SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
26 01 10 JANVIER
MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
ETATS-UNIS - IRAN :
UNE CYBERGUERRE AURA
T-ELLE LIEU ?
vengeance à la hauteur de l’affront subi. Ce à quoi le
président répondait par une promesse de destruc-
Si vous lisez ces lignes, c’est que la troisième tion d’ampleur encore jamais vue, incluant des sites
guerre mondiale n’a pas - encore - eu lieu. historiques et culturels iraniens dans la listes des 52
cibles sélectionnées par l’armée américaine.
Dans la nuit du jeudi 2 au vendredi 3 janvier 2020,
une attaque de drones lancée sur ordre du président Dans ce jeu à qui aura la plus grosse riposte, le volet
américain Donald Trump a visé un convoi dans le- Cyber n’a pas été explicitement mentionné mais il a
quel se trouvaient Abou Mahdi Al-Mohandes, le nu- fait l’objet de très nombreux tweets et d’articles.
méro deux de la coalition Hachd Al-Chaabi et le gé-
néral iranien Ghassem Soleimani, commandant de la Au lendemain de la riposte iranienne contre les po-
Force Al-Qods du corps des Gardiens de la révolu- sitions américaines en Irak, le général iranien Amir
tion islamique. Ali Hajizadeh commandant les forces aérospatiales
du corps des Gardiens de la révolution islamique a
Cette attaque est survenue après la mort d’un affirmé que les tirs de missiles iraniens avaient été
sous-traitant américain tué lors d’une attaque contre accompagnés de cyberattaques contre les moyens
la base K1 à Kirkouk (Irak) attribuée au groupe armé de surveillance et de détection électroniques amé-
irakien chiite Kataeb Hezbollah et membre de la ricaines en Irak.
coalition Hachd Al-Chaabi.
A défaut d’avoir pu intégrer le club - pas suffisam-
Après que le président D. Trump eut tweeté un dra- ment - très fermé des puissances nucléaires, l’Iran
peau américain pour saluer le succès de l’opération est connu pour posséder et user de moyens numé-
contre le chef de la force Al-Qods, le président ira- riques offensifs avancés à des fins intérieures - lutte
nien Hassan Rohani promettait une riposte et une contre les opposants politiques, en Iran ou exilés à
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
26 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 10 JANVIER 2020
TLP WHITE
ETATS-UNIS - IRAN : UNE CYBERGUERRE AURA T-ELLE LIEU ?
l’étranger - et extérieures - espionnage et sabotage. médiaires comme les milices pro-iraniennes présentes
dans la région au Liban, au Yémen ou en Irak. L’Iran a
Les attaques en déni de service lancées contre des souvent eu recours par le passé à des groupes terro-
banques et des établissements financiers améri- ristes pour défendre ses intérêts. Il semble peu probable
cains par le mystérieux groupe d’hacktivistes Izz qu’elles s’y substituent, cependant. Dans la lutte contre
ad-Din al Qassam Cyber Fighters lors de l’opération le programme nucléaire iranien, Stuxnet a apporté une
Ababil en 2012 et 2013 ont été attribuées à Téhéran. aide efficace aux efforts des Etats-Unis et de ses alliés,
La composition exacte du groupe et son affiliation tout comme l’ont été des assassinats ciblés de scienti-
avec le gouvernement iranien n’ont jamais pu être fiques et d’experts nucléaires iraniens (2010 et 2011).
formellement établies. Les attaques ont été pour la Dès le 3 janvier, le CERT gouvernemental saoudien avait
plupart menées à l’aide d’outils publiquement dis- tweeté un avertissement destiné aux entreprises du
ponibles à l’époque. Certains experts ont aussi émis royaume.
l’hypothèse qu’elles aient été lancées par un groupe
de cybercriminels russophones sous camouflage Le U.S. Department of Homeland Security publia le 6
iranien. L’attaque contre TV5 Monde avait elle aussi janvier un bulletin de mise en garde contre de possibles
été annoncée comme l’oeuvre d’un cyber Caliphate cyber-actions iraniennes. Le bulletin fait un récapitula-
affilié au groupe terroriste Etat Islamique avant qu’il tif des capacités iraniennes en la matière, présente un
fût établi qu’elle était plus probablement celle d’un historique des principales campagnes attribuées aux
mode opératoire russe. groupes iraniens, les modes opératoires de ces derniers
et édicte des recommandations et des mesures à appli-
L’attaque Shamoon, en 2012, qui cibla les sociétés quer ou renforcer.
saoudienne Aramco et qatarie RasGas, est la pre-
mière cyberattaque de grande envergure attribuée Aux yeux de l’administration américaine, les infrastruc-
à l’Iran, qui aurait agi sous le paravent du groupe tures critiques - centrales électriques, distribution et
Cutting Sword of Justice. Shamoon est un code mal- gestion d’eau potable, transports - forment des cibles
veillant destiné à saboter les machines qu’il com- privilégiées. Les attaques menées contre des fournis-
promet en wipant leurs disques. 30.000 ordinateurs seurs d’électricité en Ukraine, menées par des groupes
furent ainsi mis hors service chez Aramco le 15 août russophones, sont redoutées, tout comme le sont de
2012, soit plus de la moitié du parc IT de la société. potentiels sabotages de barrages hydrauliques. Les au-
Les activités de la société pétrolière furent sérieu- torités américaines rappellent ainsi qu’un employé ira-
sement impactées par ces destructions et Aramco nien a été inculpé en mars 2016 pour avoir eu accès en
mit plusieurs mois à recouvrer ses pleines capacités 2013 aux systèmes SCADA d’un barrage de l’Etat de New
informatiques. York. Cet employé est suspecté d’être en lien avec les
En 2016 et en 2018, de nouvelles campagnes Sha- Gardiens de la révolution islamique.
moon ont ciblé des entreprises du secteur du trans-
port, toujours en Arabie saoudite. En novembre 2018, deux citoyens iraniens ont aussi été
inculpés par le ministère de la Justice américain pour
Au fil des ans, l’Iran s’est donc doté de capacités cy- avoir rançonné des hôpitaux, des municipalités et des
ber non négligeables. L’utilisation de celles-ci dans services publics à l’aide du rançongiciel SamSam.
le cadre d’une riposte iranienne à l’attaque du 3 jan-
vier est donc une hypothèse qui ne peut être écartée Enfin, l’Iran se serait également essayé à la désinforma-
d’un simple revers de la main, même s’il était plus tion via la création de faux comptes Facebook et Twitter.
vraisemblable que la réponse du régime de Téhéran Facebook a annoncé fin 2018 avoir suspendu plusieurs
à l’opération militaire américaine soit de même na- milliers de profils douteux utilisés à des fins de manipu-
ture. Ce qui, d’ailleurs, se produisit le 8 janvier quand lation et d’infoxication.
l’Iran frappa deux bases militaires américaines en
Irak. Il n’est donc pas impossible que les différents groupes
iraniens préparent des opérations de représailles dans
Des actions Cyber peuvent certes accompagner des les prochains jours ou les prochains mois, la vengeance
actions plus classiques, menées par des forces ar- étant un plat qui se mange froid.
mées gouvernementales ou par des groupes inter-
226 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 10 JANVIER 2020
TLP WHITE
ETATS-UNIS - IRAN : UNE CYBERGUERRE AURA T-ELLE LIEU ?
Cela dit, du point de vue de l’attaquant comme de Sources et références :
la victime se posera toujours l’épineuse question de
l’attribution d’une action cyber. Il est aussi facile pour https://www.bleepingcomputer.com/news/security/
l’un de s’approprier la paternité d’une attaque réus- us-government-issues-warning-about-possible-ira-
sie conduite par un autre, tout comme il est aisé pour nian-cyberattacks/
l’autre de nier tout impact ou tout dommage effectif.
https://www.vice.com/en_us/article/bvgxkd/4-times-
En octobre 2019, le U.K. National Cyber Security iran-has-hacked-the-us-before-and-could-do-it-again
Centre (NCSC) et la U.S. National Security Agency https://www.recordedfuture.com/iranian-cyber-res-
(NSA) ont publié un document qui affirmait que les ponse/
infrastructures cyber de groupes iraniens avaient été
pénétrées et utilisées à leur insu par le groupe Turla, h t t p s : // w w w . w a s h i n g t o n p o s t . c o m / p o l i -
qui serait affilié au F.S.B., un des principaux services tics/2020/01/06/iran-can-use-cyberattacks-against-
de renseignement russe. De quoi brouiller encore us-thats-not-nearly-bad-it-sounds/
plus les pistes et renforcer le brouillard de la cyber-
guerre. https://www.cyberscoop.com/us-iran-soleimani-cybe-
rattacks/
De même, des experts en cybersécurité insistent
sur le risque de dommages Cyber collatéraux qui https://www.zdnet.com/article/new-iranian-data-wi-
peuvent toucher des entreprises n’ayant pourtant per-malware-hits-bapco-bahrains-national-oil-com-
pas d’intérêts particuliers dans la région, et qui pour- pany/
raient être au conflit Iran/Etats-Unis ce que Maersk
fut au conflit Ukraine/Russie.
L’Iran semblait avoir un peu délaissé les actions des-
tructives de type Shamoon pour se recentrer sur le
cyberespionnage contre des cibles domestiques
traditionnelles et ses victimes habituelles : entre-
prises étrangères des secteurs stratégiques (dé-
fense, énergie, etc), sans pour autant oublier les pays
de la région comme l’Arabie saoudite ou Israël.
Mais le 8 janvier, la Saudi National Cybersecurity Au-
thority a annoncé avoir découvert un code malveil-
lant baptisé Dustman, contenant des capacités de
wiping. Ce malware aurait été découvert autour du
29 décembre 2019 et présenterait de nombreuses
similarités avec ZeroCleare, un autre wiper analysé
par IBM en décembre 2019, toujours, et attribué à
un groupe iranien. Dustman aurait été déployé dans
l’infrastructure ciblée après la compromission d’un
point de terminaison VPN. Cette compromission au-
rait eu lieu quelques semaines avant l’activation du
wiper. Cette dernière aurait été déclenchée dans la
précipitation et il n’est pas impossible qu’elle soit
due à la publication du rapport d’IBM Security.
326 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 10 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[ZDNET] EXPLOITATION ACTIVE DE SERVEURS CITRIX VULNÉRABLES
Des attaquants scannent Internet Divulguée en décembre, la vulnéra- permet de parcourir les répertoires
pour identifier des serveurs Citrix bilité CVE-2019-19781, affecte l’Ap- d’un serveur vulnérable et une exé-
vulnérables à une faille de sécuri- plication Delivery Controller (ADC) cution de code à distance (Remote
té critique dans les produits ADC et Citrix. Signalée à l’origine par Mikhail Code Execution). 80.000 entreprises
Gateway. Klyuchnikov de Positive Techno- seraient potentiellement exposées à
logies, cette vulnérabilité critique cette faille.
SOURCES ET RÉFÉRENCES :
https://www.zdnet.com/article/hackers-probe-unsecured-citrix-servers-for-netscaler-vulnerability/
https://support.citrix.com/article/CTX267679
MOTS CLEFS : VULNÉRABILITÉ, CITRIX, RCE
[KASPERSKY] LES ACTEURS DE LA MENACE NORD-CORÉENS DEVIENNENT PLUS PRU-
DENTS DANS LEURS ATTAQUES CIBLÉES
Le groupe nord-coréen Lazarus Les codes malveillants utilisés par miser les risques de détection.
s’appuie sur des fausses sociétés le groupe sont aussi de plus en plus
pour mener ces attaques contre furtifs et développés pour ne s’exé-
des plateformes d’échange de cuter que sur des systèmes et des
crypto monnaie, selon la société cibles très spécifiques, afin de mini-
Kaspersky.
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/kaspersky-lazarus-group-north-korean-hackers-targeted-financial/
https://securelist.com/operation-applejeus-sequel/95596/
MOTS CLEFS : LAZARUS, APPLEJEUS, CORÉE DU NORD
[BLEEPING COMPUTER] TRAVELEX PAIERA, D’UNE FAÇON OU D’UNE AUTRE
La société Travelex est une des données volées préalablement à millions.
dernières victimes connues du ran- Travelex si cette dernière persiste à
çongiciel Sodinokibi. ne pas payer la rançon demandée. Travelex affirme cependant n’avoir
trouvé aucune preuve que des don-
Les cybercriminels opérant ce ran- Celle-ci, initialement fixée à 3 mil- nées ont été volées et se refuse à
somware menacent de publier les lions de dollars, est passée à 6 verser les sommes demandées.
SOURCES ET RÉFÉRENCES :
https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-says-travelex-will-pay-
one-way-or-another/
MOTS CLEFS : TRAVELEX, RANSOMWARE, SODINOKIBI
426 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 10 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[CYBERSCOOP] UN GROUPE D’ATTAQUANTS CHINOIS SE CACHE DERRIÈRE DES SOCIÉTÉS
PARAVENT.
Selon le groupe Intrusion Truth, de Intrusion Truth, qui s’était déjà illus- Une dizaine d’entreprises fantômes
fausses sociétés domiciliées dans tré dans le démasquage de hackers ont été identifiées à ce jour.
la province chinoise du Hainan Chinois en 2017, se sont basés
serviraient de vitrines légales à un notamment sur la ressemblance
groupe d’acteurs chinois. d’annonces de recrutement d’ex-
perts en cybersécurité pour arriver à
Les membres du groupe anonyme cette conclusion.
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/intrusion-truth-chinese-hacking-front-companies-hainan-xiandun/
https://intrusiontruth.wordpress.com/2020/01/09/what-is-the-hainan-xiandun-technology-develop-
ment-company/
MOTS CLEFS : CHINE, APT, SOCIÉTÉS FICTIVES
[ZDNET] SAIGON, LE NOUVEAU URSNIF
En septembre 2019, la société Cette version serait basée sur le porte dérobée qu’un malware ban-
FireEye a identifié une nouvelle code d’Ursnif v3. Cette variante se caire.
variante d’Ursnif appelée “SaiGon distingue du code d’origine en étant
version 3.50 rev 132”. plus générique et serait plus une
SOURCES ET RÉFÉRENCES :
https://www.fireeye.com/blog/threat-research/2020/01/saigon-mysterious-ursnif-fork.html
MOTS CLEFS : BANKER, URSNIF, SAIGON, BACKDOOR
526 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 10 JANVIER 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Introducing FastIR Artifacts Cloud Act : entre mythes et réalités
FastIR Artifacts is focused on artifact collection, there Le Cloud Act (Clarifying Lawful Overseas Use of Data)
is no parsing or analysis of the collected artifacts. It is est ce qu’on appelle un « cavalier budgétaire » (dispo-
cross-platform: there is one code base that can run on sition d’une loi de finance étrangère au domaine de la
GNU/Linux, Windows or Mac OS X. finance) introduit dans un amendement du projet de loi
de finances par le Président américain Donald Trump, le
It leverages the Digital Forensics Artifact Repository 23 mars 2018. Le Cloud Act, a été adopté par le Congrès
for artifact definitions (the Digital Forensics Artifact américain en l’absence de tout débat. Aucune étude
Repository is a free, community-sourced, machine-rea- d’impact ou rapport n’a donc été rédigé en amont de
dable knowledge base of digital forensic artifacts). It l’adoption de cette loi fédérale (loi s’appliquant dans
also leverages the Sleuth Kit library if the file system is les 51 états des Etats-Unis). Seul le DoJ (Department
supported. of Justice) a émis un white paper tendant à clarifier
contenu du Cloud Act. Cette législation a pour objectif
—> Le billet complet d’octroyer l’accès aux forces de l’ordre américaines
ainsi qu’aux gouvernements étrangers (sous certaines
conditions bien entendu) aux données de fournisseurs
de service Cloud (FSC) de droit américain stockées en
dehors des Etats-Unis.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
09/01/20120 - FL|INT.008
Bluenoroff: the return of the AppleJeus cam- Bénéficier d’1 mois d’essai gratuit
paign
et sans engagement à notre offre FLINT :
08/01/2020 - FL|INT.007
SNAKE: new ransomware targeting business https://www.sekoia.fr/flint
networks
flint@sekoia.fr
07/01/2019 - FL|INT.006
ORANGEWORM group targets healthcare supply
chain
626 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 10 JANVIER 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
7Vous pouvez aussi lire
