Sélection de l’actualité de la semaine

 

Le CERT-FR dissèque le groupe de hackers TA505

Actif depuis 2014 mais passé sous notoriété publique en 2017, le groupe TA505 utilise un arsenal d’attaque « évolutif qu’il met en œuvre lors de campagnes variées et parfois simultanées, pouvant porter à confusion sur ses motivations ». Identifié par le CERT-FR comme ayant probablement une origine russe, le groupe a pu être confondu avec le groupe cybercriminel Evil Corp (opérant le botnet Dridex et le rançongiciel BitPaymer), et parfois être considéré comme l’opérateur du botnet Necurs. Connu pour avoir largement propagé depuis ses débuts des chevaux de Troie bancaires répandus qui ne lui sont pas propres, tels que Dridex et Trickbot, le groupe TA505 a changé de stratégie à partir de 2018 pour se concentrer sur la distribution de back-doors, de ransomwares à la sophistication croissante. De par son mode opératoire d’attaque, le CERT-FR soupçonne que TA505 propose des activités de prestations de services (hacker-for-hire) pour des groupes tels que Lazarus ou Silence. Le rapport explique en détail la méthodologie et l’impact des activités du groupe.

 

RETEX sur l’attaque du transporteur Maersk par NotPetya

Gavin Ashton a été le « Monsieur Identity & Access Management » (Subject Matter Expert, dans le texte), puis le IAM Service Owner du groupe Maersk de 2016 à 2019. De ce fait, il a été aux premières loges lorsque Maersk, groupe international leader dans le secteur du transport de containers, s’est retrouvé attaqué par NotPetya. Il livre son retour d’expérience, son analyse et ses recommandations. Des politiques de sécurité vagues et ignorées, des pratiques contraires aux mesures d’hygiène de cybersécurité de base, des mentalités à changer profondément, soit le cocktail idéal pour subir une attaque et voir tout son système d’information affecté.

 

Microsoft publie un guide de protection des serveurs Exchange

Face à la multiplication des attaques visant les serveurs Exchange Microsoft, l’équipe Microsoft Defender ATP Research Team publie un billet sous forme de guide destiné à se prémunir des attaques et/ou à les enrayer. Les serveurs Exchange de Microsoft constituent des cibles de choix en ce qu’ils contiennent des informations critiques pour les organisations : des données clients, des données stratégiques pour les activités, sans oublier un accès aux comptes à privilèges élevés de l’organisation. Aussi, s’ils sont compromis, les serveurs Exchange peuvent constituer une porte d’entrée incroyablement intéressante pour compromettre les systèmes d’information internes de l’organisation ciblée. Les équipes de Microsoft Defender ATP Research Team identifient deux catégories d’attaques principales ciblant les serveurs Exchange : les attaques basées sur l’ingénierie sociale, et une vulnérabilité d’injection de code affectant le composant IIS (Internet Information Service) intégré dans les serveurs Exchange. Expliquant dans le détail les méthodologies d’attaques, les équipes proposent ensuite des moyens et des procédures pour y remédier.

 

L’APSSIS publie un panorama des cyberattaques pendant l’épidémie de Covid-19

L’Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) a publié juin un panorama des attaques informatiques exploitant le Covid-19 pour compromettre des systèmes d’information, récupérer des des données ou encore de l’argent. Parmi les techniques les plus employées, l’APSSIS identifie le phishing, le spam, les arnaques au président, la mauvaise protection des accès distants, les ransomwares,  ou la diffusion de malware par email. Rien de très nouveau, en somme, mais intéressant dans la mesure où ces techniques, connues et pour lesquelles il existe des mesures de sécurité adaptées, semblent être encore très efficaces aujourd’hui. Le rappel des mesures d’hygiène de sécurité de l’information de base semble plus que jamais nécessaire.

 

Une réglementation commune pour les véhicules autonomes adoptée par 60 pays

Lors du Forum mondial pour l’harmonisation des règlements concernant les véhicules, qui est rattaché à la Commission économique pour l’Europe des Nations unies (UNECE), une soixantaine de pays – dont le Japon, l’Allemagne, la France – ont approuvé un texte visant à harmoniser les bonnes pratiques de sécurité des systèmes d’information des véhicules autonomes de niveau 3. La réglementation concerne particulièrement les Automated Lane Keeping Systems (ALKS) des véhicules de loisir. Si les États-Unis ne font pas partie du Forum mondial, les constructeurs nord-américains devront eux aussi se plier aux nouvelles normes s’ils veulent vendre leurs véhicules sur les territoires des produits signataires.

 

Lucifer, un nouveau malware hybride de cryptojacking et de DDoS ciblant les vulnérabilités Windows

Fin mai, les équipes de la Unit42 de PaloAlto ont découvert un nouveau malware hybride mêlant cryptojacking et attaques DDoS, principalement contre les systèmes Windows. La Unit42 l’a baptisé Lucifer en raison de l’arsenal qu’il intègre ; non seulement il installe le cheval de Troie XMRig pour miner la cryptomonnaie Monero, mais il intègre également une fonction C2 pour se propager dans le système d’information et les réseaux en exploitant un nombre remarquable de vulnérabilités (pas moins de 11 CVE de score cvss « high » ou supérieur) ou en brute-forçant les identifiants. De plus, il intègre et exploite EternalBlue, EternalRomance, ou encore DoublePulsar pour se propager sur les réseaux internes. Au-delà de la sophistication du malware, c’est le recours à des vulnérabilités anciennes et pour lesquelles des correctifs sont disponibles qui interpelle ; Lucifer démontre à lui seul l’importance d’assurer une veille de sécurité et de maintenir à jour ses systèmes d’information.

 

Les Data Centers assaillis par les hackers avec des malwares en Java

Des malwares d’un nouveau genre. Le département de la sécurité intérieure des USA a alerté sur l’émergence d’un nouveau genre de malwares, qui sont écrits en Java. Les malwares sont d’ordinaire distribués sous forme de binaires directement exécutables sur les systèmes. Aussi ces malwares échappent-ils à la détection par les antivirus. Par ailleurs, Java étant utilisé par de nombreuses applications web hébergées dans les Data Center, les fichiers exécutables associés sont souvent placés en liste blanche et le font pas l’objet d’une analyse anti-virale. Une nouvelle menace à intégrer dans la modélisation de la menace qui pèse sur les Data Centers.

 

Quel hacker es-tu ?

Non, ça n’a rien à voir avec un filtre Instagram ou un questionnaire BuzzFeed ; le ComCyber a lancé un CTF qui se termine le 26 juillet 2020. Au programme, une quinzaine d’épreuves réparties en trois catégories (facile, intermédiaire et difficile) portant sur des domaines variés comprenant du test de pénétration et de l’investigation numérique.