Aller au contenu
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991
 Share

Messages recommandés

Le 2/8/2018 à 14:38, rogue0 a dit :

La LPM contiendrait aussi des propositions concrètes sur la cybersécurité (à confirmer, c'est le seul article qui en parle jusqu'à présent).

http://www.lemonde.fr/pixels/article/2018/02/08/cybersecurite-le-gouvernement-veut-mettre-les-telecoms-a-contribution-pour-detecter-les-attaques_5253808_4408996.html

Comme discuté plus haut, il s'agirait de mettre a contribution les opérateurs télécoms pour la cyberdéfense (puisque l'ANSSI n'a de mandat que pour surveiller l'IT gouvernementale et les infrastructures vitales).

En prévention d'attaque, il s'agirait de rechercher sur leurs réseaux, des signatures d'attaque en cours (DDoS, Mirai, ou plus sophistiqué), puis de prendre des mesures palliatives ( notifier les utilisateurs, ou bloquer les attaques).

C'est théoriquement une entorse à la neutralité des opérateurs (de tout laisser passer sans surveillance), mais on est à l'ère où des webcam connectées peuvent être piratées pour balancer des attaques de déni de service à 1 Tb/seconde ... il faut bien faire quelque chose.

 

Je réponds à tes questions du fil LPM:

Citation

Après, du point de vue d'un profane, ça me semble être l'extension logique de la loi de renseignement et des fameuses "boîtes noires" DPI, à brancher sur les opérateurs.
(bien plus intrusives pour la vie privée, vu que les DGSI et DGSE ont pour mandat le renseignement et la collecte).
Dont toutes les modalités d'application sont aussi fixé par décret/ordonnance.

Le chapeautage par l'ANSSI / ARCEP ne te rassure pas du tout ?
Ce ne sont pas des agences de collecte de renseignement, elles (contrairement à la NSA/Cybercom, qui sont légèrement Judge Dredd en la matière...)

La différence fondamentale est que les boites noires sont encadrées par la commission nationale de controle des techniques de renseignement, dont la composition et les pouvoirs sont prévus par la loi, et qui a de vrais pouvoirs de contrainte et un expertise à la fois juridique et technique. Et les boites noires ne concernent que les métadonnées si je me souviens bien.

Là on parle de "marqueurs techniques", qui peuvent tout à fait faire partie du contenu (un lien, une pièce jointe par exemple) si on a une interprétation large. Bien que l'ANSSI ne soit pas officiellement un service de renseignement, rien ne l'empêche de communiquer les conclusion de ses enquêtes aux services de renseignement (et je suis quasiment sur qu'elle le fait pour maintenir la direction technique de la DGSE et le commandement cyberdéfense au courant des menaces qu'elle voit), voire aux autorités judiciaires. Et la collecte des marqueurs sera encadrée on ne sait pas comment par l'ARCEP, vu que le gouvernement fixera les modalités du contrôle par ordonnance. Les parlementaire ne pourront même pas poser d'amendements.

L'article du monde est assez équilibré, dans la mesure où le journaliste n'était pas au courant du passage par ordonnances (le gouvernement a du lui cacher parce que politiquement ça la fout un peut mal)

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a un nouveau directeur pour la NSA.

Ils n'ont pas cherché bien loin, il était déjà chef de CyberCOM.
Lt Général Paul M Nakasone.

Voilà la Biographie officielle:

https://www.army.mil/article/199703/biography_lt_gen_paul_m_nakasone_commanding_general_us_army_cyber_command

Il succède à Mike Rodgers, qui a subit des crises terribles pendant son mandat (la bombe Snowden, Shadow Brokers, piratage russes sur les élections, etc).

 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 10/02/2018 à 01:51, rogue0 a dit :

On trouve en page 56 du rapport un beau schéma sur leur théorie sur le rattachement des groupes de hacker.
Le FSB utiliserait le groupe Turla/ Snake/Uroboros pour leurs opérations offensives "déniables", et les centres  (16ème et 18ème) pour les opérations officielles de SIGINT et cyber.

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

Citation

the  GRU likely possesses the finest technological and operational capabilities  among Russia’s special services

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Modifié par Rob1
Lien vers le commentaire
Partager sur d’autres sites

Un peu de news cyber française.

Publication par la SGDN de la revue stratégique de cyberdéfense.
Pas trop le temps de poster ( et c'est un gros bébé de 167 pages+), mais ça a l'air intéressant ... si on met les moyens derrière.

Voilà le document.
Les actions recommandées sont résumées à partir de la page 137.
(j'ai raté le RIE, réseau interministériel d'état qui semble comprendre un accès internet durci et contrôlé)

http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/

Et une première analyse par un chercheur infosec franco polonais (mais qui écrit en anglais, vu l'audience cyber...)

http://blog.lukaszolejnik.com/highlights-of-french-cybersecurity-strategy/

https://mobile.twitter.com/lukOlejnik

Note: spécial pour @hadriel : la coopération ANSSI et opérateurs télécoms est plus détaillée à partir de l'annexe 9, page 166.

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

maitre-capello.jpg

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Ach so, ça m'apprendra à lire en diagonale.
Du coup, voilà une autre bio plus complète avec son parcours public:

https://www.cyberscoop.com/new-nsa-director-cyber-command-paul-nakasone-trump-rob-joyce/

PS: maitre Capello a eu une rénovation, cf plus bas :biggrin:

Ted Mosby

screen-shot-2017-07-12-at-9-17-27-pm.png

 

Le 14/02/2018 à 22:11, Rob1 a dit :

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Attention, tu es à deux doigts de penser : "c'était mieux avant, au moins avec le KGB, c'était plus simple à retenir " :tongue:

Modifié par rogue0
  • Haha (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Autres news cyber:

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 26/01/2018 à 14:42, Rob1 a dit :

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

A ce sujet, Thomas Rid a trouvé un scoop.

En faisant de l'archéologie sur la légendaire attaque Moonlight Maze/Makers Mark/Storm Cloud (années 96+ : des gigaoctets du Pentagone exfiltrés à l'ère des modem 56K... ), il a trouvé des logs complets de l'attaque sur un vieux serveur honeypot.
(grâce à des documents FOIA mal anonymisés par le FBI...)

Et bonus, il a trouvé de fortes similarité avec les outils d'attaque de Turla (un APT de haute volée, avec des techniques de masquage avancées).
Si c'est confirmé, alors ce serait un groupe de pirate avec une ancienneté comparable à l'Equation Group de la NSA...
Et grâce aux 6 mois de logs, on peut voir l'évolution des outils et techniques d'attaque.

résumé grand public
https://motherboard.vice.com/en_us/article/vvk83b/moonlight-maze-turla-link

conférence détaillée (ironiquement organisée par Kaspersky):
https://securelist.com/penquins-moonlit-maze/77883/

papier complet (35 pages)
https://kas.pr/4P8E

EDIT appendices techniques sur les 30+ outils capturés par le honeypot
https://kas.pr/z52c

 

Modifié par rogue0
ajout des appendices techniques
  • J'aime (+1) 1
  • Upvote (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

brèves cyber en série :

Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Audition parlementaire pour confirmer le nouveau chef de la NSA, Paul Nakasone 

https://www.cyberscoop.com/nakasone-nomination-hearing-they-dont-fear-us/

En résumé, il confirme l'état des lieux de son prédecesseur, cad que les adversaires des USA continuent leurs attaques ou ingérence, sans peur des représailles : normal, puisqu'elles sont souvent inexistantes (ou inaudibles vu les signaux contradictoires de PotUS vs le reste du gouvernement US : DDoS sur une institution de hacker nord coréen par exemple).

Il semble préparer le terrain à un portefeuille d'actions de représailles, surtout cyber, et de renforcer la défense.
Une posture totalement  défensive est perdante.

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Pour éviter des fiasco comme au Donbass (où des troufions russes ont posté des selfie en territoire séparatistes, quand les chefs niaient farouchement toute intervention),

Les autorités militaires ont choisi les méthodes traditionnelles de COMSEC... mais toujours efficaces.
https://medium.com/dfrlab/putinatwar-burner-phones-are-back-in-10c4dc368d7c

En déploiement, seule une petite liste de téléphone est autorisée...
Et aucun d'eux n'est un smartphone, ou n'a de caméra frontale.
Les chefs précisent bien que ces téléphones peuvent envoyer des SMS ... (en mode T9 à la mode des vieux nokia).

En cas de violation des consignes, les smartphones saisis sont littéralement crucifiés .
Et leur propriétaire ? ... no comment :dry:

  • Haha (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 17/02/2018 à 01:20, rogue0 a dit :

 

Suite de l'affaire.

Le Pentagone avait déjà annoncé que l'attaque informatique sur les JO était un false flag (russe) cherchant à blâmer les Nord Coréens, mais ça méritait confirmation.

Une confirmation indépendante vient de tomber lors de la conférence de sécurité de haut vol #SAS2018.
Ironiquement, ça vient des chercheurs de Kaspersky (société russe avec des liens au FSB)...

En gros, les créateurs du malware Olympic Destroyer ont bien recopié des modules du groupe Lazarus (nord coréen)...
Sauf que la procédure de mise en oeuvre étaient différente (exemple: au lieu de mot de passe de cryptage complexe de 30 caractères, mot de passe "123" ).

Rendus méfiants, ils ont remarqué que l'en-tête de compilation (supposément créé par le vénérable Visual Studio 6 1997 prisé par les nord coréens sans le sous) était un faux.
Vu sa signature, il a sans doute été créé sous Visual Studio 2010, puis édité ensuite pour ressembler (superficiellement) aux malware nord coréens.

Et si on élimine les Nord Coréens, il ne reste plus grand monde comme suspect.
Affaire classée.
(et un signe de plus que Kaspersky n'est pas tout pourri)

version grand public:

https://www.axios.com/olympic-destroyer-8fdef84a-16ea-4b31-a409-35bb75bad4b0.html?source=sidebar

version détaillée:

https://securelist.com/the-devils-in-the-rich-header/84348/

  • J'aime (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Papier assez  pointu trouvé sur Springer : Torres, Douglas. "Cyber security and cyber defense for Venezuela: an approach from the Soft Systems Methodology." Complex & Intelligent Systems (2018).

Résumé (en anglais) :

Révélation

The use of the Internet by large sectors of society represents the interaction through information technology infrastructure, communication networks, information systems and telecommunications, as it determines the presence and exposure of cyber threats. The Soft Systems Methodology (SSM) was used to transit between observed reality and the world of systems, where emerges a Strategic Cyber Security and Cyber Defense Model (SCSCDM), proposed as a component of the security, defense and integral development of Venezuela. The human activities system foresees five subsystems: universal and inalienable guarantees of fundamental rights and freedoms of citizens; research, prevention, detection and management of cyber incidents; strengthening of economic welfare and social progress based on the development of information technology and communication; democratic, participatory, protagonist and pluralistic society; international cooperation and projection of cyber realm. The proposed system of human activities provides interaction with the environment where it is inserted, so the elements with which it interacts are identified.

Texte complet : http://rdcu.be/IOhw

Modifié par Baba1
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

A prendre avec des pincettes, en attendant d'autres sources (pas trouvé l'analyse détaillée sur le site de Crowdstrike)

https://www.axios.com/china-broke-hacking-pact-before-new-tariff-tiff-d19f5604-f9ce-458a-a50a-2f906c8f12ab.html

Selon le fondateur de Crowdstrike, le nombre de cyber attaques chinoises sur les entreprises privées US (hors défense donc) aurait fortement augmenté en 2018 .
Ce type d'attaque avait été proscrite par un accord avec Obama et avait beaucoup baissé entre 2016 et 2017 (autorisant juste l'espionnage classique sur la défense et le gouvernement)
 

Le 23/03/2018 à 00:10, collectionneur a dit :

Déclenché une guerre économique et changé de conseiller à la sécurité nationale le jour même, est ce une bonne stratégie ? 

http://www.lepoint.fr/monde/le-journal-de-trump/trump-remplace-son-conseiller-a-la-securite-nationale-23-03-2018-2204855_3241.php

John Bolton, ex ambassadeur à l'ONU remplace le général MacMaster.

A priori, toujours avec des pincettes, ces attaques n'auraient pas été directement déclenchées aux sanctions de Trump.

Elles auraient démarré avant l'annonce fracassante de guerre commerciale de Trump à la Chine (précisément sur la protection intellectuelle des entreprises US).

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 1 month later...

Du nouveau sur Vault7

Le gouvernement US prétend avoir trouvé la source probable de la fuite Vault7 (outils de hacking de la CIA, fièrement exhibés par Wikileaks... Et depuis, Trump / Pompéo ne sont plus des fans d'Assange :dry:).
Ce serait un ancien employé de la CIA (division cyber), parti en mauvais terme (et en prison depuis pour ... un serveur de partage tipiak de films et de musique :dry:).

Mais ils ne sont pas arrivés à trouver des preuves suffisantes pour l'inculper formellement.

https://www.washingtonpost.com/world/national-security/us-identifies-suspect-in-major-leak-of-cia-hacking-tools/2018/05/15/5d5ef3f8-5865-11e8-8836-a4a123c359ab_story.html?noredirect=on&utm_term=.215194d75341

Avis personnel:
Je trouve l'acte d'accusation très faible (que ce soit du côté CIA ou piratage audiovisuel):
L'article a peu de détails, mais en gros, même après avoir saisi son téléphone, ses ordinateurs, et ses logs, ils ne peuvent lui reprocher que 2 choses:

  • avoir utilisé Tor sur ses machines
  • avoir mis en place un serveur de partage privé de copie pirate (comme zone téléchargement ?), sur lequel certains utilisateurs ont mis du contenu pédophile.

Bref, des infractions de classe HADOPI ...
Je doute que quelqu'un ait pu effacer toutes ses traces de conspiration/communication avec Wikileaks, vu le niveau des cyberforensics (analyse physique des disque dur pour récupérer les données effacées ou incendiées ...).

Pour le reste des accusations d'ex-employé de la CIA revanchard, l'accusé répond qu'il avait simplement dénoncé des chefs et bureaucratie incompétentes à l'inspection interne et à une commission parlementaire.
Bref, impossible de trancher à notre niveau.

Révélation
Le 07/03/2017 à 20:32, rogue0 a dit :

Petite brève rapide:

Wikileaks a tenté de faire le buzz à propos d'une grande révélation dénommée Vault 7, qui a été dévoilée aujourd'hui.

Qu'est-ce que c'est ?
C'est censé être une grosse archive de milliers de documents et outils de hacking, qui aurait "fuité" des divisions techniques de la CIA (Directorate for Digital Innovation , à prendre avec de grosses pincettes).
Ces outils de hacking sont très variés, et semblent empiéter le domaine de la NSA (TV connectées, GPS, voitures reprogrammées pour espionnage).

Le 10/11/2017 à 17:42, rogue0 a dit :

Attention, Wikileaks se met à livrer des code source complet des outils de la CIA

Avec Vault7, ils s'étaient limité volontairement à dévoiler les documents techniques (toutes les semaines, suffisant pour griller les techniques et outils, pas assez pour aider les créateurs de malware)

Ils ont commencé une autre série de dump Vault8 (hebdomadaire ?), où ils fournissent tout le nécessaire pour recréer les outils (code source des outil + l'environnement de compilation + exemples).
C'est autrement plus dangereux (mais ils annoncent ne pas publier de 0 day ou de trucs "trop" dangereux).

 

 

 

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Les géants internet avaient introduit des box connectées, muni d'assistant à reconnaissance vocal ... qui écoutent en permanence.
Un rêve pour l'espionnage (c'était déjà  Noël avec les smartphones qui ont le potentiel de tout géolocaliser et enregistrer, parfois sans piratage)

Et fatalement, on a un exemple concret de ce qui peut arriver.

Une box (Amazon Alexa ici) a envoyé l'enregistrement d'une conversation privée domestique ... à l'un de ses subordonnés (au travail).
L'excuse technique ?
Il y avait trop de bruit de fond, la box l'a interprété comme "envoi à un contact"...

https://www.recode.net/2018/5/24/17391480/amazon-alexa-woman-secret-recording-echo-explanation

 
  • Confus 1
Lien vers le commentaire
Partager sur d’autres sites

Une brève sur les téléphones de POTUS.

https://www.politico.com/story/2018/05/21/trump-phone-security-risk-hackers-601903

Il avait accepté de se débarrasser de son Galaxy S3 ouvert aux 4 vents, au profit de 2 iPhone* (c'est déjà mieux ... mais piratable pour toute organisation ayant quelques millions de $ de ressource ... comme des SR)...

Par contre, il refuserait de suivre les procédures de sécurité de la Maison Blanche, comme :

  • changer régulièrement de téléphone (burner phone), ou
  • le faire examiner par la sécurité (tous les mois, pour réduire les chances de piratage/rootkit).
  • Ou même désactiver la webcam (idéal pour l'espionnage en douce).

Le dernier contrôle de cybersécurité, c'était il y a 5 mois... (bon, ils ont au moins désactivé la puce GPS).

La raison invoquée par POTUS : la sécurité, c'est pas pratique ("too inconvenient").

C'est compréhensible pour un quidam moyen, et absolument pas pour un chef de gouvernement.

Pour rappel:

  • le téléphone du Chief of Staff (Kelly) avait été piraté pendant plusieurs mois, avant qu'il ne s'aperçoive de quelque chose.
    Depuis (et aussi pour limiter les nombreuses fuites), les smartphones personnels sont interdits, et enfermés dans des coffres / cages de Faraday.
     
  • Et pour rappel, le candidat Trump avait violemment et fréquemment critiqué le serveur mail personnel de Hillary comme un danger mortel pour la sécurité nationale (et donc "lock her up").
    C'est aussi une violation de sécurité, mais fréquente (plein de gens renvoient leurs emails professionnel sur le mail personnel, pour les lire sur leur smartphone...  parce que c'est plus "convenient").

    Faites ce que je dis, pas ce que je fais ... :rolleyes:

(* Les iPhone ont été (légèrement) customisés, mais ça n'a rien à avoir avec le Blackberry d'Obama, où le GPS et la webcam avaient été enlevé, et durcis par la NSA)

  • J'aime (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Repost du fil Services de renseignement

The Intercept et NHK ont publié des révélations sur le discret service SIGINT japonais (Directorate for Signals Intelligence, or DFS).
Ils incluent 3 nouveaux documents Snowden.

En résumé, rien de très croustillant.

https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

http://www6.nhk.or.jp/special/detail/index.html?aid=20180519 (en japonais)

Lien vers le commentaire
Partager sur d’autres sites

Les chercheurs de Cisco Talos alertent sur une nouvelle famille de malware modulaire.
Ils craignent une attaque massive dans les jours à venir.

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

Baptisée VPNFilter, elle aurait déjà infecté 500 000+ équipements réseaux dans 54 pays.
Parmi les cibles déjà connues pour l'instant: des routeurs (Linksys, MikroTik, NETGEAR,TP-Link) ,  et des NAS (QNAP).

Le malware est persistant (la Phase 1 résiste au reboot), sophistiqué et modulaire (des modules de sniffage / espionnage de machines  industrielles SCADA Modbus, et de destruction du matériel ont été repérés), et des réseaux sophistiqués de contrôle (passage des instruction via les tags EXIF de grands sites de photo...).
Il est évidemment capable de coupure ou de filtrage internet à grande échelle.

Révélation

image5.jpg

Ce qui justifie l'alerte?

les chercheurs ont détecté ce mois ci un gros pic d'infection centré sur l'Ukraine, avec un serveur de contrôle dédié.

Ils ont décidé de publier l'alerte maintenant (avant d'avoir fini leur étude), car :

  • Plusieurs grosses cyber attaques sur l'Ukraine ont eu lieu pendant des jours fériés (NotPetya, plusieurs milliards de $ de dégâts dans le monde) :
  • et justement, on s'approche de plusieurs gros événements (gros match de foot Ukraine le 26/05, et la fête d'indépendance dans 1 mois).
  • par ailleurs, ces équipements réseaux sont difficiles à protéger par nature :
    peu ou pas de MAJ possible, peu ou pas d'antivirus/firewall, et ils doivent être accessibles en réseau pour fonctionner.

Les chercheurs de Cisco refusent de spéculer sur l'attribution.

Mais vu la similarité avec les malwares BlackEnergy (sabotage du réseau électrique), la cible (Ukraine), et les attaques précédentes, le suspect n°1 reste toujours le même voisin du nord...

Le FBI a été alerté et a saisi un premier domaine servant au C&C (contrôle) du malware : sauf qu'il est résistant à ça.
Le FBI ne prend pas de gants et accuse directement des hackers pro-russes (APT28/Sofacy / Fancy Bear/Sandworm).
https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

Autres sources & commentaires:

https://www.wired.com/story/vpnfilter-router-malware-outbreak/

https://www.cyberscoop.com/vpnfilter-ukraine-talos-cyber-threat-alliance/

version française vulgarisée (mais pas mauvaise)

https://www.lemonde.fr/pixels/article/2018/05/25/ukraine-un-virus-informatique-virulent-repere-a-la-veille-de-la-finale-de-ligue-des-champions_5304398_4408996.html

 

Modifié par rogue0
  • J'aime (+1) 1
  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Suite de l'affaire Trisis/Triton (malware de sabotage industriel, capable de destruction physique, notamment sur des raffineries, usines et centrales électriques).

Révélation
Le 20/12/2017 à 15:44, rogue0 a dit :

Découverte de Triton, un nouveau malware ciblant expressément des process industriels (ICS) (au Moyen Orient).
C'est le 5ème connu, avec ceux sabotant les réseaux électriques, et Stuxnet.

Il est capable d’interférer avec les systèmes de contrôle de Schneider Electric  (Triconex safety instrumented system (SIS)).
(arrêt ou sabotage destructif)

L'auteur est inconnu ( pas de similarité avec les 4 autres malware connus ciblant les réseaux de contrôle industriels)

https://www.cyberscoop.com/triton-ics-malware-fireeye-dragos/

découvreurs Fireeye et Dragos

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

https://dragos.com/blog/trisis/index.html

 


Selon la firme de sécurité Dragos, des variantes de Trisis auraient été détectées aux USA.

https://www.cyberscoop.com/trisis-industry-vigilance-dhs-ics-cert-dragos/
https://www.cyberscoop.com/xenotime-ics-cyber-attacks-trisis-dragos/

Surnom du groupe créateur de ces malware : Xenotime

Pour rappel, Trisis avait été repéré initialement l'été 2017 en Arabie Saoudite, où il tentait de saboter physiquement une raffinerie de pétrole (via son système de contrôle SIS (safety instrumented system) Triconex, par le français Schneider Electric)
Heureusement, les attaquants auraient commis des erreurs dans les paramètres de l'attaque, et la raffinerie s'est "simplement" arrêtée.

L'analyse aurait révélé un malware sophistiqué, développé avec de gros moyens (ciblant des systèmes de sécurité industriels propriétaires).
Tout comme pour Stuxnet, cela nécessite l'accès à des machines similaires.
La NSA a nié être l'auteur de Trisis (et vu le ciblage de l'Arabie et des USA, c'est peu probable), et suis l'affaire de près.
https://www.cyberscoop.com/trisis-ics-malware-saudi-arabia/

(d'ailleurs, quelqu'un a fait une gaffe, et a uploadé une partie des librairies du malware sur VirusTotal... du coup, ils circulent sous le manteau maintenant :rolleyes:)

La firme Dragos donne peu d'indicateurs techniques sur l'attaque (c'est réservé aux clients payant), mais elle a bonne réputation ...
C'est la 1ère firme de cybersécurité spécialisée dans la protection des infrastructure industrielle.
Et c'est elle qui avait analysé les attaques sur le réseau électrique Ukrainien (CrashOverride)

 

 

 

  • J'aime (+1) 1
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

La chambre des représentants US souhaite intensifier la coopération sur les menaces cyber avec les autres parlements des "Five Eyes".

Le but serait de mieux se protéger contre des cyber-attaques visant les parlements (ou les élections), style Bundestag en 2013, ou les partis US (DNC et républicain, et infrastructures électorales) en 2016

https://www.cyberscoop.com/cyberthreat-information-sharing-congress-parliaments-five-eyes/

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Restaurer la mise en forme

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • Statistiques des membres

    5 967
    Total des membres
    1 749
    Maximum en ligne
    Stevendes
    Membre le plus récent
    Stevendes
    Inscription
  • Statistiques des forums

    21,5k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...