Jump to content
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991
 Share

Recommended Posts

Dans le rapport détaillé, il est remarqué que la France maintient une séparation assez stricte entre les capacités offensives et défensives (ANSSI / DGSE). Il est aussi noté que la DGSE consacrait (consacre ?) une part considérable de ses ressources à l'espionnage industriel et au renseignement économique (25% d'après Claude Silberzahn, directeur de la DGSE entre 89 et 93).
Autre point intéressant, la France est plutôt compétente en matière de cybersécurité à l'échelle européenne et mondiale. Les entreprises françaises sont celles qui ont les budgets alloués à la cybersécurité les plus élevés en Europe par exemple.

  • Upvote 1
Link to comment
Share on other sites

Cet article n'est pas tout à fait exact.
S'il y a bien une segmentation entre blue team (défenseurs) et red team (attaquants), la redteam est divisée à travers la DRM (assez opérationnelle militaire, veille stratégique), la DGSE (espionnage politique, économique, plus "high level") et la LIO (MinArm purement opérationnelle informatique). Et il y a probablement d'autres composantes dont je n'ai pas entendu parler, je sais par exemple que la DGSI en fait un peu de son côté, mais je ne sais pas avec quelle doctrine.

Et l'ANSSI n'est pas absolument purement blue team, hein, quoi qu'on en dise.

Tout ce petit monde devrait atteindre 4000 pax d'ici 2025. Tout le monde ne sera pas forcément opérationnel (2 à 3 ans selon les postes en moyenne pour les non seniors) en 2025, mais force est de constater qu'on se donne les moyens financiers, parce que ça coûte cher ces gens là. Après, niveau approvisionnement humain, je ne sais pas où ils vont aller chercher tous les nouveaux, que les ESN (ancien nom des SSII) de cyber vont davantage séduire sur des critères où le secteur public ne peut pas rivaliser (salaire, segmentation des équipes par spécialité, perspective d'évolution basée sur autre chose que l'âge / l'ancienneté, ...).

 

 

  • Like 1
  • Thanks 2
  • Upvote 1
Link to comment
Share on other sites

Le 30/06/2021 à 10:24, ywaDceBw4zY3tq a dit :

25% d'après Claude Silberzahn, directeur de la DGSE entre 89 et 93

Je sais que ce n'est pas le sujet du fil, mais à propos de ce chiffre, plusieurs fois repris sur internet, je n'ai jamais réussi à trouver dans quel livre/article/interview Silberzahn l'aurait donné.

  • Upvote 2
Link to comment
Share on other sites

Posted (edited)

Disons que le secret qui entoure les activité de la DGSE ne facilite pas le sourçage. Après, ses ressources, c'est quoi ? La tune ou le nombre de pax ?

Autre input si ça peut aider, je sais que début des années 2010, je ne sais plus quel cadre de la DGSE s'était plaint qu'on n'en faisait pas assez, que l'activité n'était pas développée et qu'il fallait mettre plein de moyens dessus. Bluff ou pas, sans chiffre, difficilement exploitable, mais voici toujours.

 

La LIO est bien la "Lutte Informatique Offensive", encadré par le MinArm, de ce que j'en ai compris. C'est un centre de pilotage des différentes équipes ayant un potentiel offensif cyber, pour coordonner les intrusions, les déposes de Remote Access Trojan (cheval de Troie), organiser la récupération des informations confidentielles et tout faire péter si nécessaire le moment venu. Typiquement, coordonner la rupture de service d'un opérateur Télécom, rendre une ou des stations de production ou distribution d'électricité inopérante, couper des pipelines ou empêcher les stations services de distribuer du carburant. Et puis il y a des choses moins contraignantes comme simplement rendre indisponible un site web gouvernemental, couper le téléphone à un service public, ...

Edited by Nemo123
  • Thanks 1
Link to comment
Share on other sites

J'ai hésité à le mettre dans le fil humour mais ça marche vraiment :

« conseil SecOps : si vous ne voulez pas être hameçonné par des hackers chinois sur LinkedIn, ajoutez "place Tienanmen" à vos centres d'intérêt, et votre profil devient automatiquement invisible en Chine après quelques jours. »

 

  • Thanks 1
  • Haha 3
Link to comment
Share on other sites

Le 04/07/2021 à 12:29, Rob1 a dit :

J'ai hésité à le mettre dans le fil humour mais ça marche vraiment :

« conseil SecOps : si vous ne voulez pas être hameçonné par des hackers chinois sur LinkedIn, ajoutez "place Tienanmen" à vos centres d'intérêt, et votre profil devient automatiquement invisible en Chine après quelques jours. »

Ça m'étonnerait beaucoup que ça fonctionne, car ça sous-entendrait que les chinois font leur OSINT derrière le "grand firewall" sans utiliser les Google Dorks, ce qui est improbable à 100%. Aujourd'hui, tous les expats en Chine utilisent largement des VPN avec points de sortie hors Chine pour bypasser ce "grand firewall". Ça ne garanti nullement l’anonymat, mais au moins, tu as accès à ce que tu veux. Et par définition, l'OSINT étant non intrusif, l'anonymat est inutile.

Link to comment
Share on other sites

Posted (edited)

La National Security Agency (NSA) avertit que des pirates informatiques affiliés à la Russie mènent des attaques par force brute pour accéder aux réseaux américains et voler des e-mails et des fichiers. Dans un nouvel avis publié jeudi dernier, la NSA déclare que le 85e centre principal de services spéciaux (GTsSS) du GRU russe (renseignement militaire), l'unité militaire 26165, utilise un cluster Kubernetes depuis 2019 pour effectuer des attaques par spray de mot de passe contre des organisations américaines et européennes, y compris le gouvernement et les agences du ministère de la Défense US.

"La cyberactivité malveillante GTsSS a déjà été attribuée par le secteur privé en utilisant les noms Fancy Bear, APT28, Strontium et divers autres identifiants"

"Le 85e GTsSS a dirigé une grande partie de cette activité vers les organisations utilisant les services cloud de Microsoft Office 365 ; cependant, ils ont également ciblé d'autres fournisseurs de services et serveurs de messagerie sur site utilisant une variété de protocoles différents. Ces efforts sont presque certainement toujours en cours."

Quand les acteurs de la menace accèdent aux informations d'identification, ils exfiltrent les boîtes mails Office 365. La finalité de cette attaque est donc du renseignement.

Pour masquer l'origine de leurs attaques, un cluster Kubernetes effectue des attaques par force brute derrière des services TOR et VPN, notamment CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark et WorldVPN. La NSA affirme qu'entre novembre 2020 et mars 2021, les pirates ont mené des attaques par force brute sans utiliser de service d'anonymisation (comme pré-cité, reste à savoir si cette démarche est volontaire ou non), exposant leurs adresses IP, et confirmant qu'elles étaient celles utilisées par le cluster Kubernetes du GTsSS russe (ou alors il s'agit d'une attaque sous faux drapeau assez exceptionnelle).

Ces attaques se concentrent sur les États-Unis et l'Europe. Les types d'entités ciblées par les attaques sont :

  • Organisations gouvernementales et militaires
  • Consultants politiques et organisations de partis
  • Entrepreneurs de la défense
  • Entreprises énergétiques
  • Entreprises de logistique
  • Groupes de réflexion
  • Établissements d'enseignement supérieur
  • Cabinets d'avocats
  • Entreprises médiatiques

 

************************************************************

Autre sujet sans lien avec ci-dessus.

Autre victime du hack de Solarwinds (voir quelques pages avant pour le détail) : le renseignement russe a pu tranquillement squatter le réseau de la Banque Centrale du Danemark pendant 7 mois (en admettant que le SI ait pu être nettoyé, ce qui ne peut pas être vérifié).

Cette nouvelle victime a été révélée la semaine dernière, et n'avait pas été initialement documentée.

Entre vendre leur réseau aux américains et aux russes (ou disons plutôt, se faire trouer), va falloir qu'ils choisissent les danois :bloblaugh:

Edited by Nemo123
  • Thanks 2
Link to comment
Share on other sites

  • 2 weeks later...
Quote

Projet Pegasus : malgré la brèche de sécurité, Apple se veut rassurant

La révélation du projet Pegasus ébranle la sécurité des iPhone réputés pour leur quasi-inviolabilité. Toutefois, Apple se veut rassurant, arguant que face à Android, ses smartphones restaient beaucoup plus sûrs.

Comme vous le savez certainement, le consortium créé par Forbidden Stories et regroupant 17 médias a révélé en début de semaine que de nombreuses personnalités de premier plan ont été espionnées via leur smartphone au moyen d'un logiciel créé par le logiciel Pegasus de la société israélienne NSO Group. Un outil invisible, indécelable et qui ne fait pas les affaires d'Apple, puisque sur les 37 mobiles qui se sont révélés infectés, 34 d'entre eux étaient des iPhone. De quoi mettre à mal l'argument martelé par la firme à la pomme depuis des années : à savoir que ses appareils sont les plus sécurisés possible.

Une annonce qui a eu l'effet d'une bombe, d'autant plus que les infections par Pegasus ne sont pas forcément sur d'anciens modèles d'iPhone ou de vieilles versions d'iOS. Comme le rapporte le Washington Post, il a été avéré qu'au moins un des modèles infectés était un iPhone 12 avec la version du logiciel d'Apple la plus récente.

Après de telles déclarations, la réponse d'Apple ne s'est pas fait attendre. Ce n'est pas Tim Cook qui a tenu à éteindre l'incendie, mais Ivan Krstić, ingénieur à la tête du département sécurité de l'entreprise californienne. Tout en condamnant l'usage du logiciel, Ivan Krstić tient tout de même à rassurer qui veut l'entendre : "les chercheurs en sécurité sont d'accord pour dire que l'iPhone est le smartphone le plus sûr et le plus sécurisé sur le marché". Il ajoutera plus tard que ce type d'attaque ne peut en aucun cas remettre en cause la fiabilité des smartphones à la Pomme puisque "elles sont hautement sophistiquées, coûtent des millions de dollars à développer, n'ont souvent qu'une courte durée de vie et sont utilisées pour des cibles spécifiques".

Si après ces déclarations vous n'êtes pas tranquillisé, l'ingénieur conclut son laïus en indiquant qu'Apple est constamment en train d'ajouter des protections, aussi bien pour ses produits que pour vos données personnelles. Bien que tout ceci ne soit pas difficile à croire, il faut garder à l'esprit que Pegasus a réussi à infiltrer des modèles récents sur tous les points.

Comme l'indique le site Futura Sciences, les hackers se sont servis de la vulnérabilité Kismet qui permet d'infiltrer un iPhone avec un simple iMessage. L'utilisateur n'a rien à faire pour l'activer puisqu'une fois le message reçu, le smartphone est vérolé. Ce qui s'appelle une faille "zero-click". Ce type de fissure logicielle a déjà sévi chez Apple l'année passée et le correctif n'est apparu qu'avec iOS 14.

À titre d'exemple, France Culture révèle que l'iPhone de Claude Mangin, épouse d'un activiste emprisonné au Maroc, a reçu un iMessage le 11 juin dernier sans que ce dernier se soit manifesté d'une quelconque façon. Pas de notification, pas de bruit, rien. Le smartphone s'est retrouvé infecté sans que sa propriétaire s'en soit doutée.

On pensait alors en être débarrassé, mais il faut croire que l'entreprise NSO Group — créatrice du logiciel espion — a su s'adapter aux multiples corrections d'Apple. Selon le rapport d'enquête réalisé par Amnesty International, la faille Kismet fonctionnerait encore à l'heure actuelle sur des iPhone et des iPad tournant sous iOS 14,3, iOS 14,4 ainsi qu'iOS 14.6. La dernière version iOS 14.7 vient tout juste d'être mise à disposition du public et il y a peu de chances pour qu'Apple ait eu le temps de déployer un quelconque correctif...

https://www.lesnumeriques.com/telephone-portable/projet-pegasus-malgre-la-breche-de-securite-apple-se-veut-rassurant-n166383.html

Link to comment
Share on other sites

L'administration française annonce publiquement que la France subit une attaque massive de hackeurs Chinois

https://www.lemonde.fr/international/article/2021/07/22/la-chine-dans-le-viseur-de-la-france-dans-le-cadre-d-une-virulente-cyberattaque_6089122_3210.html

  • Upvote 1
Link to comment
Share on other sites

Quote

Pass sanitaire : la Cnil craint une accoutumance à une société de contrôle

Auditionnée par le Sénat, la présidente de la Cnil a donné son avis sur l'extension du Pass sanitaire et en a profité pour pointer du doigt ses risques et incohérences, tout en demandant des garanties.

Il s'agissait déjà d'un de ses griefs au moment du déploiement de caméras intelligentes pour contrôler la température ou le port du masque. La Cnil reformule sa crainte de voir la société française s'habituer aux outils numériques de contrôle, alors que le gouvernement met en place le Pass sanitaire élargi. Devant la Commission des lois au Sénat, Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés, a estimé que les dernières dispositions prises par le gouvernement pour tenter d'enrayer la crise sanitaire portent une atteinte “particulièrement forte” aux libertés et droits fondamentaux. Selon elle, elles ne devraient être prises que si un “surplus d'efficacité par rapport à tout ce qui a déjà été fait” est démontré par l'État, et si elles apparaissent “nécessaires à la gestion de la crise”.

Un équilibre bousculé

Alors que le Pass sanitaire n'était jusqu'à présent exigé que dans un nombre restreint de cas (voyage à l'étranger ou accès à de grands événements), Marie-Laure Denis estime que cet équilibre est totalement bousculé avec un sésame conditionnant l'accès “à de nombreux lieux, établissements, événements ou moyens de transport à la justification de son état de santé”, alors que “prendre le train n’est pas toujours un choix [ou que] déjeuner dans un restaurant peut être un loisir, mais aussi une nécessité”.

“Certains de nos concitoyens vont donc, tous les jours et parfois plusieurs fois par jour, être soumis à l’obligation de présenter une sorte de sauf-conduit, avec une forme de contrôle d’identité induit, pour des actes de la vie courante”, déplore la présidente de la Cnil avant de dénoncer une obligation vaccinale qui ne dit pas son nom “dans certaines configurations ou pour certaines personnes”, y compris celles dont l'accès au lieu de travail est subordonné à la présentation du Pass sanitaire.

Une société qui risque de s'habituer à ces contrôles numériques

Mais la plus grande crainte de la Cnil est le risque d'accoutumance à ces contrôles extrêmement fréquents. Il y aurait “un risque certain d’accoutumance à de tels dispositifs de contrôle numérique, de banalisation de gestes attentatoires à la vie privée, de glissement à l’avenir et potentiellement pour d’autres considérations que la seule protection de la santé publique ici recherchée dans un contexte exceptionnel, vers une société où de tels contrôles seraient la norme et non l’exception”, fustige la présidente de la Commission.

Si bien que selon la Cnil, toutes les problématiques légitimement posées par l'élargissement du Pass sanitaire (et elles sont extrêmement nombreuses) devraient avoir trouvé des réponses avant que ne puisse entrer en vigueur le dispositif, “compte tenu des conséquences importantes pour la vie quotidienne” des Français. Marie-Laure Denis évoque pêle-mêle la pertinence du Pass sanitaire en extérieur (terrasses des cafés et restaurants), les conséquences sanitaires de la fin du remboursement systématique des tests, l'assujettissement des mineurs, des salariés, des catégories de population ne pouvant pas recevoir le vaccin, ou encore l'intérêt de conserver les cahiers de rappel dans les lieux où le Pass sanitaire s'applique.

Manque de cloisonnement des données de santé

Pour la présidente, la loi d'urgence sanitaire devrait également intégrer l'obligation d'un bilan régulier des mesures prises pour juger de leur efficacité, et donc de leur nécessité.

Enfin, comme l'indiquent nos confrères de Next INpact, Marie-Laure Denis note que le système informatisé de recensement du dépistage (SI-DEP) servira aussi dorénavant à gérer l'isolement obligatoire des personnes contaminées. On transformerait dès lors “un fichier sanitaire en fichier de contrôle du respect de ces mesures”, dit-elle, avant d'ajouter : "Dans l’hypothèse où la nécessité d’un tel traitement serait démontrée, la Cnil s’interroge sur la nécessité de créer un fichier distinct ou de réfléchir à des modalités permettant de cloisonner hermétiquement ces traitements de natures très différentes, afin que les services préfectoraux n’aient pas accès à l’ensemble des données que peut consulter le médecin ou l’enquêteur sanitaire”. Il en va selon elle de la nécessité de protéger les données personnelles de santé des citoyens. Au Conseil constitutionnel de statuer en toute probabilité.

https://www.lesnumeriques.com/vie-du-net/pass-sanitaire-la-cnil-craint-une-accoutumance-a-une-societe-de-controle-n166417.html

Link to comment
Share on other sites

Il y a 19 heures, collectionneur a dit :

L'administration française annonce publiquement que la France subit une attaque massive de hackeurs Chinois

https://www.lemonde.fr/international/article/2021/07/22/la-chine-dans-le-viseur-de-la-france-dans-le-cadre-d-une-virulente-cyberattaque_6089122_3210.html

Déjà publié à ce sujet 2 messages plus tôt, avec un lien vers le bulletin d'alerte en question :)
Faut lire :tongue:

 

Il y a 16 heures, g4lly a dit :

Peut-on créer un fil "privacy" sur le forum, pour bien segmenter avec la cyberguerre ?

 

Le 22/07/2021 à 01:05, g4lly a dit :

Juste lol. La grosse com' marketing à deux balles pour rassurer les consommateurs :laugh:

Quand en face tu as des mecs qui fouillent jusqu'au "Mariana web" et qui achètent à coup de millions de dollars des 0 day de RCE sur ton produit, t'as perdu d'avance, c'est sans solution.

Edited by Nemo123
  • Haha 1
Link to comment
Share on other sites

A ce propos, j'ai une anecdote marrante (ou pas).

Peut-être avez-vous entendu parler de la vulnérabilité PrintNightmare qui touche le print spooler de Windows (le service d'impression) ? Ça a fait les gros titres depuis 2 semaines.

Ce qui est amusant, c'est que cette vulnérabilité très impactante était connue des chinois depuis très longtemps (plusieurs années, une éternité dans le monde de la cyber). Quand je dis très impactante, c'est que probablement que 50% des entreprises du monde un tant soit peu sérieuses ont du couper le service d'impression à leurs utilisateurs pendant une bonne semaine. Sauf que cette vulnérabilité, à force d'être utilisée et ré-utilisée par tous les hackeurs de Chine (sans que Microsoft en ait connaissance), y a un mec un jour qui a voulu la jouer perso, et qui l'a vendu à un white hat Chinois. Ce white hat, assez connu chez Microsoft, a donc demandé une rançon contre révélation de la vulnérabilité dans le cadre du programme du bug bounty.

Sauf que Microsoft a joué de mauvaise foi, et a décrété que cette vulnérabilité très élevée était en fait techniquement (et ils ont raison) deux vulnérabilités imbriquées mais indépendamment l'une de l'autre assez peu impactantes, ce qui a beaucoup réduit la prime du white hat (on lui a proposé 5.000$). Fou de rage devant tant de mauvaise foi (et cela me semble assez justifié compte tenu du mindset cyber), il a publié l'exploit "par erreur" sur son github (bah oui, ça arrive même aux meilleurs le misclic), avant de rapidement (tout est relatif ^^) le supprimer. Mais trop tard, le contenu a été copié collé et s'est envolé tout autour de la Terre.

  • Haha 3
Link to comment
Share on other sites

Pour ceux qui trempaient un peu dans la cyber en 2017, vous avez dû entendre parler de NotPetya (un fork de Petya), un wiper, dont le but est de détruire des machines (acte de sabotage, origine étatique ou politique), et pas juste de les chiffrer en vue d'une rançon.

Il y a eu récidive en Iran début Juillet, quand un acteur malveillant a détruit une partie du parc informatique de la SNCF locale, en se basant sur ce malware. Le malware n'est pas très évolué, mais quand même un peu complexe avec quelques évasives. Bref, ça noie d'autant plus le poisson quant à l’identité de l'attaquant. D'ailleurs, l'Iran n'a pas attribué l'attaque.

Le seul truc marrant c'est que les ordis détruits affichaient un message statique à l'écran, invitant à appeler un numéro pour plus d'informations... C'était le numéro du secrétariat du bureau d'Ali Khamenei :chirolp_iei:

  • Haha 2
  • Upvote 1
Link to comment
Share on other sites

Plus tôt ce mois-ci, Facebook a révélé avoir pris des mesures pour démanteler une campagne de cyberespionnage "sophistiquée" menée par des pirates informatiques Tortoiseshell ciblant environ 200 militaires et entreprises des secteurs de la défense et de l'aérospatiale aux États-Unis, au Royaume-Uni et en Europe en utilisant un vaste réseau de faux profils sur sa plateforme. L'acteur malveillant serait aligné sur le Corps des gardiens de la révolution islamique (IRGC) via son association avec la société informatique iranienne Mahak Rayan Afraz (MRA).

Article original en anglais : https://thehackernews.com/2021/07/hackers-posed-as-aerobics-instructors.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+(The+Hackers+News+-+Cyber+Security+Blog)

  • Thanks 2
  • Upvote 1
Link to comment
Share on other sites

  • 3 weeks later...

poursuivi sur le bon fil

Il y a 6 heures, Tancrède a dit :

Apparemment, les talebs ont récupéré l'équipement biométrique des forces US, et, possiblement, une quantité non spécifiée des données accumulées. Dans ces fichiers se trouve notamment l'inventaire (avec tous les signes d'identification utilisés) de tous les locaux ayant aidé la coalition depuis 2001, à divers titres (fournisseurs, traducteurs, employés, prestataires de tous types, mais aussi sources de renseignement, balances....), ainsi qu'une vaste base de donnée qui visait, depuis le début de l'occupation, à ficher 80% de la population (et servir de base pour un système de carte d'identité) au moins. Autre partie du contenu: identité et données biométriques des militaires et personnels de sécurité afghans, dont les FS qui sont ouvertement haïes et ciblées par les talibans. On ne sait pas à  ce stade quelle est la quantité de données récupérées, ni si les talebs sont capables d'utiliser l'équipement (mais les Pakistanais le sont certainement), mais le fait est que personne n'a apparemment trouvé bon de détruire ou embarquer de telles choses: le fait qu'il n'y ait eu aucune procédure d'urgence pour la chose souligne à quel point PERSONNE n'avait planifié quoique ce soit pour une évacuation au cours de l'année écoulée, voire même juste des 3-4 derniers mois. 

A l'arrivée, il y a fort à parier que si les données sont encore là, ça va être un instrument de purge à grande échelle. 

(Source partisane*, mais c'était une exclu de chez eux**)

https://theintercept.com/2021/08/17/afghanistan-taliban-military-biometrics/

Version courte:

Ce n'est pas encore confirmé, mais oui, c'est très plausible* et ça a l'accent de la vérité.
 

  • c'est d'autant plus plausible que les bases biométriques sont une pratique standard US depuis l'occupation de l'Irak (au début pour insurgés, très vite généralisé).

    (pas une exclu intercept -> cf privacyinternational et reuters)

https://privacyinternational.org/news-analysis/4615/afghanistan-what-now-after-two-decades-building-data-intensive-systems
https://privacyinternational.org/report/4529/biometrics-and-counter-terrorism-case-study-iraq-and-afghanistan
https://privacyinternational.org/sites/default/files/2021-06/Biometrics for Counter-Terrorism- Case study of the U.S. military in Iraq and Afghanistan - Nina Toft Djanegara - v6.pdf

  • Oui, c'était très probablement une copie de base de donnée ("déclarée" ou copie sauvage par un sous traitant), qui n'a pas été purgée ou cryptée dans les règles de l'art
    (même un retrait/purge relativement bien préparé sur plusieurs années laisse pleins de traces ... demander à l'Irak, sinon à Bellingcat)
    Ce qui coûtera probablement des vies.
    D'accord aussi sur l'aspect des milliards de $ versés dans des projets d'urgence gérés "par hasard" par des copains et méga-corporations.
    (même si certains ont parfois sauvés des vies, à un coût faramineux, à la limite pas rentable )
     
  • Mais, vu le contexte, je relativise.
     

* ( C'est suffisamment plausible pour en discuter malgré le passif de reporting biaisés voire mensongers de Greenwald (qui s'est fait éjecter récemment de Intercept)
( tacle perso sur le fiasco BOUNDLESS INFORMANT qu'il a mis 6 ans! à rétracter https://theintercept.com/2019/05/29/nsa-data-afghanistan-iraq-mexico-border/ )

Edited by rogue0
  • Like 1
  • Thanks 2
Link to comment
Share on other sites

  • 3 weeks later...

Des chercheurs en cybersécurité slovaques de chez ESET ont publié mardi de nouvelles découvertes qui révèlent une campagne d'espionnage sur mobile d'une durée d'un an contre le groupe ethnique des kurdes.

Actives depuis au moins mars 2020, les attaques ont exploité 2 applications mobiles Android et jusqu'à 6 profils Facebook dédiés qui prétendaient offrir du contenu technologique et pro-kurde – deux destinés aux utilisateurs d'Android tandis que les quatre autres semblaient fournir de l'actualité aux partisans kurdes.

ESET a attribué les attaques à un groupe qu'elle appelle BladeHawk. Dans un cas, les opérateurs ont partagé une publication Facebook exhortant les utilisateurs à télécharger une "nouvelle application Snapchat" conçue pour capturer les informations d'identification Snapchat via un site Web de phishing. Un total de 28 messages Facebook malveillants ont été identifiés dans le cadre de la dernière opération, avec de fausses descriptions d'applications et des liens pour télécharger l'application Android, à partir desquels 17 échantillons d'APK uniques ont été obtenus. Les applications d'espionnage ont été téléchargées 1 481 fois du 20 juillet 2020 au 28 juin 2021. Certaines de ses fonctions importantes incluent la possibilité de voler et de supprimer des fichiers d'un appareil, de prendre des captures d'écran, de suivre l'emplacement de l'appareil, d'obtenir la liste des applications installées, d'exfiltrer les informations d'identification Facebook, photos d'utilisateurs, voler des messages SMS et des listes de contacts, envoyer des messages texte, de prendre des photos, d'enregistrer des appels audio et téléphoniques environnants, de passer appels.

Toujours selon ESET, l'Inde, l'Ukraine et le Royaume-Uni représentent le plus grand nombre d'infections au cours de la période de trois ans à compter du 18 août 2018, la Roumanie, les Pays-Bas, le Pakistan, l'Irak, la Russie, l'Éthiopie et le Mexique complétant le top 10. taches.

  • Like 2
  • Thanks 1
Link to comment
Share on other sites

  • 1 month later...

Pour information, il y aurait environ 270 groupes de hackers étatiques répartis dans 50 pays qui sont suivis par les équipes de sécurité de Google (probablement pas loin des meilleures du monde).

Ca n'est pas du 1 pour 1 entre groupe et pays, car les différents services de sécurité d'un pays sont souvent indépendant sur le sujet (DGSI vs DGSE vs DRM vs LIO chez nous par exemple).

  • Like 1
  • Thanks 2
Link to comment
Share on other sites

NSO Group, producteur du logiciel espion Pegasus, mis au ban par les US.

The U.S. Commerce Department on Wednesday added four companies, including Israel-based spyware companies NSO Group and Candiru, to a list of entities engaging in "malicious cyber activities."

"The United States is committed to aggressively using export controls to hold companies accountable that develop, traffic, or use technologies to conduct malicious activities that threaten the cybersecurity of members of civil society, dissidents, government officials, and organizations here and abroad," U.S. Secretary of Commerce Gina M. Raimondo said in a statement.

  • Like 2
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Member Statistics

    5,644
    Total Members
    1,550
    Most Online
    Mehdi2909
    Newest Member
    Mehdi2909
    Joined
  • Forum Statistics

    21.3k
    Total Topics
    1.5m
    Total Posts
  • Blog Statistics

    4
    Total Blogs
    3
    Total Entries
×
×
  • Create New...