SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
33 0128 FÉVRIER
MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
OOPS THEY DID IT AGAIN
Depuis que la Géorgie a déclaré son indépendance la Russie a maintenant la pression cybernétique sur
vis-à-vis de l’Empire de Russie en 1918, la Russie la Géorgie comme l’attaque d’octobre 2019 récem-
n’a jamais gardé ses distances. Après avoir réus- ment attribuée à la Russie par le Royaume-Uni, les
si à replacer la Géorgie dans son giron au sein de Etats-Unis et l’Australie.
l’URSS, la Géorgie lui échappe de nouveau en 1991
et s’en suit la Première Guerre d’Ossétie du Sud. Le 28 octobre 2019, une cyber attaque coordonnée
Les aspirations géostratégiques de la Russie la a rendu des milliers de sites internet gouvernemen-
conduisent à mener des opérations d’ingérence et taux et privés indisponibles et interrompu des pro-
d’influence pour nourrir les sentiments pro-russes grammes télévisés. Mike Pompeo, Secrétaire d’Etat
en Géorgie. Le soutien apporté par la Russie aux aux Etats-Unis, a attribué publiquement cette at-
mouvements séparatistes dans les régions d’Ab- taque à la Russie, plus précisément au GRU, le ren-
khazie et d’Ossétie du Sud a cristallisé les tensions seignement militaire russe.
avec la Géorgie. Cette situation est non sans rap-
peler cellede l’Ukraine, également déstabilisée La dénonciation publique des agissements de la
par les ingérences et les atteintes répétitives à sa Russie intervient dans un contexte de préoccupation
souveraineté qui déstabilisent le pays et la région. des Etats-Unis vis-à-vis de leurs élections présiden-
tielles cette année. En effet, en plus des activités
Plus récemment, les tensions entre la Géorgie et la de propagande sur les réseaux sociaux, les Etats-
Russie sont arrivées à leur apogée au moment de Unis craignent des opérations d’ingérence cyber de
la Seconde Guerre d’Ossétie du Sud en 2008. Ces grande ampleur à l’instar des élections de 2016.
affrontements ont été accompagnés d’offensives
cyber russes coordonnées, faisant de ce conflit un Dans son discours, Mike Pompeo ne s’est pas
premier exemple majeur de guerre hybride. Depuis, contenté d’attribuer l’attaque à un pays. Il a préci-
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
33 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020
TLP WHITE
OOPS THEY DID IT AGAIN
sé que Sandworm, un threat actor sous le comman- Sources & références :
dement du GRU également connu sous le nom de
BlackEnergy, était à l’origine de l’attaque. Sandworm h t t p s : // t w i t t e r . c o m / S e c P o m p e o / s t a -
est notamment réputé pour avoir ciblé des centrales tus/1230482886975000576
électriques ukrainiennes en 2015 et 2016, entraînant
des coupures de courant au coeur de l’hiver. Faisant https://w w w.washingtonpost.com/national-secu-
des systèmes de contrôle industriels sa cible de pré- rity/2020/02/20/us-joins-others-accusing-russia-cy-
dilection, les activités de Sandworm montrent que ber-attack-republic-georgia/
ses motivations tournent autour de la déstabilisation.
https://www.bbc.com/news/technology-51576445
Même si l’impact de l’attaque contre la Géorgie était
limité, les Etats-Unis ont été rejoints par l’Australie, le https://www.ft.com/content/14377b84-53e3-11ea-
Royaume-Uni et la Géorgie pour attribuer publique- 90ad-25e377c0ee1f
ment l’offensive à la Russie. Compte-tenu des réper-
cussions diplomatiques et éventuelles représailles https://www.nytimes.com/2020/02/20/world/europe/
sur le plan cyber, cette attribution publique rappelle georgia-cyberattack-russia.html
que la protection des processus démocratiques de-
meure une inquiétude majeure aujourd’hui. h t t p s : // w w w . w i r e d . c o m / s t o r y / s a n d -
worm-kremlin-most-dangerous-hackers/
Mike Pompeo a déclaré dans son discours que l’at-
taque contre la Géorgie met en exergue la stratégie
russe qui se cache derrière ces incidents qui est de
diviser, créer un sentiment d’insécurité et d’affaiblir
les institutions démocratiques.
Les Etats-Unis n’ont pas précisé s’ils entendaient
renforcer leurs mesures dissuasives, comme les
sanctions économiques, à l’encontre de la Russie en
guise de réponse. Néanmoins, ils ont renouvelé leur
intention d’aider la Géorgie à se prémunir contre ces
attaques.
Tandis que la stratégie officielle de la Russie est de
montrer patte blanche devant ses confrères occi-
dentaux, la stratégie cyber offensive russe demeure
un secret de polichinelle. Les opérations cyber of-
fensives orchestrées par le Kremlin obéissent à un
agenda politique précis, confirmant que l’arme cy-
ber est devenue une arme stratégique vitale au gou-
vernement russe.
233 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[THE INTERCEPT] LES CYBERATTAQUES CONTRE LES CANDIDATS DÉMOCRATES LORS DES
ÉLECTIONS DE 2018 EN CALIFORNIE DUES À UN PARTISAN DE LA REPRÉSENTANTE HILL
En 2018, une série d’attaques par L’enquête du FBI révèle aujourd’hui lisées pour enregistrer le compte
déni de service affectait les sites de que le mari d’une des membres du AWS ayant servi à réaliser l’attaque.
plusieurs candidats démocrates comité de campagne de Katie Hill
californiens lors des élections de aurait mené ces attaques en se ser- Les interférences dans le processus
mi-mandat pour la chambre des vant de serveurs AWS. Le FBI a pu démocratiques ne sont pas toujours
représentants, à l’exception no- remonter la trace notamment grâce dues à des ingérences étrangères.
table de celui de Katie Hill. aux informations personnelles uti-
SOURCES ET RÉFÉRENCES :
https://theintercept.com/2020/02/21/fbi-arrests-hacker-linked-to-katie-hill-campaign/
https://assets.documentcloud.org/documents/6782920/USA-v-Dam.pdf
MOTS CLEFS : FBI, DDOS, ELECTIONS, CALIFORNIE
[ZDNET] UNE FAILLE DANS L’INTÉGRATION DE PAYPAL DANS GOOGLE PAY SE PAIE PAR
DES ACHATS FRAUDULEUX
Entre le 21 et le 25 février 2020, des gine de la fraude. Le bug a été via une transaction de paiement
consommateurs allemands ont vu découvert et corrigé par PayPal le sans contact. Cette carte bancaire
leur compte Paypal débité pour 25 février, mettant fin à la fraude, virtuelle pourrait ensuite être utilisée
effectuer des achats en ligne frau- qui aurait coûté quelques dizaines pour des achats à distance fraudu-
duleux dans des magasins Target de milliers d’euros. Un chercheur leux dans certains magasins. PayPal
américains. allemand avait déjà démontré la n’a pas donné d’information sur la
possibilité de voler le numéro de vulnérabilité qui a été exploitée.
Une erreur dans l’intégration entre carte bancaire virtuelle utilisé par
PayPal et Google Pay serait à l’ori- PayPal et lié au compte Google Pay
SOURCES ET RÉFÉRENCES :
https://www.journaldunet.com/economie/finance/1210386-google-pay-piratage-chez-paypal-a-
cause-d-une-mauvaise-integration/
https://twitter.com/iblueconnection/status/1231962017734516741
MOTS CLEFS : PAYPAL, GOOGLE PAY, FRAUDE EN LIGNE
333 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[KREBSONSECURITY] LE GROUPE OPÉRANT EMOTET AURAIT ACHETÉ UNE
VULNÉRABILITÉ 0-DAY POUR DES ÉQUIPEMENTS RÉSEAUX ZYXEL
Une vulnérabilité a été découverte vulnérabilité n’est, hélas, pas à malveillante utilisant cet exploit n’a
dans plusieurs produits NAS et mettre au crédit d’un quelconque encore été découverte.
FireWall créés par Zyxel, un équi- hacker éthique : l’exploit a été mis
pementier taïwanais. en vente mi-février sur un marché Zyxel a publié des correctifs pour les
noir au prix de 20 000 $, et selon produits vulnérables, à l’exception
Triviale à exploiter, elle permet à Hold Security, il aurait été acheté de ceux qui sont en fin de support.
un attaquant distant d’exécuter un par le groupe opérant Emotet afin
code malveillant sur l’équipement de lui ajouter ce vecteur d’infection.
vulnérable. La découverte de cette Cependant, aucune trace d’activité
SOURCES ET RÉFÉRENCES :
https://krebsonsecurity.com/2020/02/zyxel-0day-affects-its-firewall-products-too/
https://krebsonsecurity.com/2020/02/zyxel-fixes-0day-in-network-storage-devices/
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
MOTS CLEFS : ZYXEL, 0-DAY, EMOTET
[SECUREWORKS] FORELORD : UN MALWARE IRANIAN CIBLE LES GOUVERNEMENTS DU
MOYEN ORIENT
Un nouveau malware “ForeLord” a dans lequel se trouve un document ter des identifiants, de tester ces
été observé lors d’une campagne Excel malveillant. Les courriers vi- identifiants avec une liste de mot
d’attaque attribuée au groupe ira- saient des organisations en Turquie, de passe faible ainsi que la mise en
nien Cobalt Ulster (aussi connu en Jordanie, en Irak, ainsi que des place d’un tunnel SSL. Cette attaque
sous le nom de MuddyWater). organisations gouvernementales semble se placer dans la continuité
mondiales et des entités inconnues des opérations d’espionnage me-
La campagne se serait déroulée en Géorgie et en Azerbaïdjan. nées par l’Iran.
entre mi-2019 et mi-janvier 2020.
L’infection initiale s’effectue par un Le malware ForeLord contient divers
courrier contenant un fichier ZIP outils utilisés dans le but de collec-
SOURCES ET RÉFÉRENCES :
https://www.secureworks.com/blog/business-as-usual-for-iranian-operations-despite-increased-ten-
sions
MOTS CLEFS : IRAN, APT, ESPIONNAGE, MUDDYWATER
433 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Les 10 commandements de la Threat Intelligence Introduction à la Threat Intelligence — le rensei-
chez SEKOIA gnement sur les menaces
L’approche Threat Intel chez SEKOIA est régie par les La Threat Intelligence contribue à des finalités à la fois
meilleures pratiques en matière de renseignement. stratégique et très opérationnelle. Au niveau straté-
Nous avons aligné nos activités sur les 10 commande- gique, une bonne connaissance du paysage des cy-
ments suivants. bermenaces qui ciblent son organisation permet aux
responsables (de la direction générale au RSSI en
—> Le billet complet passant par le DSI et le Risk Manager ) de faire évo-
luer régulièrement leurs politiques de cybersécurité
et de mieux prioriser leurs budgets et plans d’actions.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
27/02/2020 - FL|INT.2020-041
Remote code execution on Microsoft Exchange Bénéficier d’1 mois d’essai gratuit
Server
et sans engagement à notre offre FLINT :
26/02/2020 - FL|INT.2020-040
DoppelPaymer operators launch a website to https://www.sekoia.fr/flint
publish stolen data
flint@sekoia.fr
25/02/2020 - FL|INT.2019-110
UPDATE#1 (25/02/2020) - RACCOON stealer
533 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base & feed de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE CENTER
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
