Copy
16 août 2017

Threat Landscape - by Intrinsec


La newsletter hebdomadaire Threat Landscape d'Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d'information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.


Au programme cette semaine :
  • La chaîne de télévision américaine HBO piratée, les pirates réclament six millions de dollars   
  • Nouveaux éléments dans l'attaque visant l'opérateur du réseau électrique irlandais
  • CouchPotato , l’outil de la CIA pour enregistrer des vidéos
  • Une faille qui permet de pirater le WiFi des box
  • Le secteur des télécommunications visé au Venezuela
  • Focus sur le groupe "APT 28" 

Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d'activité spécifique : 
Threat Intelligencecontactez-nous !

 
Si vous ne l'êtes pas encore, abonnez-vous à notre newsletter
Menaces Sectorielles
 
Multimédia

Victime d'un piratage, HBO offre de verser 250 000 dollars aux pirates
La chaîne de télévision américaine HBO, victime d'un piratage de grande ampleur, a offert de verser 250 000 dollars au groupe de pirates qui a récemment dérobé des documents confidentiels, dont les scénarios de la série Game of Thrones. Les médias Variety et The Hollywood Reporter ont obtenu des échanges d'emails entre l'executif de HBO et les pirates, qui avaient fixé à HBO la date limite de jeudi 17 août pour payer la rançon. Dans un extrait d’échanges d'email, un responsable de HBO propose aux pirates de verser dans un premier temps 250 000 dollars au titre de "bug bounty", une pratique courante des grandes entreprises, qui consiste à récompenser les pirates qui découvrent des failles au sein de leurs systèmes. Les pirates réclament au total six millions de dollars et menacent de dévoiler d'autres documents et données confidentielles de la chaîne. 
Energie 

Le gestionnaire du réseau électrique irlandais ciblé par une attaque
Le société publique EirGrid, opérateur du réseau électrique irlandais, a été victime d’une attaque. Détectée mi-avril, l’attaque a été signalée à EirGrid par Vodafone et le National Cyber Security Centre.  Les pirates ont installé un tunnel GRE (Generic Routing Encapsulation) sur un routeur Vodafone appartenant au site de la société situé à Shotton (Pays de Galle), et ont ainsi intercepté tous les flux entrants ou sortants non chiffrés. Ils auraient ensuite copié le firmware et les fichiers des appareils connectés au routeur, potentiellement à des fins d’analyse et de préparation d’une attaque ultérieure. Les pirates ont également récupéré des données concernant des clients B2B. A ce stade, les investigations n’ont pas encore permis de déterminer si l’attaque a occasionné l’installation d’un malware sur les systèmes d’information d’EirGrid. Les intrusions ont été menées depuis des IP basées au Ghana et en Bulgarie, néanmoins, l’hypothèse qui prédomine pour le moment est qu’il s’agit d’une attaque perpétrée par un groupe étatique.
En savoir plus
Numérique
 
CouchPotato, l’outil de la CIA pour surveiller les vidéos
Le site wikileaks.org a publié le jeudi 10 août 2017, de nouvelles données dans le cadre de la campagne Vault 7. Les dernières informations divulguées par le site concernent un projet baptisé CouchPotato qui aurait été utilisé par la CIA pour collecter les flux vidéo RTSP via le protocole RTSP, et d'enregistrer des vidéos en temps réel au format AVI et prendre des captures d’écran au format JPG.
En savoir plus
 
Télécommunications
 
Une faille permet de pirater le WiFi des box
Les Livebox Orange et Box SFR sont touchées par une importante faille de sécurité qui permet de casser leur clé WiFi en quelques secondes. Un membre du forum francophone "crack-wifi" dont le pseudonyme est « Kcdtv » a découvert cette semaine un moyen d’exploiter l’authentification WPS. C’est une méthode de connexion par « appairage » qui évite de renseigner la clé WPA2, en permettant de se connecter via un simple appui simultané sur l’appareil et sur le point d’accès. Il explique que certaines box d’Orange : Livebox 3 Sagemcom, d’SFR: NB4 et NB6 et Numericable Netgear acceptent également l’appairage avec un code PIN vide. Cette faille provienne d’une mauvaise configuration par défaut de firmwares des box en question. Elle permet de récupérer la clef WPA2 et donc de pouvoir se connecter aux box et d’écouter ainsi le trafic entrant et sortant des appareils connectés, que ce soit sur un lieu de travail ou un domicile. Nous vous recommandons de désactiver le WPS sur vos équipements et de changer la clef WPA2 si le WPS était activé.
En savoir plus

Cyberattaques massives au Venezuela
D'après le ministre des télécommunications vénézuélien, plusieurs sites Web gouvernementaux ont été victimes d'une cyberattaque massive lundi 7 août, dont le site de la Marine, de l’Assemblée nationale, du Tribunal suprême de justice, ou encore du Conseil National Electoral.  Le mercredi 9 août, une autre attaque a ciblé Movilnet, un opérateur télécom national, et treize millions d’utilisateurs de cet opérateur public ont été privés de service. Un groupe de pirates informatiques qui se présente sous le nom de The Binary Guardians a revendiqué l’attaque de ces sites. Les membres de The Binary Guardians revendiquent leur opposition au régime du président vénézuélien Nicolas Maduro, au pouvoir depuis 2013.

 
Ecosystème Régional

 


Ecosystème moyen-oriental
 
IsraBye, nouveau faux ransomware
Jakub Kroustek, un chercheur d'Avast a découvert un malware baptisé IsraBye, ce malware se présente comme un ransomware et affiche un message indiquant que le contenu est récupérable, mais selon le chercheur, le contenu est remplacé par un message inti-israélien. IsraBye ne chiffre pas les données mais les détruit.
Source
 

Ecosystème chinois
 

Un nouveau SLocker exploite la popularité du jeu Kings of Glory
360 Security a publié une nouvelle analyse sur Catching Wolf, un groupe de pirates qui propage massivement des malwares via des publicités en ligne à caractère pornographique. La société de cyber sécurité l’avait découvert mi-juillet, et avait alors constaté que son antivirus avait intercepté 30 000 intrusions de la part de Catching Wolf, uniquement le jour de sa découverte. D’après les investigations de 360 Security, il s’agit d'un groupe chinois actif depuis plusieurs années et aux méthodes de propagation rodées. En plus d’installer un browser hijacker (logiciel malveillant capable de modifier, à l'insu d'un utilisateur, certaines options de son navigateur web), Catching Wolf installe un adware sur le système de la victime ayant cliqué sur une publicité. 360 Security estime que ce double système génèrerait près de 2 millions de yuans (environ 255 000 euros) de revenus annuels pour les malfaiteurs.
Source

Une application de gestion accusée de voler les données de ses usagers
JD Smart Cloud, une application de gestion centralisée de données et objets connectés appartenant au groupe d’e-commerce chinois Jingdong (principal concurrent d’Alibaba), récupérerait illégalement les informations personnelles de ses utilisateurs. C’est ce que révèlent un post anonyme sur le site Zhihu  et une vidéo postée sur l’application de partage de vidéos Maopai. La vidéo mise en ligne montre un test avec un simple logiciel de surveillance réseau, qui affiche le nom et le mot de passe du wifi au moment de la connexion à l’application, ce qui démontre que ces données sont stockées alors qu’elles ne sont pas supposées l’être..
Source
Individus & Groupes

"APT 28"
Le groupe de pirate APT28 a utilisé la faille de WannaCry pour pirater le WiFi de plusieurs hôtels en Europe et voler des données clients. Selon FireEye, le groupe APT28 a récemment exploité la vulnérabilité EternalBlue pour pirater le WiFi des hôtels. Les chercheurs indiquent que ce piratage a commencé par une campagne de phishing ciblant différents hôtels, dont sept situés en Europe et un au Moyen-Orient. Ceux-ci ont reçu un courriel qui comprend une pièce jointe intitulée « Hotel_Reservation_From.doc », masquant le malware GameFish. Selon les chercheurs de FireEye, ce malware est une des signatures du groupe APT28. Une fois installé, GameFish se sert de la faille EternalBlue (visant le protocole SMB) pour se propager à travers le réseau et trouver les ordinateurs contrôlant le WiFi interne. Le malware installe ensuite un outil nommé Responder, capable de voler les données d’authentification sur le réseau sans fil. L’exploit a été utilisé pour dérober des données clients.
Source
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d'alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.
Cliquez ici pour en savoir plus
Pensez à autoriser notre contact dans votre filtrage anti-spam.
Copyright 2017 Intrinsec Sécurité - Toute reproduction interdite sans autorisation explicite






This email was sent to <<Email>>
why did I get this?    unsubscribe from this list    update subscription preferences
Intrinsec · Tour CBX, 1 Passerelle des Reflets · Courbevoie 92400 · France

Email Marketing Powered by Mailchimp