incidents; strengthening of economic welfare and social progress based on the development of information technology and communication; democratic, participatory, protagonist and pluralistic society; international cooperation and projection of cyber realm. The proposed system of human activities provides interaction with the environment where it is inserted, so the elements with which it interacts are identified.

Texte complet : http://rdcu.be/IOhw

Edited by Baba1
  • Thanks 1

Share this post


Link to post
Share on other sites

A prendre avec des pincettes, en attendant d'autres sources (pas trouvé l'analyse détaillée sur le site de Crowdstrike)

https://www.axios.com/china-broke-hacking-pact-before-new-tariff-tiff-d19f5604-f9ce-458a-a50a-2f906c8f12ab.html

Selon le fondateur de Crowdstrike, le nombre de cyber attaques chinoises sur les entreprises privées US (hors défense donc) aurait fortement augmenté en 2018 .
Ce type d'attaque avait été proscrite par un accord avec Obama et avait beaucoup baissé entre 2016 et 2017 (autorisant juste l'espionnage classique sur la défense et le gouvernement)
 

Le 23/03/2018 à 00:10, collectionneur a dit :

Déclenché une guerre économique et changé de conseiller à la sécurité nationale le jour même, est ce une bonne stratégie ? 

http://www.lepoint.fr/monde/le-journal-de-trump/trump-remplace-son-conseiller-a-la-securite-nationale-23-03-2018-2204855_3241.php

John Bolton, ex ambassadeur à l'ONU remplace le général MacMaster.

A priori, toujours avec des pincettes, ces attaques n'auraient pas été directement déclenchées aux sanctions de Trump.

Elles auraient démarré avant l'annonce fracassante de guerre commerciale de Trump à la Chine (précisément sur la protection intellectuelle des entreprises US).

Edited by rogue0
  • Upvote 1

Share this post


Link to post
Share on other sites

Du nouveau sur Vault7

Le gouvernement US prétend avoir trouvé la source probable de la fuite Vault7 (outils de hacking de la CIA, fièrement exhibés par Wikileaks... Et depuis, Trump / Pompéo ne sont plus des fans d'Assange :dry:).
Ce serait un ancien employé de la CIA (division cyber), parti en mauvais terme (et en prison depuis pour ... un serveur de partage tipiak de films et de musique :dry:).

Mais ils ne sont pas arrivés à trouver des preuves suffisantes pour l'inculper formellement.

https://www.washingtonpost.com/world/national-security/us-identifies-suspect-in-major-leak-of-cia-hacking-tools/2018/05/15/5d5ef3f8-5865-11e8-8836-a4a123c359ab_story.html?noredirect=on&utm_term=.215194d75341

Avis personnel:
Je trouve l'acte d'accusation très faible (que ce soit du côté CIA ou piratage audiovisuel):
L'article a peu de détails, mais en gros, même après avoir saisi son téléphone, ses ordinateurs, et ses logs, ils ne peuvent lui reprocher que 2 choses:

  • avoir utilisé Tor sur ses machines
  • avoir mis en place un serveur de partage privé de copie pirate (comme zone téléchargement ?), sur lequel certains utilisateurs ont mis du contenu pédophile.

Bref, des infractions de classe HADOPI ...
Je doute que quelqu'un ait pu effacer toutes ses traces de conspiration/communication avec Wikileaks, vu le niveau des cyberforensics (analyse physique des disque dur pour récupérer les données effacées ou incendiées ...).

Pour le reste des accusations d'ex-employé de la CIA revanchard, l'accusé répond qu'il avait simplement dénoncé des chefs et bureaucratie incompétentes à l'inspection interne et à une commission parlementaire.
Bref, impossible de trancher à notre niveau.

Révélation
Le 07/03/2017 à 20:32, rogue0 a dit :

Petite brève rapide:

Wikileaks a tenté de faire le buzz à propos d'une grande révélation dénommée Vault 7, qui a été dévoilée aujourd'hui.

Qu'est-ce que c'est ?
C'est censé être une grosse archive de milliers de documents et outils de hacking, qui aurait "fuité" des divisions techniques de la CIA (Directorate for Digital Innovation , à prendre avec de grosses pincettes).
Ces outils de hacking sont très variés, et semblent empiéter le domaine de la NSA (TV connectées, GPS, voitures reprogrammées pour espionnage).

Le 10/11/2017 à 17:42, rogue0 a dit :

Attention, Wikileaks se met à livrer des code source complet des outils de la CIA

Avec Vault7, ils s'étaient limité volontairement à dévoiler les documents techniques (toutes les semaines, suffisant pour griller les techniques et outils, pas assez pour aider les créateurs de malware)

Ils ont commencé une autre série de dump Vault8 (hebdomadaire ?), où ils fournissent tout le nécessaire pour recréer les outils (code source des outil + l'environnement de compilation + exemples).
C'est autrement plus dangereux (mais ils annoncent ne pas publier de 0 day ou de trucs "trop" dangereux).

 

 

 

Edited by rogue0
  • Upvote 1

Share this post


Link to post
Share on other sites

Les géants internet avaient introduit des box connectées, muni d'assistant à reconnaissance vocal ... qui écoutent en permanence.
Un rêve pour l'espionnage (c'était déjà  Noël avec les smartphones qui ont le potentiel de tout géolocaliser et enregistrer, parfois sans piratage)

Et fatalement, on a un exemple concret de ce qui peut arriver.

Une box (Amazon Alexa ici) a envoyé l'enregistrement d'une conversation privée domestique ... à l'un de ses subordonnés (au travail).
L'excuse technique ?
Il y avait trop de bruit de fond, la box l'a interprété comme "envoi à un contact"...

https://www.recode.net/2018/5/24/17391480/amazon-alexa-woman-secret-recording-echo-explanation

 
  • Confused 1

Share this post


Link to post
Share on other sites

Une brève sur les téléphones de POTUS.

https://www.politico.com/story/2018/05/21/trump-phone-security-risk-hackers-601903

Il avait accepté de se débarrasser de son Galaxy S3 ouvert aux 4 vents, au profit de 2 iPhone* (c'est déjà mieux ... mais piratable pour toute organisation ayant quelques millions de $ de ressource ... comme des SR)...

Par contre, il refuserait de suivre les procédures de sécurité de la Maison Blanche, comme :

  • changer régulièrement de téléphone (burner phone), ou
  • le faire examiner par la sécurité (tous les mois, pour réduire les chances de piratage/rootkit).
  • Ou même désactiver la webcam (idéal pour l'espionnage en douce).

Le dernier contrôle de cybersécurité, c'était il y a 5 mois... (bon, ils ont au moins désactivé la puce GPS).

La raison invoquée par POTUS : la sécurité, c'est pas pratique ("too inconvenient").

C'est compréhensible pour un quidam moyen, et absolument pas pour un chef de gouvernement.

Pour rappel:

  • le téléphone du Chief of Staff (Kelly) avait été piraté pendant plusieurs mois, avant qu'il ne s'aperçoive de quelque chose.
    Depuis (et aussi pour limiter les nombreuses fuites), les smartphones personnels sont interdits, et enfermés dans des coffres / cages de Faraday.
     
  • Et pour rappel, le candidat Trump avait violemment et fréquemment critiqué le serveur mail personnel de Hillary comme un danger mortel pour la sécurité nationale (et donc "lock her up").
    C'est aussi une violation de sécurité, mais fréquente (plein de gens renvoient leurs emails professionnel sur le mail personnel, pour les lire sur leur smartphone...  parce que c'est plus "convenient").

    Faites ce que je dis, pas ce que je fais ... :rolleyes:

(* Les iPhone ont été (légèrement) customisés, mais ça n'a rien à avoir avec le Blackberry d'Obama, où le GPS et la webcam avaient été enlevé, et durcis par la NSA)

  • Like 2

Share this post


Link to post
Share on other sites

Repost du fil Services de renseignement

The Intercept et NHK ont publié des révélations sur le discret service SIGINT japonais (Directorate for Signals Intelligence, or DFS).
Ils incluent 3 nouveaux documents Snowden.

En résumé, rien de très croustillant.

https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

http://www6.nhk.or.jp/special/detail/index.html?aid=20180519 (en japonais)

Share this post


Link to post
Share on other sites

Les chercheurs de Cisco Talos alertent sur une nouvelle famille de malware modulaire.
Ils craignent une attaque massive dans les jours à venir.

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

Baptisée VPNFilter, elle aurait déjà infecté 500 000+ équipements réseaux dans 54 pays.
Parmi les cibles déjà connues pour l'instant: des routeurs (Linksys, MikroTik, NETGEAR,TP-Link) ,  et des NAS (QNAP).

Le malware est persistant (la Phase 1 résiste au reboot), sophistiqué et modulaire (des modules de sniffage / espionnage de machines  industrielles SCADA Modbus, et de destruction du matériel ont été repérés), et des réseaux sophistiqués de contrôle (passage des instruction via les tags EXIF de grands sites de photo...).
Il est évidemment capable de coupure ou de filtrage internet à grande échelle.

Révélation

image5.jpg

Ce qui justifie l'alerte?

les chercheurs ont détecté ce mois ci un gros pic d'infection centré sur l'Ukraine, avec un serveur de contrôle dédié.

Ils ont décidé de publier l'alerte maintenant (avant d'avoir fini leur étude), car :

  • Plusieurs grosses cyber attaques sur l'Ukraine ont eu lieu pendant des jours fériés (NotPetya, plusieurs milliards de $ de dégâts dans le monde) :
  • et justement, on s'approche de plusieurs gros événements (gros match de foot Ukraine le 26/05, et la fête d'indépendance dans 1 mois).
  • par ailleurs, ces équipements réseaux sont difficiles à protéger par nature :
    peu ou pas de MAJ possible, peu ou pas d'antivirus/firewall, et ils doivent être accessibles en réseau pour fonctionner.

Les chercheurs de Cisco refusent de spéculer sur l'attribution.

Mais vu la similarité avec les malwares BlackEnergy (sabotage du réseau électrique), la cible (Ukraine), et les attaques précédentes, le suspect n°1 reste toujours le même voisin du nord...

Le FBI a été alerté et a saisi un premier domaine servant au C&C (contrôle) du malware : sauf qu'il est résistant à ça.
Le FBI ne prend pas de gants et accuse directement des hackers pro-russes (APT28/Sofacy / Fancy Bear/Sandworm).
https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

Autres sources & commentaires:

https://www.wired.com/story/vpnfilter-router-malware-outbreak/

https://www.cyberscoop.com/vpnfilter-ukraine-talos-cyber-threat-alliance/

version française vulgarisée (mais pas mauvaise)

https://www.lemonde.fr/pixels/article/2018/05/25/ukraine-un-virus-informatique-virulent-repere-a-la-veille-de-la-finale-de-ligue-des-champions_5304398_4408996.html

 

Edited by rogue0
  • Like 1
  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Member Statistics

    5,365
    Total Members
    1,132
    Most Online
    Kirpi2019
    Newest Member
    Kirpi2019
    Joined
  • Forum Statistics

    20,602
    Total Topics
    1,224,375
    Total Posts
  • Blog Statistics

    3
    Total Blogs
    2
    Total Entries