Cyberwarfare

[Boule75 9,262]

Il y a 2 heures, g4lly a dit :

À commencer par l’obligation de laisser les mains sur le volant lorsque l’Autopilot est actionné, sous peine d’alertes intempestives.

Ca, ça pourrait bien avoir un petit rapport avec un accident mortel survenu voici peu en Californie (de mémoire) : un ingé utilisait sa Tesla, fréquemment en mode autopilot, sur ses trajets autoroutiers domicile-travail. Il avait déjà signalé à plusieurs reprise que, dans une certaine zone, il lui était arrivé à plusieurs reprises de rattraper la chignole, qui avait tendance à divaguer d'un coup.

Et un jour sa bagnole l'a - selon toutes apparence - tué : brusque coup de volant à 75mph, percussion de la barrière centrale, couic. L'analyse a posteriori indique que, ce jour là en tout cas, il avait fréquemment les mains ailleurs que sur le volant, qu'il avait pas mal utilisé son tél., etc...

Et en parallèle, on a des récits de vendeurs de Tesla qui tiennent un discours ambigu, genre "La loi nous oblige à vous rappeler que vous devez maintenir votre attention, les mains sur le volant, les pieds sur les pédales, à conduire quoi, MAIS l'autopilot marche, oui, oui, c'est super, vous verrez".

 

Donc il se pourraitbien que Tesla durcisse fortement les alarmes émises par ses bagnoles quand les conducteurs décident de faire un candy crush pour tromper l'ennui. Et cherche à corriger ses bugs, ou lacunes.

----

Sans rapport aucun : bombardement de page Facebook coordonné, 450 nouveaux comptes créés exprès, le tout pour avoir reçu le Président au pied du Mont-Blanc...

A un moment on se demande s'il ne serait pas tout simplement souhaitable que les contributeurs puisse choisir de n'accepter de commentaires que de personnes ayant fournie une identité réelle vérifiée, même si elle reste masquée par un pseudo et si elle n'est en fait connue que d'un tiers de confiance.

Ca aurait aussi le mérite de simplifier certaines  poursuites probablement, et surtout de freiner la débilitude.

[g4lly 15,426]

Un bracelet bruit blanc ... pour brouiller les micros qui vous écoute ...

https://www.lesnumeriques.com/objet-connecte/ce-bracelet-empeche-les-objets-connectes-et-smartphones-de-vous-ecouter-n147237.html

[g4lly 15,426]

http://www.opex360.com/2020/02/26/la-defense-belge-demontre-quutiliser-un-telephone-portable-personnel-peut-mettre-en-echec-une-operation-militaire/

Quote

La Défense belge démontre qu'utiliser un téléphone portable personnel peut mettre en échec une opération militaire

En mai 2018, l’état-major israélien diffusa une vidéo dans laquelle on pouvait voir un Pantsir S-1 mis en oeuvre par la défense aérienne syrienne être détruit par une frappe aérienne.

Or, responsable de l’industriel russe [JSC KBP Instrument Design Bureau] ayant conçu ce système anti-aérien, Valery Slugin a confié à l’agence TASS, en janvier dernier, que le Pantsir S-1 avait pu être repéré à cause d’un téléphone portable.

« L’équipe de combat a quitté la cabine et s’est tenue à proximité, attentant un véhicule de transport avec ce nouvelles munitons. Une personne de cette équipe, comme le montre la vidéo, a couru : elle avait apparemment laissé son téléphone dans la cabine », a-t-il relevé. Et cela aurait donc été suffisant pour permettre au renseignement militaire israélien de repérer le système. Cette explication est-elle vraiment la bonne?

En tout cas, plus récemment, la composante terrestre a organisé un exercice pour justement démontrer le risque que court un soldat ayant gardé son téléphone portable lors d’une opération.

Un an plus tôt, la Défense belge avait essuyé quelques critiques pour justement avoir restreint l’usage du téléphone portable à ses soldats devant être déployés en Estonie dans le cadre de l’opération « enhanced Forward Presence » [eFP] de l’Otan. « Nous savons que la Russie s’intéresse à ce genre de données mobiles. […] Nous investissons depuis quelques années dans la prévention et la sensibilisation, mais cela ne semble plus suffire », avait-elle expliqué à l’époque.

D’où, donc, l’exercice Cyber Winter, organisé le 14 février dernier dans la commuine d’Érezée [province de Luxembourg], avec des capacités déployées par le Service Général du Renseignement et de la Sécurité [SGRS].

Selon le scénario retenu, des équipes du Bataillon de Chasseurs ardennais devait s’infiltrer et récupérer des données sensibles et chiffrées contenues dans la mémoire d’un ordinateur. Puis elles avaient ensuite à s’exfiltrer pour mettre son butin en lieu sûr. Les militaires pouvaient utiliser leur téléphone personnel pour s’orienter et recevoir des instructions… Mais ils ignoraient que des moyens allaient être mis en oeuvre pour les identifier via leur identifiant physique stocké dans la carte réseau de leur appareil connecté.

« Il n’en fallait pas plus pour faire échouer la mission d’exfiltration », raconte la Défense belge, dans le compte-rendu de cet exercice. Toutes les tentatives se sont soldées immanquablement par un échec.

« Par des e-mails, leurs profils sur les réseaux sociaux, l’usage des messageries instantanées ou la puce GPS de leur smartphone, nous avons tenté de pénétrer dans leurs appareils. Et nos efforts furent récompensés », a expliqué le lieutenant réserviste « Pierre », qui a toutefois précisé que le « piratage » de ces appareils personnels s’est « limité au strict nécessaire. »

Et ce dernier d’ajouter : « Autoriser, voire encourager l’usage des smartphones privés pendant cette manœuvre nous a permis de prouver qu’avec peu de moyens techniques déployés, nous étions capables d’un maximum d’effets sur le terrain. Situation guère différente de ce que peut faire un ennemi en opération… »

La force chargée de faire échec à l’exfiltration des équipes du Bataillon de Chasseurs ardennais a par ailleurs pu compter sur un nouveau dispostif, appelé « Cyber Gun. Développé en interne par la Défense belge, il s’agit d’une sorte de radar qui signale « la direction précise de la signature électronique d’un smartphone identifié. » Aussi, est-il avancé dans le compte-rendu de l’exercice Cyber Winter, « dans ces conditions, avoir le téléphone dans sa poche suffit pour être capturé. »

 

[Rob1 3,681]

Petit follow-on sur l'affaire CIA-NSA-Crypto AG : https://www.washingtonpost.com/national-security/as-the-us-spied-on-the-world-the-cia-and-nsa-bickered/2020/03/06/630a4e72-5365-11ea-b119-4faabac6674f_story.html

[rogue0 4,921]

 

Il y a 1 heure, Rob1 a dit :

Petit follow-on sur l'affaire CIA-NSA-Crypto AG : https://www.washingtonpost.com/national-security/as-the-us-spied-on-the-world-the-cia-and-nsa-bickered/2020/03/06/630a4e72-5365-11ea-b119-4faabac6674f_story.html

Merci, ça confirme ce que je soupçonnais: @kalligator

Le 17/02/2020 à 16:56, rogue0 a dit :

Sinon, pour répondre à une question, la France était probablement au courant du pot aux roses.
C'est après avoir rejeté une offre de rachat Française sur Crypto AG que la CIA et le BND ont fait leur rachat.

Extrait du dernier article:

Citation

At that point, U.S. spy agencies were forced to act to outmaneuver a rival bid for Hagelin’s company involving the French intelligence service.

Donc, non, les ricains n'ont probablement pas écouté grand chose d'important en France via Crypto AG
(puisque les SR français étaient au courant du secret, ils ont dû déconseiller son usage à tout utilisateur critique).

Bien sûr, il y a 1001 façons alternatives d'aspirer l'information (Echelon, Windows, Blackberry, blonde russe fatale, traductrice asiatique aguicheuse, etc )

Edited March 6, 2020 by rogue0

[Rob1 3,681]

Pas eu le temps de lire au-delà du fil tweeter :

 

 

[g4lly 15,426]

Sous traiter ...

http://www.opex360.com/2020/03/18/des-donnees-classifiees-sur-un-blinde-allemand-trouvees-dans-un-ordinateur-vendu-sur-le-marche-de-loccasion/

Quote

Des données classifiées sur un blindé allemand trouvées dans un ordinateur vendu sur le marché de l’occasion

Mis en service à partir de 2001 au sein des forces allemandes, le Wiesel 2 « Ozelot » [ou Leichte Flugabwehr System – LeFlaSys] est un véhicule de 4,1 tonnes qui, conçu par Rheinmetall, est doté d’un radar et de missiles aériens de courte portée [Stinger ou MISTRAL] afin de protéger les centres de commandement et les troupes sur le terrain. Le site de la Bundeswehr en donne d’ailleurs les caractéristiques techniques générales via une fiche publiée sur son site Internet.

Mais, évidemment, tous les détails relatifs à ce véhicule n’ont pas vocation à être connus du grand public. Ni des forces potentiellement adverses. Aussi sont-ils « classés ».

En Allemagne, il existe quatre degré de classification des informations sensibles. Celles concernant le Wiezel 2 « Ozelot » relève de la catégorie « VS-Nur für den Dienstgebrauch » [VS-Uniquement pour une utilisation de service].

S’il s’agit du dernier niveau de confidentialité, il n’en reste pas moins que la connaissance des données qui en relèvent par des « personnes non autorisées peut être préjudiciable aux intérêts » de l’Allemagne.

Pourtant, de telles informations ont pu être consultées par des analystes de l’entreprise de sécurité informatique G-Data, pour la somme [modeste au regard de leur nature] de 100 euros. Pour y accéder, ils ont eu peu de chance. En effet, il leur a suffi de dépenser 90 euros pour se procurer un ordinateur portable à l’allure robuste via le site d’enchères eBay.

Évidemment, l’apparence de cet ordinateur suggérait qu’il avait servi à autre chose qu’à regarder des vidéos de chats sur les réseaux sociaux… Ce qui n’a pu que susciter l’intérêt des experts de G-Data. Et ces derniers ont vu leur intuition « récompensée » puisque la mémoire de cette machine contenait tout ce qu’il y a à savoir sur l’Ozelot. Et donc, des informations classées « VS-Nur für den Dienstgebrauch ».

« Le PC portable que nous avons acquis contient des données techniques détaillées sur le système LeFlaSys, y compris des instructions pas à pas pour le fonctionnement et la maintenance, des informations sur la façon d’utiliser le système d’acquisition des cibles. […] Et, bien sûr, des instructions sur la façon de détruire tout le système pour empêcher son utilisation par des forces ennemies », a raconté Tim Berghoff, expert chez G-Data, à Deutsche Welle, la radio publique allemande.

« Il a été facile d’accéder aux informations. L’accès à Windows ne nécessitait aucun mot de passe. La connexion au programme qui contenait la documentation du système d’armes était protégée par un mot de passe très facile à deviner », a expliqué M. Berghoff.

L’ordinateur en question a été vendu par une entreprise de recyclage implantée à Bingen. Et, le ministère allemand de la Défense s’est dégagé de toute responsabilité, accusant cette dernière ne pas avoir correctement son travail.

« Les anciens ordinateurs utilisés pour le LeFlaSys ont tous été mis hors service et envoyés au recyclage avec l’ordre d’effacer ou de rendre inutilisables les supports de stockage existants », a expliqué un porte-parole à l’hebdomadaire Der Spiegel. « On peut supposer qu’une erreur s’est produite lors du recyclage de l’ordinateur en question », a-t-il a ajouté, avant de minimiser l’importance des informations récupérées par G-Data. « Elles ne donnent pas à des ennemis potentiels des éléments critiques », a-t-il dit.

Le souci est que ce n’est pas la première fois que des informations de ce type se retrouvent dans a nature. En 2019, un garde-forestier avait trouvé des données classifiées relatives au système d’artillerie M270 MARS dans quatre ordinateurs portables acquis lors d’une vente aux enchères organisées par… le gouvernement allemand.

 

[Boule75 9,262]

il y a 10 minutes, g4lly a dit :

Sous traiter ...

Tu noteras dans le même article que ça ne se passe pas véritablement mieux quand ils ne sous-traitent pas

[Boule75 9,262]

Zoom : attention les enfants...

Citation

L’application de visioconférence Zoom, utilisée par de nombreuses entreprises pour les réunions en télétravail, transmet de nombreuses données vers la Chine. Si le CEO affirme qu’il s’agit d’un accident, de nombreux experts se méfient au même titre que les gouvernements…

Décidément, l’application de visioconférence Zoom vit difficilement son succès soudain lié au confinement et au télétravail. Après avoir été accusée de transmettre secrètement les données des utilisateurs à Facebook, l’appli admet à présent avoir redirigé  » par accident  » les données de ses utilisateurs vers la Chine…

Et les clés de chiffrement, et la fête du slip...

[Phacochère 1,855]

Opex360 /Berlin va demander des sanctions européennes contre la Russie pour une cyberattaque contre le Bundestag

http://www.opex360.com/2020/05/28/berlin-va-demander-des-sanctions-europeennes-contre-la-russie-pour-la-cyberattaque-contre-le-bundestag/

Le communiqué allemand:

https://www.auswaertiges-amt.de/de/newsroom/hackerangriff-bundestag/2345542

                           -  -  -

On sait ce qui était visé par les russes? 

[rogue0 4,921]

Le 08/07/2020 à 00:42, Benoitleg a dit :

EncroChat : comprendre le hack des smartphones de criminels par les gendarmes français en 5 questions

François Manens - 03 juillet 2020

"En France, les enquêteurs ont ouvert plusieurs procédures d’enquête et arrêté une centaine de suspects. En Angleterre, ce sont plus de 700 suspects qui ont été interpellés. En Hollande, en Norvège, en Espace ou encore en Allemagne, les services de police ont pu saisir des tonnes de drogues (cocaïne, meth, cannabis), des centaines d’armes à feu, des voitures, et plusieurs dizaines de millions d’euros en cash.  ........

....Les enquêtes sont loin d’être finies

Les données obtenues par le hack n’ont pas toutes été analysées, et pourraient mener à d’autres arrestations de cybercriminels. L’enquête a mis en avant un autre problème, celui de la corruption de certains services de police, qui devrait déclencher des investigations en interne dans les pays concernés." 

https://cyberguerre.numerama.com/6004-encrochat-comprendre-le-hack-des-smartphones-de-criminels-par-les-gendarmes-francais-en-5-questions.html

Je reposte ici, c'est un sujet plus approprié

[rogue0 4,921]

Au milieu de toutes les criailleries et l'épidémie, j'avais raté ça : la publication d'un rapport interne de la CIA sans pitié sur la fuite Vault7 et les manquements à la sécurité -> rappel des faits ici : 

Wyden, un sénateur US* en a publié des extraits (et d'autres incidents remettant en cause la cybersécurité des systèmes fédéraux) :
même caviardés, le verdict est sans surprise : la politique de sécurité IT au CCI* est aussi mauvaise que partout ailleurs... voire pire que pas mal de facs que j'ai vu.

(* CCI : la branche élite de la CIA chargée de la création d'outils d'attaque, d'où provient la fuite.
Ladite branche avait ses propres serveurs, qui ne respectaient pas la politique sécurité IT globale de la CIA)

EDIT: quelqu'un aurait accès à l'intégralité de l'article d'origine du WaPo?
https://www.washingtonpost.com/national-security/elite-cia-unit-that-developed-hacking-tools-failed-to-secure-its-own-systems-allowing-massive-leak-an-internal-report-found/2020/06/15/502e3456-ae9d-11ea-8f56-63f38c990077_story.html

 

résumé en français:
https://cyberguerre.numerama.com/5664-vault-7-la-cia-reconnait-que-la-fuite-de-son-arsenal-de-cyberguerre-etait-due-a-une-securite-terriblement-laxiste.html

la lettre du sénateur
https://www.wyden.senate.gov/imo/media/doc/wyden-cybersecurity-lapses-letter-to-dni.pdf

autres articles

https://www.nytimes.com/2020/06/16/us/politics/cia-vault-7-hacking-breach.html
https://www.cyberscoop.com/cia-vault7-wikieaks-schulte-trial/

https://t.co/wC7k6kbkwC?amp=1

Florilège
(Rappel : ceci est la situation 7 ans après les fuites Manning, 3 ans après les fuites Snowden, 1 an après les Shadow Brokers):

• aucune compartimentation des réseaux / outils d'attaque / utilisateurs :
• les mots de passe administrateur s'échangent librement
• pas de contrôle réel de l'usage des clés USB/ DVD
• et surtout aucun audit de l'accès aux fichiers ... donc la fuite n'a jamais été détectée, et son ampleur ne sera jamais connue avec certitude : entre 180Go et 34 To d'outil d'attaque...
• ( Accessoirement, aucun plan pour limiter l'impact d'une fuite des outils d'attaque )

(* accessoirement, le sénateur est démocrate, mais c'est totalement secondaire face à l'ampleur des manquements à la la sécurité IT ...)
 

morceaux choisis par Thomas Rid, spécialiste en infoguerre

 

 

Edited July 15, 2020 by rogue0

[Rob1 3,681]

Il y a 17 heures, rogue0 a dit :

EDIT: quelqu'un aurait accès à l'intégralité de l'article d'origine du WaPo?
https://www.washingtonpost.com/national-security/elite-cia-unit-that-developed-hacking-tools-failed-to-secure-its-own-systems-allowing-massive-leak-an-internal-report-found/2020/06/15/502e3456-ae9d-11ea-8f56-63f38c990077_story.html

Tu supprimes les cookies du site du WaPo de ton navigateur et c'est reparti pour 5 articles gratuits, non ?

[rogue0 4,921]

repost du fil SR

L'équipe des scoops SR de yahoo revient à la charge: 
Cette fois, ils annoncent la levée des restrictions aux opérations cyber de la CIA.

https://news.yahoo.com/secret-trump-order-gives-cia-more-powers-to-launch-cyberattacks-090015219.html

Selon l'article:
Auparavant, toute opération cyber offensive de la CIA nécessitait des tas de réunions de coordination, et devait être approuvée directement par le NSC/la Maison Blanche.
Résultat, ça prenait des années à être lancé (les rares fois où c'était approuvé).
La CIA rongeait son frein depuis des années (surtout 2016 quand ils cherchaient des représailles aux ingérences russes)

L'article avance que sous l'administration Trump, en 2018, la CIA aurait désormais l'autorisation de lancer les ops cyber de sa propre initiative, sans consulter ou prévenir le reste du gouvernement.
Ce qui rend les opérations beaucoup plus réactives (et fréquentes).

Le panel des opérations autorisées aurait aussi été élargi : du sabotage, du piratage de banque, et des piratages pour fuites ciblées (en gros, ils auraient maintenant le droit de faire des piratages du type GRU -> DNC -> Wikileaks)
De même, ils peuvent désormais viser comme cible légitime des ONG/média soupçonnée d'être contrôlée par un état cible  ( sans des montagnes de preuve)

Citation

For example, the CIA has dumped information online about an ostensibly independent Russian company that was “doing work for Russian intelligence services,” said a former official. While the former official declined to be more specific, BBC Russia reported in July 2019 that hackers had breached the network of SyTech, a company that does work for the FSB, Russia’s domestic spy agency, and stolen about 7.5 terabytes of data; the data from that hack was passed to media organizations.

In another stunning hack-and-dump operation, an unknown group in March 2019 posted on the internet chat platform Telegram the names, addresses, phone numbers and photos of Iranian intelligence officers allegedly involved in hacking operations, as well as hacking tools used by Iranian intelligence operatives. That November, the details of 15 million debit cards for customers of three Iranian banks linked to Iran’s Islamic Revolutionary Guard Corps were also dumped on Telegram.

Le déclencheur de ce "permis de tuer" ?
Principalement, l'Iran.

En gros, l'administration US, la CIA, et John Bolton auraient poussé la déstabilisation de l'Iran pour faire dérailler le programme nucléaire (de facto, tenter le "regime change").
Et pour l'occasion, auraient levé tout contrôle sur les ops cyber de la CIA

 

Citation

Neither these two Iran-related findings, nor the new cyber finding, mention regime change as a stated goal, according to former officials. Over time, however, the CIA and other national security officials have interpreted the first two Iran findings increasingly broadly, with covert activities evolving from their narrow focus on stopping Tehran’s nuclear program, they said. The Iran findings have been subject to “classic mission creep,” said one former official. 

Fatigue from having to continually beat back Iran’s nuclear progress gradually led U.S. officials to take an even more aggressive approach that began to resemble a regime change strategy, according to former officials. The thinking became “If we can impact the regime, then no bomb,” said another former official. “We’re playing semantics — destabilization is functionally the same thing as regime change. It’s a deniability issue,” the former official said.

Avis personnel:

C'est un article assez explosif.
Mais c'est cohérent avec ce qui a été fait pour les militaires US : la Maison Blanche a décentralisé de nombreuses décisions militaires, confiées directement aux officiers sur le terrain (genre le lâché de MOAB sur l'afghanistan).

Sortir les ops cyber de la supervision du NSC, c'est déjà gros.
Par contre, l'article ne dit rien sur les autres ops clandestines de la CIA (en dehors du cyber)
Et si elles sortent aussi de la supervision du NSC, les dérives du type affaire Iran/Contra sont inévitables à moyen terme...

[rogue0 4,921]

Le 16/07/2020 à 18:18, Rob1 a dit :

Tu supprimes les cookies du site du WaPo de ton navigateur et c'est reparti pour 5 articles gratuits, non ?

j'avais oublié cette solution...

mais ça ne marche plus sur certains sites : j'ai l'impression qu'ils loggent les IP...

[collectionneur 3,581]

Côté (in)sécurité informatique, les hackers iraniens se sont fait piqué 5 h de vidéos montrant leurs opérations et destinés a la formation de futurs pirates par une équipe d'IBM :

https://www.capital.fr/lifestyle/lincroyable-bourde-de-hackers-iraniens-1375739

[Rob1 3,681]

Le 20/07/2020 à 02:41, rogue0 a dit :

j'avais oublié cette solution...

mais ça ne marche plus sur certains sites : j'ai l'impression qu'ils loggent les IP...

Je n'ai pas encore vu cela.

Actuellement, celui qui m'ennuie c'est le NYTimes parce qu'il empêche de voir les articles en navigation privée et que j'ai la flemme de re-supprimer les cookies à chaque fois, mais ça a toujours l'air de marcher.

[g4lly 15,426]

souvent il suffit de bêtement désactiver le JavaScript ...

... si l'article s'affiche mal tu passe en mode lecture.

[fraisedesbois 378]

Le 28/05/2020 à 16:53, Phacochère a dit :

On sait ce qui était visé par les russes? 

Le siège de l’Organisation pour l’interdiction des armes chimiques [OIAC] à la Haye.

Une "première":

http://www.opex360.com/2020/07/31/lunion-europeenne-prend-des-sanctions-contre-des-pirates-informatiques-russes-chinois-et-nord-coreens/

[Boule75 9,262]

Il y a 11 heures, fraisedesbois a dit :

Le siège de l’Organisation pour l’interdiction des armes chimiques [OIAC] à la Haye.

Une "première":

http://www.opex360.com/2020/07/31/lunion-europeenne-prend-des-sanctions-contre-des-pirates-informatiques-russes-chinois-et-nord-coreens/

Le lien direct vers le texte officiel, avec les noms des gens et un résumé de motivation : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32020D1127

Le 16/07/2020 à 18:18, Rob1 a dit :

Tu supprimes les cookies du site du WaPo de ton navigateur et c'est reparti pour 5 articles gratuits, non ?

C'est descendu à 2, et encore, c'est bizarre.Sur le NyTimes : plus de lecture privée, et il faut se loger pour voir 2 articles par semaine ou quelque chose d'approchant. L'audio-visuel public des différents pays va retrouver une part de marché significative...

[rogue0 4,921]

Le 28/05/2019 à 19:30, rogue0 a dit :

Les attaques de rançonlogiciel (tout type confondu) arrivent très fréquemment :

Selon un rapport, il y en aurait eu 182 millions d'infection en 2018. ( https://en.wikipedia.org/wiki/Ransomware#cite_ref-8)

Révélation

Je dis bien de tout type, y compris les virus qui exigent une rançon, sous peine de révéler au FBI/famille les P0rnz visionnés par l'utilisateur .
A l'autre bout du spectre, il y a eu les méga attaques de 2017:

• Wannacry (200 000 machines infectées, les hopitaux anglais KO),
• et surtout NotPetya (10G$ de dégâts, visant spécifiquement l'Ukraine et toute entreprise faisant affaire avec elle (Maersk, St Gobain, etc))

On en parlait sur ce fil plus haut (mai-juin 2017).

Dans le cas de Baltimore, je ne pense pas que les attaquants les visaient spécifiquement.
La sécurité (informatique ou contre espionnage) étant universellement négligée, les attaquants peuvent spammer en masse le virus/trojan sans viser de cible particulière : ça rapportera plus ainsi.

Quelques brèves sur l'actualité et l'économie des ransomware (qui est devenu un business hyper rentable, encore plus avec le télétravail confiné):

• Ce que j'écrivais l'année dernière n'est plus valable (ou je m'étais trompé). poke @Tancrède
  Les meilleurs créateurs de ransomware jouent le rôle de l'éditeur de logiciel (Ransomware as a service) et louent leur "pack" à des petites mains qui vont faire le sale boulot (chercher les victimes, négocier les rançons, et récupérer l'argent ... et parfois se faire arrêter).
  Avec ce business model, les "meilleurs" groupes se vantent de siphonner un total de rançons de l'ordre du milliard de $ ( et certains ont annoncé leur départ à la retraite...)
  
  Nouvelle tendance : pour les sociétés qui refusent de payer la rançon (la recommandation des autorités), menacer de publier les données confidentielles récupérées lors du piratage (fiche de paye, dossier client, email).
  Exemple Netwalker
  https://www.zdnet.fr/actualites/gros-tracas-zero-blabla-reprise-d-activite-progressive-pour-mma-39907301.htm
  
  En face, ça s'organise aussi du côté de la défense antipirate: traçage des rançons, outils de décryptage gratuits (quand c'est possible)
  https://www.zdnet.fr/actualites/ransomware-cet-outil-a-deja-permis-aux-victimes-d-attaque-d-economiser-650-millions-d-euros-39907279.htm
   
• Quelques victimes récentes:
  • la mutuelle MMA frappée depuis le 17 juillet (aurait refusé de payer la rançon, 2 semaines d'arrêt total du groupe et des agences)
    https://siecledigital.fr/2020/07/22/lassureur-mma-vise-par-une-cyberattaque-dampleur/
     
  • Garmin (GPS perso et pro (avions...) montres connectées) frappé le 23/07/2020 par WastedLocker (créé par EvilCorp)
    Eux ont préféré payer la rançon (~5-10 M$) pour redémarrer plus vite.
    Mais ces andouilles font confiance dans la probité des pirates : ils utilisent le décrypteur des pirates (qui peut contenir d'autres malware...) , plutôt que de restaurer des sauvegardes propres.
    
    https://www.lesnumeriques.com/montre-connectee/garmin-a-paye-une-rancon-pour-redemarrer-ses-services-en-ligne-n153077.html
    https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/
    https://www.computerweekly.com/news/252485331/Evil-Corps-latest-ransomware-project-spreading-fast
     
  • Carlton Wagon Lit (CWT), spécialiste en voyage d'affaire (avec le 1/3 des grosses boîtes US en client) a été frappé le 27 juillet (en pleine crise du covid).
    Malgré leurs dénégations, les journalistes ont retrouvé la salle de chat de négociation avec les pirates (et traqué la rançon, réduite de 10M$ à  4.5M$ après ristourne, payée en bitcoin, ).
    Les échanges sont très courtois, très "pro"... la preuve que c'est devenu un business. (les pirates offrant même des conseils en cybersécurité...)
    https://www.zdnet.fr/actualites/ransomware-officiellement-personne-ne-paie-39907653.htm
    https://www.lemondeinformatique.fr/actualites/lire-ransomware-carlson-wagonlit-travel-paye-pour-debloquer-la-situation-79909.html
     
  • Détail amusant: EvilCorp (groupe d'europe de l'est) a tellement fait de dégâts qu'ils sont placés sur la liste des entités sous sanctions US.
    Donc le paiement de rançon viole les sanctions US... et expose Garmin à des amendes.
    
    Sauf à passer par des intermédiaires spécialisés dans la négociation avec les pirates, comme Coveware. (c'est un business louche où il y a sans doute des abus et collusions...)
    https://features.propublica.org/ransomware/ransomware-attack-data-recovery-firms-paying-hackers/

[rogue0 4,921]

Addendum, c'est le tour de Canon USA de se faire pirater, par le groupe Maze.

https://www.lesnumeriques.com/photo/canon-victime-d-un-ransomware-les-pirates-mettent-la-main-sur-10-to-de-donnees-n153175.html

https://www.bleepingcomputer.com/news/security/canon-confirms-ransomware-attack-in-internal-memo/

Cette fois, l'incident affecte aussi les données client. (10 To dérobés, avec menace de les publier)
Ce groupe-là de pirate pratique la chasse aux gros, et s'attaque plutôt aux grosses entreprises, soigneusement sélectionnées.

Edited August 6, 2020 by rogue0

[rogue0 4,921]

La NSA et le FBI font du grillage éthique d'un outil de piratage du célèbre groupe APT28/Fancy Bear/Strontium ( alias  l'unité du GRU Russian General Staff Main Intelligence
Directorate (GRU) 85th Main Special Service Center (GTsSS) ).

https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF (45 pages)

https://www.nsa.gov/news-features/press-room/Article/2311407/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecu/

Dans le cadre d'une alerte de sécurité IT, ils dévoilent carrément l'équivalent du guide utilisateur du malware (qui cible les machines sous Linux), avec les contre-mesures et signatures de détection (avec la rétroingénierie en 45 pages). Poke aux sysadmin du coin (et @mehari et @Nemo123 et @Boule75).

Détail croustillant : ils prétendent connaître le nom de code interne du GRU du malware Drovorub (un peu de psyop).
Pour moi, c'est une petite réplique aux Shadow brokers (éthique puisque c'est présenté sous l'axe de la sécurité informatique)

EDIT: les spécialistes en infoguerre approuvent ... mais chipotent corrigent une mauvaise traduction en russe

 

 

Edited August 15, 2020 by rogue0

[mehari 2,687]

5 minutes ago, rogue0 said:

Dans le cadre d'une alerte de sécurité IT, ils dévoilent carrément l'équivalent du guide utilisateur du malware (qui cible les machines sous Linux), avec les contre-mesures et signatures de détection (avec la rétroingénierie en 45 pages). Poke aux sysadmin du coin

Suis pas sysadmin, juste un utilisateur lambda.

Ceci dit, connaissant les devs Linux, la vulnérabilité sera patchée assez vite.

$ sudo apt update && sudo apt upgrade

Ou peut importe ce que vous utilisez...

Edited August 15, 2020 by mehari

[Rob1 3,681]

Retour sur Stuxnet :

Je ne sais pas ce que ça vaut. Le gars dit être un des premiers experts à avoir étudié le bouzin.