SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
21 22
01 NOVEMBRE
MARS 2019 2019
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
QUI BROUILLE L’ÉCOUTE
DES GPS À SHANGHAI ?
du porte-conteneurs avant de la perdre, puis de l’af-
ficher à nouveau alors qu’une inspection à la jumelle
Le MV Manukai est un porte-conteneurs de 38 000 faite par le capitaine du Manukai démontra que ce
tonnes, long de 217 mètres (à peine plus grand bateau était à quai et n’en avait pas bougé. Les deux
que la tour Montparnasse) battant pavillon amé- systèmes GPS du navire tombèrent en panne simul-
ricain. En juillet dernier, alors qu’il entamait ses tanément, ainsi que l’équipement de secours.
manoeuvres d’amarrage dans le port de Shanghai,
son système d’identification automatique (Au- Au même moment, toujours à Shanghai, un loueur
tomatic Identification System ou AIS) fut victime de bicyclettes équipées de GPS constate également
d’une série d’anomalies inquiétantes restées sans que ses vélos disparaissent et réapparaissent de fa-
conséquences majeures. En plus d’une perturba- çon aléatoire sur l’écran de l’ordinateur de gestion
tion de la navigation et des opérations de débar- de sa flotte de cycles.
quement de marchandises, de nombreux navires
ont connu des amarrages mouvementés. Une enquête à partir des données collectées du-
rant ces événements montra qu’il ne s’agissait pas
L’AIS est un équipement qui permet d’échanger par d’un incident isolé mais qu’une large zone du port de
radio (VHF) des messages de positionnement et Shanghai avait été affectée par ce qui ressemble à
d’identification entre navires. La position des navires s’y méprendre à un brouillage du signal GPS.
est obtenue grâce au GPS. L’AIS a pour fonction,
entre autres, de réduire les risques de collision et la Si les technologies et les matériels de brouillage
quasi totalité des navires en sont équipés. GPS ne sont pas une nouveauté, les cas d’utilisation
recensés étaient souvent liés à la mise en oeuvre de
Au moment de l’incident, l’AIS du Manukai signala la mesures de protection, parfois un peu trop active,
position d’un navire dont la route devait croiser celle par des services gouvernementaux. La Russie est
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
121 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 22 NOVEMBRE 2019
TLP WHITE
QUI BROUILLE L’ÉCOUTE DES GPS À SHANGHAI ?
fortement suspectée de recourir à cette technique usurpation AIS (AIS spoofing) qui a eu pour conséquence
pour protéger le Kremlin, lors des déplacements d’afficher des positions fictives de navires. Ce type
du président Vladimir Poutine, en Crimée ou sur le d’usurpation avait déjà été observée pendant des opéra-
théâtre d’opérations syrien. tions attribuées aux forces russes mais dans ces cas, une
même et seule position fictive était affectée aux bateaux
La disponibilité de matériels radios et GPS à moindre concernés. A Shanghai, 300 bâtiments, mais aussi des
coût, ainsi que de solutions logicielles y compris dis- cyclistes et de nombreux autres objets géolocalisés, ont
ponibles en Open Source, ouvre cependant la voie à vu leur position renseignée de manière aléatoire jusqu’à
une “démocratisation” des moyens d’interception et se trouver localisés… en ville, formant un cercle !
de manipulation du signal GPS. Lors de la conférence
hack.lu en octobre 2018, Stephan Gerling avait mis Une analyse rétrospective à partir de données anonymi-
en évidence les failles exploitables des environne- sées de géolocalisation collectées à Shanghai, notam-
ments marétiques, AIS et GPS inclus. Les yachts, ain- ment par la start-up Stravia, a mis en évidence que des
si, sont équipés de très nombreux équipements qui attaques similaires - brouillage et AIS spoofing - s’étaient
en font des porte-IoT flottants, exposés aux mêmes déjà produites dans les mois précédents l’incident de
menaces que les IoT domestiques : mots de passe juillet. Les bâtiments de la police fluviale de Shanghai
par défaut, sécurité absente ou insuffisante, etc. Le seraient la cible de plusieurs attaques par semaine, pro-
cas du Manukai indique qu’en matière de risque cy- bablement lancées par les trafiquants de sable. L’identi-
bermarétique, ce n’est pas la taille qui compte et que té (AIS) de certains cargos aurait aussi été utilisée pour
les vulnérabilités qui affectent des petits bateaux “masquer” l’identité réelle de bateaux contenant le sable
peuvent aussi affecter les gros. volé dans les eaux du port. Un peu comme un fraudeur
utilise une plaque minéralogique dupliquée pour ne pas
Sur le plan économique, une étude de 2017 réalisée devoir payer ses amendes de stationnement. Sauf que
à la demande du gouvernement britannique estimait dans le cas du trafic illégal de sable, les montants en jeu
à 1,1 milliard de livres Sterling l’impact de l’indispo- se chiffrent en dizaines ou en centaines de millions de
nibilité du signal GPS pendant 5 jours. En plus de dollars. De quoi motiver l’acquisition par les trafiquants
la navigation, cela impacterait le débarquement et de moyens modernes pour opérer en paix.
l’embarquement du chargement des porte-conte-
neurs, très dépendants eux aussi du positionnement Cette attaque pourrait être un jour recyclée pour cou-
GPS. NotPetya, qui a touché Maersk et lui a coûté la vrir d’autres activités illicites comme le transport mari-
bagatelle de 200 à 300 millions de dollars, peut ser- time de marchandises vers ou depuis des pays frappés
vir d’exemple en la matière, Maersk ne représentant d’embargo (Iran, Corée du Nord). Usurper l’identité d’un
“que” 20% du marché du transport maritime. navire serait moins voyant que couper les transpondeurs
AIS qui ne rendent pas un bâtiment invisible aux radars.
Les responsables de l’incident - ou de l’attaque s’il La Maison blanche avait averti en octobre des armateurs
devait s’avérer qu’il était motivé par une volonté de chinois des risques qu’ils prenaient à couper les AIS de
nuire - de Shanghai de juillet 2019 n’ont pas été for- leur flotte pour continuer à transporter du pétrole ira-
mellement identifiés. Il pourrait s’agir du gouverne- nien. Des ONG avaient également haussé le t(h)on contre
ment chinois, qui dispose assurément des moyens ces pratiques dans le cadre de leur lutte contre la pêche
techniques pour conduire ce type d’opérations mais illégale.
dont la motivation reste obscure : quel intérêt pour
les autorités chinoises de susciter des doutes sur la Il faudra peut-être envisager de renforcer le niveau de
sécurité d’un port aussi stratégique que Shanghai ? protection des équipements de positionnement si on
Une autre hypothèse pointe la mafia chinoise et ses veut continuer à naviguer en père peinard sur la grande-
opérations d’extraction illégale de sable dans la baie mare des canards.
de Shanghai et dans le fleuve Yangzi Jiang. Le re-
cours à des brouilleurs GPS interdit l’interception par
les autorités chinoises des bateaux des trafiquants. Sources et références :
https://www.technologyreview.com/s/614689/ghost-ships-crop-circles-and-
Élément plus inquiétant dans l’incident de Shan- soft-gold-a-gps-mystery-in-shanghai/
ghai : le brouillage du signal GPS a été couplé à une https://boingboing.net/2019/11/19/gps-spoofers-r-us.html
221 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 22 NOVEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[TREND MICRO] UNE BACKDOOR DE LAZARUS CIBLE LES UTILISATEURS
Trend Micro a analysé une variante macros pour installer une version pour télécharger un fichier pour
de la porte dérobée Backdoor.Ma- pour Mac. Mac, cette nouvelle variante utilise
cOS.NUKESPED.A et l’a attribuée un document leurre pour masquer
au groupe d’acteurs Lazarus. Ce Contrairement aux méthodes utili- l’exécution de la charge malveil-
malware est installé par une feuille sées précédemment par le groupe lante.
Excel malveillante qui utilise des Lazarus, qui utilisaient des macros
SOURCES ET RÉFÉRENCES :
https://blog.trendmicro.com/trendlabs-security-intelligence/mac-backdoor-linked-to-lazarus-targets-
korean-users/
MOTS CLEFS : LAZARUS, MAC, BACKDOOR
[ZDNET] LE SITE DE MONERO COMPROMIS PAR UN MALWARE QUI SIPHONNE DES FONDS
Le site officiel de la cryptomon- ne permet de déterminer si le binaire Monero affirme avoir remédié à
naie Monero a été compromis Windows officiel a été remplacé. l’incident mais au moins un utilisa-
pour remplacer le client Monero teur de la plateforme aurait perdu
Linux par un fichier malveillant La compromission a été de courte ses fonds. Le fichier malveillant est
conçu pour dérober le contenu des durée, de 2h30 du matin (UTC) à uniquement conçu pour dérober la
portes-monnaies des utilisateurs. 4h30 de l’après-midi (UTC) le 18 no- cryptomonnaie Monero, il ne peut
vembre dernier. Un utilisateur est à dérober aucunes autres données
Une variante Windows a été dé- l’origine de cette détection et Mone- clients, ni installer un autre pro-
couverte sur le serveur contrôlé par ro a reconnu l’incident le lendemain. gramme malveillant.
l’attaquant mais aucune information
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/official-monero-website-compromised-with-malware-that-steals-funds/
https://cyware.com/news/monero-site-hack-how-hackers-distributed-cryptocurrency-stea-
ling-malware-e3366e2b
MOTS CLEFS : MONERO, CRYPTOMONNAIE
[THREATPOST] COMPROMISSION DE MACY’S PAR MAGECART
Le site Web de la chaîne de ma- les données personnelles et les in- D’après Macy’s, seul un petit nombre
gasins américaine Macy’s a été formations de paiement des clients de clients ont été victimes de cette
victime d’une compromission le 7 de Macy’s. Les pages de checkout et fuite de données. Ils ont été contac-
octobre, découverte le 15. du panier ont ainsi été compromises, tés et dédommagés et le magasin
ce qui a permis aux fraudeurs de vo- s’est engagé à relever le niveau de
Un script malveillant a été injecté ler les informations au moment des sécurité de son site.
sur le site de Macy’s pour collecter opérations de paiement en ligne.
SOURCES ET RÉFÉRENCES :
https://threatpost.com/macys-data-breach-linked-to-magecart/150393/
https://www.bleepingcomputer.com/news/security/macys-customer-pay-
ment-info-stolen-in-magecart-data-breach/
MOTS CLEFS : MACY’S, MAGECART, WEB SKIMMER
321 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 22 NOVEMBRE 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[DEFENSENEWS] LE MONTÉNÉGRO ET LES ETATS-UNIS SE PRÉPARENT À DES CYBERAT-
TAQUES AUX ÉLECTIONS DE 2020
Des experts en cybersécurité du et une tentative de coup d’Etat en La collaboration entre le Monté-
Monténégro et des Etats-Unis 2016, orchestrées par le Kremlin, qui négro et les Etats-Unis souligne la
se sont rencontrés en octobre et tente depuis plusieurs années de place que la lutte contre la désin-
continuent de collaborer pour anti- réinsérer ce pays des Balkans dans formation et l’ingérence des nations
ciper d’éventuelles cyberattaques sa zone d’influence. Cependant, le étrangères a pris dans la sauvegarde
contre leurs élections respectives Monténégro lui a échappé en in- des processus démocratiques.
en 2020. tégrant l’OTAN en 2017 et craint de
nouvelles cyberattaques et cam-
Le Monténégro a essuyé à plu- pagnes de désinformation à la veille
sieurs reprises des cyberattaques de ses élections parlementaires.
SOURCES ET RÉFÉRENCES :
https://www.defensenews.com/international/2019/11/20/us-montenegro-plot-cyber-warfare-ahead-of-
2020-elections/
MOTS CLEFS : MONTÉNÉGRO, ÉTATS-UNIS, ÉLECTIONS, INGÉRENCE
[ZDNET] 400.000 COMPTES WHATSAPP BRÉSILIENS SUSPENDUS
WhatsApp a annoncé avoir automatique de comptes WhatsApp par WhatsApp d’avoir recouru à ces
suspendu 400.000 comptes d’uti- et l’utilisation de robots pour diffuser techniques de propagation de ru-
lisateurs brésiliens pour violation des messages en masse à travers la meurs et de fausses nouvelles. Elles
des conditions d’utilisation de la messagerie instantanée. ressemblent par certains aspects
messagerie instantanée. Les fer- à des techniques utilisées durant
metures ont été faites entre août et La messagerie WhatsApp est très la campagne présidentielle amé-
octobre 2018, c’est-à-dire pendant populaire au Brésil : on estime que ricaine de 2016 et Steve Bannon a
les élections présidentielles brési- 40 à 50% des Brésiliens ne s’infor- conseillé la famille Bolsonaro pen-
liennes. ment que par ce biais. dant la campagne de 2018. Mais cela
n’est peut-être qu’une coïncidence.
Les faits qui ont entraîné ces sus- Aucun parti brésilien ni aucun can-
pensions sont liés à la création didat n’a été explicitement accusé
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/whatsapp-banned-nearly-half-a-million-accounts-during-brazilian-elec-
tions/
MOTS CLEFS : BRÉSIL, WHATSAPP, DÉSINFORMATION
421 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 22 NOVEMBRE 2019
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Reduce cyber-risks through automation Threat Intel 101 — Le cycle du renseignement
appliqué à la (Cyber) Threat Intelligence
According to the Accenture 2019 Cost of Cybercrime
Study, released on March 6 2019, on an average the ex- Sans surprise, ce cycle du renseignement s’adapte très
pense of malware attacks for companies was $2.6 mil- facilement à notre (Cyber) Threat Intelligence — rensei-
lion, an 11% year-over-year jump. Accenture also noticed gnement sur les (cyber)menaces. C’est un processus
a big rise in the cost of malicious insider-related cybe- continu et qui peut se répéter indéfiniment. C’est égale-
rattacks, up 15% to $1.6 million on average per company. ment avant tout une approche qui doit guider le travail
While the prices are increasing, des analystes et surtout des décideurs qui jouent un
rôle primordial dans les premières et dernières phases
Accenture observed that companies are mostly not de- de ce cycle du renseignement.
ploying the right kinds of technology to help decrease
cybercrime costs. According to the study, only 28% of —> Le billet complet
companies are using automation and said that automa-
tion in SOC is helping organizations to keep up with cy-
bersecurity threats. Let’s take a look at how automation
can reduce cybersecurity risks.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
21/11/2019 - FL|INT.126
Official Monero website was compromised and Bénéficier d’1 mois d’essai gratuit
delivered malware that steals funds
et sans engagement à notre offre FLINT :
20/11/2019 - FL|INT.125
Critical Flaws in Oracle E-Business Suite (EBS) https://www.sekoia.fr/flint
19/11/2019 - FL|INT.124 flint@sekoia.fr
Multiple campaigns against German, Italian, and
US organizations linked to TA2101 threat actor
521 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 22 NOVEMBRE 2019
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
