SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
28 01 24 JANVIER
MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
LE PRINCE ET
LE MILLIARDAIRE
Le téléphone de Jeff Bezos aurait été piraté par Surtout, la publication de ces données compromet-
des Saoudiens. Ou plutôt : par un Saoudien, et par tantes est intervenue quelques mois après l’assas-
n’importe qui : le prince Mohammed Ben Salman. sinat du journaliste Jamal Khashoggi au consulat
C’est ce qui semble ressortir d’un rapport d’inves- d’Arabie saoudite à Istanbul. J. Khashoggi était un
tigation publié cette semaine. chroniqueur du Washington Post. C’est dans le cadre
de cette dernière affaire que le haut commissaire
En janvier 2019, le journal américain National Enqui- aux droits de l’homme des Nations Unies a mandaté
rer a publié une édition spéciale sur la vie privée du deux experts indépendants, Agnes Callamard, rap-
PDG d’Amazon, Jeff Bezos. La publication de textos porteure spéciale sur les exécutions arbitraires et
échangés entre Jeff Bezos et Lauren Sanchez, une extrajudiciaires et David Kaye, rapporteur spécial sur
ancienne présentatrice de télévision avec qui il en- la liberté d’expression.
tretenait une relation extraconjugale, avait conduit
Jeff Bezos à divorcer. Ce dernier avait dénoncé un Les experts ont estimé, mercredi 22 janvier, que «
chantage ou une manipulation visant à faire cesser le piratage présumé du téléphone de M. Bezos, et
les enquêtes du Washington Post, propriété du pa- de ceux d’autres personnes, exige une enquête im-
tron d’Amazon, sur les liens entre l’Arabie saoudite médiate de la part des autorités américaines et des
et Donald Trump. AMI, la maison mère du National autres autorités compétentes ». Ils estiment très
Enquirer, pressée de révéler les sources lui ayant probable que le prince saoudien ait pu être directe-
fourni les communications privées de Jeff Bezos, ment impliqué dans ce piratage et pointent du doigt
avait insisté sur le fait que ni la Maison blanche ni les la société israélienne NSO Group et son désormais
gouvernement saoudien n’avaient été impliqués. La célèbre logiciel Pegasus. Ils demandent enfin l’ou-
source était unique et appartenait, selon AMI, à l’en- verture d’une enquête des Nations Unies sur cette
tourage de J. Bezos. affaire.
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
28 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 24 JANVIER 2020
TLP WHITE
LE PRINCE ET LE MILLIARDAIRE
Le document publié par le OHCHR (Office of High Il existerait donc un faisceau d’indices permettant de
Commissioner for Human Rights) indique que le té- suspecter NSO Group et le gouvernement saoudien qui
léphone - un iPhone - de Jeff Bezos aurait probable- tous deux nient toute implication. Rien, cependant, ne
ment été compromis après l’envoi, depuis le mobile permet de formellement étayer ces deux hypothèses.
du prince Ben Salman d’une vidéo au format MP4 Les deux rapports publiquement disponibles - celui,
malveillante dont la lecture aurait permis l’installa- partiel, du OHCHR et celui de la société FTI Consulting -
tion du logiciel Pegasus. ne donnent pas suffisamment de détails sur les éléments
techniques analysés. L’empreinte cryptographique du fi-
L’analyse post-mortem du téléphone de Jeff Bezos chier MP4 n’est par exemple pas mentionnée. Les ana-
a été réalisée à l’aide du matériel et des outils de lystes semblent avoir fait un usage quasi-exclusif des
la société, elle aussi israélienne, Cellebrite. Cette so- outils de Cellebrite, pour l’acquisition des données du
ciété est spécialisée dans les moyens d’acquisition téléphone ou leur analyse. FTI Consulting indique avoir
de données sur téléphones mobiles. Deux autres identifiée 192 IOC (Indicator of Compromise) avant de
logiciels Open Source, Wireshark et Fiddler, ont été conclure que leur analyse démontra qu’il s’agissait de
utilisés pour analyser le trafic entrant et sortant de faux positifs.
l’iPhone de J. Bezos.
Seul le volume de trafic sortant, beaucoup plus élevé sur
Outre un fichier MP4 suspect, l’analyse du téléphone le téléphone analysé que celui de la moyenne d’autres
a montré une augmentation significative du trafic téléphones de la même marque (mais pas du même
réseau sortant dans les minutes qui ont suivi l’ou- modèle), est retenu pour suspecter une compromission
verture du fichier vidéo reçu depuis le smartphone qui aurait abouti à l’exfiltration des données privées de
princier. D’où l’hypothèse d’une compromission par Jeff Bezos. Cependant, comparer le trafic d’un utilisateur
ce biais. La vidéo aurait été reçue le 1er mai 2018, type d’un iPhone à celui de Jeff Bezos, patron d’Amazon,
soit quelques mois avant l’assassinat du chroniqueur n’est peut-être pas très pertinent compte tenu du pro-
du Washington Post. A ce moment et au cours des fil de ces deux personnes.Bill Marczak, chercheur affilié
mois suivants, de nombreuses autres personnes - à l’ONG CitizenLab, dans un billet publié sur Medium le
activistes, journalistes, opposants politiques mais 22 janvier, adresse plusieurs questions à la société FTI
aussi l’ONG Amnesty International - ont été victimes Consulting pour clarifier certains points contradictoires
de tentatives ou de compromissions via l’application de leur rapport.
WhatsApp. Ces attaques avaient pour but d’installer
le logiciel Pegasus sur le mobile des victimes dont Face à l’emballement médiatique, David Kaye, un des
certaines étaient en relation avec J. Khashoggi. deux experts mandatés par l’OHCHR, a publié une mise
au point sur Twitter pour rappeler que le document re-
Une investigation sur une possible compromission mis au haut commissaire n’était pas un rapport d’investi-
de son smartphone avait été commanditée par J. gation numérique mais un avis et un appel à l’ouverture
Bezos en février 2019. La société FTI Consulting avait d’une enquête, non sur le cas précis de Jeff Bezos, mais
été mandatée à ces fins. Les conclusions de son sur les utilisations de codes offensifs dans la perpé-
rapport d’analyse, que le site MotherBoard a publié tration de violations et d’atteintes graves aux droits de
hier, indiquent qu’il n’a pas été possible de mettre en l’Homme et à la liberté d’expression.
évidence la présence d’un code malveillant. En de-
hors du fichier MP4 suspect, rien n’a été trouvé. Si ce https://assets.documentcloud.org/documents/6668313/FTI-Report-into-Jeff-
fichier est à l’origine de la compromission, il pourrait Bezos-Phone-Hack.pdf
avoir exploité la CVE-2019-11931. Cette vulnérabilité, ht t p s: //w w w. o h c h r. o rg /D o cu m e nt s/I s s u e s/E x p re s s i o n /S R s S u m ex Fre e -
corrigée par Facebook en novembre 2019, permet- dexAnnexes.pdf
tait une exécution de code à distance dans l’appli- https://medium.com/@billmarczak/bezos-hack-mbs-mohammed-bin-salman-
cation WhatsApp. En plus de fournir un patch pour whatsapp-218e1b4e1242
cette faille, Facebook avait aussi dénoncé une cam- https://www.vice.com/en_us/article/v74v34/saudi-arabia-hacked-jeff-bezos-
pagne visant des utilisateurs de WhatsApp afin de phone-technical-report
déployer un logiciel-espion. Une plainte avait alors https://arstechnica.com/information-technology/2020/01/report-bezos-phone-
été déposée contre NSO Group accusé d’avoir acti- uploaded-gbs-of-personal-data-after-getting-saudi-princes-whatsapp-mes-
vement exploitée cette vulnérabilité pour le compte sage/
de certains de ses clients gouvernementaux.
228 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 24 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[TALOS] LE CRYPTOMINEUR VIVIN TOUJOURS ACTIF
Talos a identifié un nouvel acteur illicite. “living-off-the-land” pour les étapes
de la menace, baptisé « Vivin », qui suivantes de la kill chain.
mène une campagne de cryptomi- Vivin utilise plusieurs adresses de
ning à long terme. porte-monnaie et change ses outils Vivin semble avoir privilégié la lon-
régulièrement. Un des vecteurs d’in- gévité plutôt que la recherche de
Ce groupe serait actif depuis au fection est l’insertion de code mal- gros gains immédiats.
moins novembre 2017 et aurait col- veillant dans des logiciels piratés,
lecté des milliers de dollars de façon couplés à l’utilisation de logiciels
SOURCES ET RÉFÉRENCES :
https://blog.talosintelligence.com/2020/01/vivin-cryptomining-campaigns.html
https://threatpost.com/vivin-nets-thousands-cryptomining-malware/152110/
MOTS CLEFS : CRYPTOMINAGE, VIVIN, MONERO
[ARS TECHNICA] LES ROUTEURS TOMATO DANS LE VISEUR DU BOTNET MUHSTIK
Le botnet Muhstik a été décou- par Muhstik ciblant les routeurs In- tifiants de connexion par défaut
vert il y a environ 2 ans. Il cible les ternet fonctionnant avec Tomato, un «admin:admin» ou «root:admin»
serveurs Linux et d’une façon plus micrologiciel alternatif et très popu- pour l’administration à distance. Ce
large, les objets connectés (IoT). Il a laire pour les routeurs fonctionnant dernier est remplacé par un mot de
ainsi compromis ou tenté de com- avec des puces Broadcom. passe fort et l’administration à dis-
promettre des routeurs utilisant le tance est désactivée.
logiciel Open Source DD-WRT. Les exploits du botnet utilisent des
appareils déjà infectés pour re- Le canal de contrôle et de com-
Mardi, des chercheurs de Palo Alto chercher sur Internet les routeurs mande du botnet repose sur IRC.
Networks ont déclaré avoir récem- Tomato et, lorsqu’ils sont trouvés,
ment détecté une campagne opérée pour vérifier s’ils utilisent le iden-
SOURCES ET RÉFÉRENCES :
https://arstechnica.com/information-technology/2020/01/internet-routers-running-tomato-are-un-
der-attack-by-notorious-crime-gang/
MOTS CLEFS : BOTNET, IOT, MUHSTIK, TOMATO
328 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 24 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[BITDEFENDER] UNE MISE EN EXAMEN DANS UNE AFFAIRE DE SIM SWAPPING
Un jeune homme de 18 ans a été à tromper les services d’assistance passe utilisant les SMS sont envoyés
inculpé pour le vol de plus de des opérateurs de téléphonie mo- sur le téléphone des pirates.
50 millions de dollars de cryp- bile pour réaffecter, à un téléphone
tomonnaies dans le cadre d’une sous le contrôle des fraudeurs, le La fraude aurait permis le vol de 50
escroquerie de type SIM Swapping. numéro de téléphone de leurs vic- millions de dollars aux Etats-Unis et
times. 300 000 dollars au Canada.
Une attaque par SIM Swapping, ou
échange de SIM, est une attaque par Ainsi, les données 2FA ou les mes-
laquelle des fraudeurs parviennent sages de réinitialisation de mots de
SOURCES ET RÉFÉRENCES :
https://hotforsecurity.bitdefender.com/blog/teenager-charged-over-50-million-sim-swap-cryptocurren-
cy-theft-22158.html
MOTS CLEFS : SIM SWAPPING, CRYPTOMONNAIE, FRAUDE
[BLEEPING COMPUTER] 250 MILLIONS DE CONVERSATIONS EMPLOYÉS ET CLIENTS DE
MICROSOFT EXPOSÉES SUR INTERNET
A la suite d’une erreur de confi- Malgré l’anonymisation des le 5 décembre 2019 et Microsoft a
guration sur des instances messages, certains d’entre eux corrigé l’erreur le 31 décembre 2019.
ElasticSearch, les conversations contiennent des informations per-
entre les employés du centre de sonnelles ou permettant d’identifier
support de Microsoft et des clients un client.
de l’éditeur de Redmond ont été
exposées sur Internet. Ces données ont été découvertes
SOURCES ET RÉFÉRENCES :
https://www.bleepingcomputer.com/news/security/microsoft-exposes-250m-customer-support-re-
cords-on-leaky-servers/
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
MOTS CLEFS : DALATEAK, MICROSOFT
428 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 24 JANVIER 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Moving your security to the cloud? Cloud Act : entre mythes et réalités
Cloud security has been a hot topic in recent years. Le Cloud Act (Clarifying Lawful Overseas Use of Data)
Every indicator shows a stable growth for the next est ce qu’on appelle un « cavalier budgétaire » (dispo-
years, but can companies really move all their security sition d’une loi de finance étrangère au domaine de la
into the cloud? finance) introduit dans un amendement du projet de loi
de finances par le Président américain Donald Trump, le
Today’s world is the world of the cloud. According to 23 mars 2018. Le Cloud Act, a été adopté par le Congrès
Gartner, cloud-based security services are estimated to américain en l’absence de tout débat. Aucune étude
be worth $9bn by the year 2020. While there are some d’impact ou rapport n’a donc été rédigé en amont de
enterprises or divisions for whom cloud-based secu- l’adoption de cette loi fédérale (loi s’appliquant dans
rity isn’t on the priority list, the reality for the majority les 51 états des Etats-Unis). Seul le DoJ (Department
of businesses, especially rapidly growing ones, is that of Justice) a émis un white paper tendant à clarifier
cloud-based security is the only pathway that provides contenu du Cloud Act. Cette législation a pour objectif
cost efficient security. d’octroyer l’accès aux forces de l’ordre américaines
ainsi qu’aux gouvernements étrangers (sous certaines
—> Le billet complet conditions bien entendu) aux données de fournisseurs
de service Cloud (FSC) de droit américain stockées en
dehors des Etats-Unis.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
22/01/2020 - FL|INT.2020-016
sLoad malware gets a version 2 dubbed Bénéficier d’1 mois d’essai gratuit
Starslord
et sans engagement à notre offre FLINT :
21/01/2020 - FL|INT.2020-015
Report of Silence activity in Sub-Saharan Africa https://www.sekoia.fr/flint
20/01/2020 - FL|INT.2020-014 flint@sekoia.fr
Vulnerability in MS Internet Explorer exploited in
the wild (CVE-2020-0674)
528 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 24 JANVIER 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
