0rphn3  -  APT Update / l'Aperçu de la Presse Tech

 -  20 janvier - 

Bonjour,
Cette semaine dans APT update, on fait le tour des cybermenaces qui ont fait parler d'elles sur le net.

L'agenda

Conférence de Richard Matthew Stallman (rms)

Lundi 20 janvier de 18h30 à 20h
à l'Hôtel de Montpellier Méditerranée Métropole
50, place Zeus, 34000 Montpellier
conférence de Richard Matthew Stallman sur le thème "Enjeux et avenir du Logiciel Libre à l’heure de l’Intelligence Artificielle".
Pour les chanceux qui peuvent se rendre sur place, l'entrée est gratuite mais une inscription est nécessaire car les places sont limitées.
Les autres pourront assister à l'événement
Logiciels libres et Intelligence Artificielle par M. Richard Stallman
parAssociation ADULLACTsurYouTube… Sur Youtube... Quelle ironie :/

Opinion

Cette semaine, un article sur la diversité en entreprise a attiré mon attention : il s'agit d'un point de vue original considérant que dans le contexte d'une société française de plus en plus clivée, non seulement idéologiquement, mais aussi concernant toutes les formes de diversité, les politiques de DE&I (Diversité Équité & Inclusion) feraient des entreprises des safe space, où les comportements plus codifiés bénéficieraient aux minorités, qui essuieraient poins de violences que dans l'espace public.
Si je le crois volontiers en ce qui concerne les violences caractérisées, qu'en est-il des différences salariales, des plus grandes difficultés à se faire entendre en réunion, et de toutes les formes subtiles d’iniquité qui passent facilement sous le radar ?
Personnellement, j'ai trouvé ce papier bien construit et argumenté, mais j'ai peine à en croire le fond. Et vous, qu'en pensez-vous ?

Tendances

L'OWASP publie le premier top10 des vulnérabilités liées aux identités non-humaines

L'OWASP (Open Worldwide Application Security Project) a publié cette semaine son Non-Human Identities (NHI) Top 10. Ces identités incluent par exemple les clés d'APIs, les rôles associés à des services automatisés accédant à des ressources dans le cloud, ou les jetons utilisés par des bots pour accéder à des ressources protégées d'une application.
Teasing : la faille numéro 1 est la non suppression des identifiants après l'arrêt d'un service ou d'une application ("Improper offboarding").
Dans l'ensemble, ces vulnérabilités sont rarement complexes, c'est plutôt le nombre effarant qui rend leur gestion manuelle quasi-impossible, et l'utilisation d'outils de gestion avancés nécessaire. Face à l'évolution rapide des cybermenaces, l'OWASP recommande la proactivité sur ces questions encore négligées.
Parfait exemple de la montée de ces attaques sur les identités, la plainte déposée par Microsoft suite au vol de clés d'APIs, qui servirent ensuite à détourner ses IA génératives à des fins malveillantes.

Les huit pays les mieux placés dans la course à la cybersécurité

Si plusieurs organisations dressent leur propre liste, celle dressée par l'ITU (organe de l'ONU) est de loin la plus complète. Ceci étant, The Cyber Express a choisi de rédiger son propre top 8 à partir de sources multiples : le numéro 1 est la Finlande, le Royaume-Uni est en deuxième position, et les États-Unis troisièmes. Quant à la France, elle n'est pas dans le classement... :(

Les campagnes de la semaine

Les techniques qui montent

Avec un butin passant de 300 millions de dollars en 2023 à 494 millions de dollars en 2024, les wallet drainers sont en forte hausse. Conçus spécifiquement pour siphonner les crypto-actifs, ces malwares ont réalisé leur plus beau coup de l'année au mois d'août, en raflant 55 millions en une fois. Le facteur humain n'est pas négligeable dans ces attaques, puisqu'il s'agit de persuader la victime de connecter son portefeuille à un drainer et d'approuver la transaction. L'ingénierie sociale reste une part essentielle de l'escroquerie…

Si les grands acteurs de la tech se ruent sur l'IA pour l'implémenter un peu partout, ils ne sont pas les seuls : côté cybercriminalité aussi, on s'est emparé de cet outil, et son utilisation a terriblement amélioré le succès des tentatives de phishing. Désormais, même les plus avertis peuvent se faire piéger tant le niveau de réalisme et de personnalisation a augmenté.
Que faire ? Des formations régulières et actualisées, ainsi que des outils de détection des emails anormaux peuvent déjà renforcer la défense contre ce type d'attaques. Au surplus, un modèle de sécurité Zero Trust peut réduire l'impact d'un phishing réussi en limitant l'accès aux données.

La pêche a été bonne

On continue sur le phishing avec les plus belles prises de la semaine :

• Les utilisateurs d'imessage, la messagerie instantanée d'Apple, ont été ciblés par des SMS frauduleux les incitant à désactiver la protection anti-phishing.
• Autre piège, tendu cette fois sur Youtube et dans les résultats de recherche de Chrome : les attaquants publient des tutoriels d'installation de logiciels populaires avec des liens frauduleux en description ou dans les commentaires. Sur Chrome, les résultats de recherche sont manipulés pour faire monter des liens vers des sites de téléchargement dont les logiciels contiennent des malwares.
• Sur Google encore, les pages de login de Google Ads ont été imitées afin de voler les données de connexion. Les attaquants se servent ensuite des comptes hijackés pour distribuer leurs malvertisers.
• Comme si les californiens n'étaient pas assez durement frappés, ou plutôt justement afin d'exploiter leur détresse et leur sentiment d'urgence, des scammers ciblent la région de Los Angeles en se faisant passer pour les services d'évacuation ou d'aide aux victimes, afin de voler des identifiants ou des informations bancaires.
• BlackBasta a fait des petits : un client de la messagerie sécurisée SlashNext a vu ses 22 utilisateurs bombardés par plus d'un millier de message en 90 minutes. C'est le SOC du client qui a relevé un déluge soudain d'emails suspicieux. Plusieurs similitudes ont été relevées avec le célèbre groupe de ransomware, comme l'imitation de plateformes populaires, des noms de domaine furtifs qui semblent inoffensifs, ou l'usage d'obfuscation de caractères.
  
  

Ça fuit de tous les côtés

Les fuites de données son tellement nombreuses toutes les semaines que ça devient lassant à traiter… Elles le sont particulièrement cette semaine (nombreuses, pas lassantes) :
[ul]La fuite de 15,000 identifiants concernant des appareils Fortinet a fait d'autant plus de bruit qu'une autre vulnérabilité similaire a été révélée au même moment. Tout commence en 2022 avec une vulnérabilité donnant lieu à cette fuite. Après avoir exploité ces données à leurs propres fins, les attaquants les ont diffusé gratuitement, sans préciser qu'à ce stade elles sont sans doute obsolètes. Les auteurs, dénommés "Belsen Group", sont inconnus, même si des indices suggèrent leur allégeance.Début janvier, une fuite de données touchant les informations personnelles des enseignants et des étudiants d'écoles utilisant PowerSchool, un logiciel d'e-learning. Devant la communication parcellaire du fournisseur, les équipes de différentes écoles à travers le monde s'unissentpour enquêter sur l'ampleur de la fuite et la méthodologie de l'attaque.Une campagne de vol d'identifiants bancaires cible les sites d'e-commerce de WordPress en injectant du code JavaScript dans la base de données du CMS.La maison d'édition de Harry Potter et The Hunger Games ciblée par un dénommé "Furry Hacker" : Scolastic a été victime d'une fuite de données révélant les noms et les informations de contact de 8 millions de clients.Le site de Kiabi a été touché par une attaque par bourrage d'identifiants (credential stuffing), au cours de laquelle les adresses et les IBAN de près de 20,000 clients ont été dérobés.Ce type d'attaque est de plus en plus prisé par les attaquants.Gravy Analytics est une société peu connue. Elle est pourtant chargée de collecter nos données de géolocalisation pour des milliers de sociétés, et le vol de données GPS dont elle a été la cible concerne 30 millions de personnes. Ces données sont actuellement en ligne sur un forum de pirates russes.Un opérateur telecom espagnol, Telefonica, s'est fait dérober 2.3GB de données sur ses systèmes internes, suite à un vol d'identifiants.

Ransomwares

Le groupe C10p a publié une liste d'entreprises qu'il prétend avoir compromises en exploitant une vulnérabilité du logiciel de transfert de fichiers Cleo. Cette vulnérabilité avait été patchée, mais un premier patch s'est avéré insuffisant, suivi d'un second. Or, beaucoup d'organisations ne font pas les mises à jour à intervalles réguliers, et les attaquants savent qu'ils ont une large marge pour exploiter une vulnérabilité patchée.. Le gang a réclamé une rançon, assortie d'un ultimatum fixé au 21 janvier. De son côté, Cleo a exhorté ses clients à appliquer les patches les plus récents.

Nouveaux joueurs dans la catégorie 'Ransomware', Codefinger a lancé une campagne assez originale, dans le sens où elle n’exploite pas une vulnérabilité, mais plutôt des fonctionnalités légitimes d'AWS : après avoir accédé au système avec les identifiants volés d'un compte ayant des droits en lecture et en écriture sur les fichiers S3, ils chiffrent les données des buckets S3 visés tout simplement avec la fonctionnalité SSE-C et une clé de chiffrement qu'eux seuls possèdent.
Hasard ou coïncidence, les vendeurs de solutions de gestionvc de réservations hôtelières Otelier a révélé être victime d'une attaque au mode opératoire étrangement semblable...

Panorama des cybermenaces

Chine

Selon la dirigeante du CISA Jen Easterly, les espions du groupe chinois Salt Typhoon ont été repérés sur les réseaux gouvernementaux bien avant leur découverte sur les réseaux telecom américains. Elle craint que nous n'ayons encore vu que la pointe de l'iceberg, et rappelle aussi que le réseau de botnets Volt Typhoon a été mis sur pied dans le but de prendre le contrôle des infrastructures critiques du pays.

Par ailleurs, on apprend cette semaine que l'ordinateur personnel de la Secrétaire Janet Yellen a été compromis lors de l'attaque sur le Treasury Department.

Simultanément à la montée des tensions entre les USA et la Chine, Taïwan subit une vague de cyberattaques ciblant pricipalement les infrastructures gouvernementales et – quelle coïncidence – les réseaux telecom. En moyenne, Taïwan a subi 2,4 millions d'attaques quotidiennes en 2024, le double des chiffres de 2023.

États-Unis

La riposte des États-Unis consiste en premier lieu à ajouter une vingtaine de noms à sa liste noire d'entreprises chinoises faisant l'objet de restrictions le commerce, car considérées comme des menaces pour la sécurité nationale. Ces restrictions les empêchent d'acheter les technologies américaines.
Ainsi, une loi est en préparation pour interdire la vente de véhicules chinois sur le territoire américain afin d'éviter l'espionnage par le biais des systèmes informatiques des véhicules modernes, et qui contiennent effectivement GPS, caméras et micros.

Le DoJ a aussi annoncé que le FBI a désinstallé le spyware PlugX de plus de 4,000 appareils infectés sur l'ensemble du pays. Pour ce faire, il s'est adjoint l'aide de la police française et de l'entreprise de cybersécurité Sekoia.io. Les auteurs du malware, connus sous le nom de Mustang Panda, ont agi sur commande du gouvernement chinois pour cibler des organisations américaines, européennes et asiatiques, ainsi que des groupes de dissidents.

Et bien sûr une récompense de 10 millions de dollars est offerte pour toute information pouvant mener à l'identification ou la localisation de toute personne ayant mené des activités cybercriminelles contre le gouvernement des États-Unis ou ses infrastructures pour le compte d'une puissance étrangère. Des noms de personnes supposément impliquées dans l'attaque du Treasury Department sont déjà cités.

Corée du Nord

L'APT Lazarus publie des offres d'emploi visant les développeurs free-lance sur LinkedIn afin de les inciter à des dépôts Git malveillants, contenant des infostealers volant le code source, les données sensibles et les cryptomonnaies. Cette opération, nommée Operation99, fait suite à d'autres du même genre menées par Lazarus.

L'emploi dans l'IT est au coeur de leurs activités cyber, puisque cette autre opération, liée au département nord-coréen de la défense nationale, et qui consiste à se faire embaucher en télétravail par des entreprises IT américaines et de verser 90% des revenus générés pour financer le programme d'armement et la guerre en Ukraine.

Les États-Unis accusent par ailleurs la Corée du Nord d'avoir dérobé plus de 659 millions de dollars en cryptomonnaie sur l'année 2024.

Russie

La cyber-guerre sino-américaine fait tellement de bruit que pour un peu on oublierait les russes…

Notons tout de même que le gang Star Blizzard, connu pour ses campagnes de spear-phishing par email ciblant des gouvernements, des diplomates et des ONG, utilise maintenant WhatsApp comme vecteur d'attaque, en envoyant d'abord un email proposant la participation à un groupe WhatsApp, et accompagné d'un QR code volontairement défectueux, conçu pour inciter le destinataire à répondre. S'il tombe dans le piège, un second message lui est adressé, contenant un lien malveillant caché dans un format 'safe links'. Il arrive alors sur une page contenant un autre QR code, conçu non pas pour rediriger vers le groupe proposé, mais pour lier le compte WhatsApp de la victime à la machine des attaquants.

La mission confiée à UAC-0063 est bien différente : réunir des renseignements économiques et politiques en Asie Centrale. L'APT est donc en train d'investir le Kazakhstan avec une technique de cyberespionnage surnommée le 'scotch double-face', et qui repose sur un usage malveillant des macros des documents Word.

Voilà, c'est tout pour cette semaine. Merci de votre attention et à la semaine prochaine !

par aht