Sélection de l’actualité de la semaine

Les failles de cybersécurité pourraient mener à des attaques biologiques

Une étude publiée dans Nature Biotechnology et menée par une équipe de l’Université Ben Gourion (BGU) du Néguev, décrit comment des acteurs malveillants n’ont plus besoin d’avoir un contact physique avec une substance bactériologique dangereuse pour la produire et la diffuser. Le problème se résume en partie à une faiblesse des directives de l’US Department of Health and Human Services (HHS) pour les fournisseurs d’ADN, qui permettent de contourner les protocoles de dépistage par d’une technique générique d’obscurcissement. En utilisant cette technique, 16 échantillons sur 50 n’ont pas été détectés, selon les équipes du Néguev. Le deuxième facteur majeur est l’insuffisance des contrôles de cybersécurité sur les systèmes d’information des laboratoires. Dans le scénario décrit dans le rapport, un bio-ingénieur a son poste de travail infecté par un plug-in de navigateur malveillant, ce qui permet une attaque de type « homme dans le navigateur« . En conséquence de quoi, les attaquants peuvent changer l’ordre des séquences placées auprès d’une société de synthèse d’ADN, et de les transformer en séquences malveillantes. Le document de recherche démontre ainsi qu’avec un scénario d’attaque qui utilise cette combinaison de vulnérabilités, il est ainsi possible à un acteur malveillant distant de duper la cible en créant une substance dangereuse sans aucune interaction physique nécessaire.

 

Des tentatives d’attaques contre des laboratoires travaillant au développement d’un vaccin contre la COVID-19…

Plusieurs laboratoires travaillant au développement d’un vaccin contre la COVID-19 ont été victimes de tentatives d’attaques malveillantes ; parmi les laboratoires, le laboratoire britannique AstraZeneca a été la cible ces dernières semaines de tentatives d’attaques informatiques qui pourraient avoir été menées par des acteurs nord-coréens. Selon l’agence Reuters, qui cite des sources souhaitant rester anonymes, les attaquants se sont fait passer pour des recruteurs sur Linkedin et WhatsApp ; ils ont envoyé des documents sur de supposées offres d’emploi qui contenaient du code malveillant à différents collaborateurs du groupe travaillant sur la recherche autour de la Covid-19. Les tentatives d’attaque auraient échoué. Le laboratoire britannique n’a toutefois pas commenté l’information. Selon la source citée par Reuters, les attaquants ont employé des outils et des techniques précédemment utilisées lors de campagnes d’intrusion attribuées à la Corée du Nord. Microsoft avait déjà dénoncé les cyberattaques menées contre des acteurs de la santé en lutte contre la pandémie ; l’éditeur a détecté des attaques visant des spécialistes des vaccins, en France, au Canada, en Inde, en Corée du Sud et aux États-Unis.

 

…mais également contre les entreprises de la chaîne du froid des vaccins

Les équipes d’IBM X-Force, la division de la cybersécurité d’IBM, affirme que des attaques informatiques ciblent actuellement les entreprises associées au stockage et au transport des futurs vaccins et impliquées dans la chaîne du froid permettant la conservation de l’efficacité de ces vaccins. Ces attaques consisteraient en des campagnes de phishing visant à recueillir des informations d’identification pour le courrier électronique interne et les applications d’une entreprise/personne ciblée. Les attaques visent tous les acteurs de la chaine de froid nécessaire aux vaccins : les institutions régulatrices du marché (Direction générale de la fiscalité et de l’Union douanière de la Commission européenne), les fabricants d’alimentation énergétique (e.g. une entreprise qui fabrique des panneaux solaires utilisés pour les réfrigérateurs de transport de vaccins alimentés à l’énergie solaire), les fabricants de froid (e.g. une entreprise qui fabrique de la glace sèche, également utilisée pour le transport de vaccins), ou encore les prestataires réalisant les sites web de ventes de produits pharmaceutiques. La campagne cible avec précision les personnes clés des entreprises, en usurpant l’identité d’un cadre de l’entreprise Haier Biomedical, une société chinoise faisant partie du programme officiel des Nations unies pour l’optimisation des équipements de la chaîne du froid (CCEOP). Les courriels de phishing contiendraient ainsi, selon IBM X-Force, des fichiers HTML malveillants en pièce jointe, que les victimes peuvent télécharger et ouvrir localement. Une fois ouverts, ces fichiers invitent les victimes à saisir diverses informations d’identification pour pouvoir les consulter. Ce mode d’emploi est, toujours pour IBM X-Force, « caractéristique des attaques menées par des États ». Cette campagne vient compléter celles déjà initiées contre des laboratoires travaillant au développement d’un vaccin contre la COVID-19 ; étant donné les enjeux financiers, rien de bien surprenant.

 

Le cheval de Troie Bandook réapparaît dans une campagne d’espionnage mondiale

Une vague de campagnes de cyberattaques ciblées, axées sur l’espionnage, fait son apparition dans le monde entier, utilisant une souche de cheval de Troie vieux de 13 ans nommé Bandook. Repéré pour la dernière fois en 2018 lors de la campagne d’attaques « Dark Caracal« , le malware avait ensuite disparu. Au cours de l’année dernière, toutefois, des dizaines de variantes de ce malware, signées numériquement, ont commencé à réapparaître dans le paysage des menaces, ravivant l’intérêt pour cette ancienne famille de logiciels malveillants. Les dernières versions des attaques s’appuient sur des techniques de phishing pour faire télécharger un document Word contenant des macros ; une fois activée, la macro permet d’installer le malware Bandook. Bandook est un RAT complet, écrit en Delphi et en C++, qui a été créé en…2007, selon Check Point. Au fil du temps, plusieurs variantes du créateur de logiciels malveillants ont été diffusées sur Internet, et le logiciel malveillant est devenu accessible publiquement. L’attaque de Bandook commence par l’exécution d’une charge utile, écrit en Delphi, qui utilise le « processus creux » (process hollowing) pour créer une instance d’un processus Internet Explorer, puis y injecter une charge malveillante. La charge utile contacte le serveur de commande et de contrôle (C2) de l’attaquant, envoie des informations de base sur la machine infectée et attend des commandes supplémentaires. La nouvelle variante de Badook détectée ne prend en charge qu’une dizaine d’actions, clairement orientée vers l’espionnage (capture d’écran, chargement et extraction de fichiers, injection de code Java et Python, etc.). Pour CheckPoint, ce serait les mêmes protagonistes qui auraient développé les variantes de Bandook ; ils opèreraient en Malware-as-a-Service, proposant leurs services aux plus offrants.

 

Les données de 243 millions de brésiliens exposées en ligne

Alors, oui, le Brésil n’a que 210 millions d’habitants (environ). Mais toute la force de cette fuite de données personnelles réside dans le fait qu’elle expose des données de Brésiliens vivants et décédés. Le mot de passe d’une base de données gouvernementale a été laissé dans le code source d’un site web officiel du ministère brésilien de la Santé pendant au moins six mois. Comme le code source d’un site web est accessible et consultable par toute personne appuyant sur la touche F12 de son navigateur, les journalistes du quotidien Estadao ont donc fouillé des sites gouvernementaux à la recherche d’authentifiants. Et ils ont trouvé : dans le code source de e-SUS-Notifica, un portail web où les citoyens brésiliens peuvent s’inscrire et recevoir des notifications officielles du gouvernement sur la pandémie de Covid-19. Le code source du site contient un nom d’utilisateur et un mot de passe stockés en Base64, un format de codage qui peut être facilement décodé pour obtenir le nom d’utilisateur et le mot de passe. Les informations de connexion ont permis d’accéder au SUS (Sistema Único de Saúde), la base de données officielle du ministère brésilien de la Santé, qui stocke des informations sensibles (nom complet, adresse postale, numéro de téléphone et informations médicales) sur tous les Brésiliens inscrits au système de soins de santé publique du pays depuis 1989.

 

Google Hacker détaille l’exploit Wi-Fi « Wormable » sans clic pour pirater des iPhones

Le hacker éthique de Google Project Zero, Ian Beer, a révélé mardi les détails d’une faille critique de sécurité dans le système d’exploitation mobile iOS, désormais corrigée, qui aurait pu permettre à un attaquant distant d’obtenir le contrôle complet de tout iPhone à proximité, via le Wi-Fi. L’exploit permet de « voir toutes les photos, lire tous les e-mails, copier tous les messages privés et surveiller tout ce qui se passe sur [l’appareil] en temps réel », a déclaré Beer dans un long article de blog détaillant ses six mois d’efforts pour établir une preuve de concept. La faille (identifiée comme CVE-2020-3843) a été corrigée par Apple dans une série de mises à jour de sécurité poussées dans le cadre d’iOS 13.3.1, macOS Catalina 10.15.3 et watchOS 5.3.7 plus tôt cette année. Pour résumer, l’exploit « zéro-clic » utilise une configuration composée d’un iPhone 11 Pro, d’un Raspberry Pi et de deux adaptateurs Wi-Fi différents pour obtenir une lecture et une écriture arbitraires de la mémoire du noyau à distance, en tirant parti pour injecter des charges utiles shellcode dans la mémoire du noyau via un processus victime et échapper aux protections sandbox du processus pour récupérer les données utilisateur. En d’autres termes, l’attaquant cible le framework AirDrop BTLE pour activer l’interface AWDL en brute-forçant la valeur de hachage d’un contact à partir d’une liste de 100 contacts générés aléatoirement stockés dans le téléphone, puis exploite le débordement de tampon AWDL pour accéder à l’appareil et exécuter un implant en tant que root, donnant à la partie malveillante un contrôle total sur les données personnelles de l’utilisateur, y compris les e-mails, les photos, les messages, les données iCloud, etc. D’autre part, nos collègues de Synacktiv ont complété les travaux de Ian Beer, présentés dans ce POC.

 

Y’a plus, je laisse ?

Voici la carte 3D la plus précise de la Voie lactée jamais réalisée.