SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
33 0128 FÉVRIER MARS 2019 2020 TLP WHITE SEKOIA THREAT INTELLIGENCE WEEKLY REPORT TLP WHITE OOPS THEY DID IT AGAIN Depuis que la Géorgie a déclaré son indépendance la Russie a maintenant la pression cybernétique sur vis-à-vis de l’Empire de Russie en 1918, la Russie la Géorgie comme l’attaque d’octobre 2019 récem- n’a jamais gardé ses distances. Après avoir réus- ment attribuée à la Russie par le Royaume-Uni, les si à replacer la Géorgie dans son giron au sein de Etats-Unis et l’Australie. l’URSS, la Géorgie lui échappe de nouveau en 1991 et s’en suit la Première Guerre d’Ossétie du Sud. Le 28 octobre 2019, une cyber attaque coordonnée Les aspirations géostratégiques de la Russie la a rendu des milliers de sites internet gouvernemen- conduisent à mener des opérations d’ingérence et taux et privés indisponibles et interrompu des pro- d’influence pour nourrir les sentiments pro-russes grammes télévisés. Mike Pompeo, Secrétaire d’Etat en Géorgie. Le soutien apporté par la Russie aux aux Etats-Unis, a attribué publiquement cette at- mouvements séparatistes dans les régions d’Ab- taque à la Russie, plus précisément au GRU, le ren- khazie et d’Ossétie du Sud a cristallisé les tensions seignement militaire russe. avec la Géorgie. Cette situation est non sans rap- peler cellede l’Ukraine, également déstabilisée La dénonciation publique des agissements de la par les ingérences et les atteintes répétitives à sa Russie intervient dans un contexte de préoccupation souveraineté qui déstabilisent le pays et la région. des Etats-Unis vis-à-vis de leurs élections présiden- tielles cette année. En effet, en plus des activités Plus récemment, les tensions entre la Géorgie et la de propagande sur les réseaux sociaux, les Etats- Russie sont arrivées à leur apogée au moment de Unis craignent des opérations d’ingérence cyber de la Seconde Guerre d’Ossétie du Sud en 2008. Ces grande ampleur à l’instar des élections de 2016. affrontements ont été accompagnés d’offensives cyber russes coordonnées, faisant de ce conflit un Dans son discours, Mike Pompeo ne s’est pas premier exemple majeur de guerre hybride. Depuis, contenté d’attribuer l’attaque à un pays. Il a préci- Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr que géopolitiques. Abonnez-vous pour le recevoir automatiquement par e-mail. 1
33 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020 TLP WHITE OOPS THEY DID IT AGAIN sé que Sandworm, un threat actor sous le comman- Sources & références : dement du GRU également connu sous le nom de BlackEnergy, était à l’origine de l’attaque. Sandworm h t t p s : // t w i t t e r . c o m / S e c P o m p e o / s t a - est notamment réputé pour avoir ciblé des centrales tus/1230482886975000576 électriques ukrainiennes en 2015 et 2016, entraînant des coupures de courant au coeur de l’hiver. Faisant https://w w w.washingtonpost.com/national-secu- des systèmes de contrôle industriels sa cible de pré- rity/2020/02/20/us-joins-others-accusing-russia-cy- dilection, les activités de Sandworm montrent que ber-attack-republic-georgia/ ses motivations tournent autour de la déstabilisation. https://www.bbc.com/news/technology-51576445 Même si l’impact de l’attaque contre la Géorgie était limité, les Etats-Unis ont été rejoints par l’Australie, le https://www.ft.com/content/14377b84-53e3-11ea- Royaume-Uni et la Géorgie pour attribuer publique- 90ad-25e377c0ee1f ment l’offensive à la Russie. Compte-tenu des réper- cussions diplomatiques et éventuelles représailles https://www.nytimes.com/2020/02/20/world/europe/ sur le plan cyber, cette attribution publique rappelle georgia-cyberattack-russia.html que la protection des processus démocratiques de- meure une inquiétude majeure aujourd’hui. h t t p s : // w w w . w i r e d . c o m / s t o r y / s a n d - worm-kremlin-most-dangerous-hackers/ Mike Pompeo a déclaré dans son discours que l’at- taque contre la Géorgie met en exergue la stratégie russe qui se cache derrière ces incidents qui est de diviser, créer un sentiment d’insécurité et d’affaiblir les institutions démocratiques. Les Etats-Unis n’ont pas précisé s’ils entendaient renforcer leurs mesures dissuasives, comme les sanctions économiques, à l’encontre de la Russie en guise de réponse. Néanmoins, ils ont renouvelé leur intention d’aider la Géorgie à se prémunir contre ces attaques. Tandis que la stratégie officielle de la Russie est de montrer patte blanche devant ses confrères occi- dentaux, la stratégie cyber offensive russe demeure un secret de polichinelle. Les opérations cyber of- fensives orchestrées par le Kremlin obéissent à un agenda politique précis, confirmant que l’arme cy- ber est devenue une arme stratégique vitale au gou- vernement russe. 2
33 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [THE INTERCEPT] LES CYBERATTAQUES CONTRE LES CANDIDATS DÉMOCRATES LORS DES ÉLECTIONS DE 2018 EN CALIFORNIE DUES À UN PARTISAN DE LA REPRÉSENTANTE HILL En 2018, une série d’attaques par L’enquête du FBI révèle aujourd’hui lisées pour enregistrer le compte déni de service affectait les sites de que le mari d’une des membres du AWS ayant servi à réaliser l’attaque. plusieurs candidats démocrates comité de campagne de Katie Hill californiens lors des élections de aurait mené ces attaques en se ser- Les interférences dans le processus mi-mandat pour la chambre des vant de serveurs AWS. Le FBI a pu démocratiques ne sont pas toujours représentants, à l’exception no- remonter la trace notamment grâce dues à des ingérences étrangères. table de celui de Katie Hill. aux informations personnelles uti- SOURCES ET RÉFÉRENCES : https://theintercept.com/2020/02/21/fbi-arrests-hacker-linked-to-katie-hill-campaign/ https://assets.documentcloud.org/documents/6782920/USA-v-Dam.pdf MOTS CLEFS : FBI, DDOS, ELECTIONS, CALIFORNIE [ZDNET] UNE FAILLE DANS L’INTÉGRATION DE PAYPAL DANS GOOGLE PAY SE PAIE PAR DES ACHATS FRAUDULEUX Entre le 21 et le 25 février 2020, des gine de la fraude. Le bug a été via une transaction de paiement consommateurs allemands ont vu découvert et corrigé par PayPal le sans contact. Cette carte bancaire leur compte Paypal débité pour 25 février, mettant fin à la fraude, virtuelle pourrait ensuite être utilisée effectuer des achats en ligne frau- qui aurait coûté quelques dizaines pour des achats à distance fraudu- duleux dans des magasins Target de milliers d’euros. Un chercheur leux dans certains magasins. PayPal américains. allemand avait déjà démontré la n’a pas donné d’information sur la possibilité de voler le numéro de vulnérabilité qui a été exploitée. Une erreur dans l’intégration entre carte bancaire virtuelle utilisé par PayPal et Google Pay serait à l’ori- PayPal et lié au compte Google Pay SOURCES ET RÉFÉRENCES : https://www.journaldunet.com/economie/finance/1210386-google-pay-piratage-chez-paypal-a- cause-d-une-mauvaise-integration/ https://twitter.com/iblueconnection/status/1231962017734516741 MOTS CLEFS : PAYPAL, GOOGLE PAY, FRAUDE EN LIGNE 3
33 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020 TLP WHITE L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA [KREBSONSECURITY] LE GROUPE OPÉRANT EMOTET AURAIT ACHETÉ UNE VULNÉRABILITÉ 0-DAY POUR DES ÉQUIPEMENTS RÉSEAUX ZYXEL Une vulnérabilité a été découverte vulnérabilité n’est, hélas, pas à malveillante utilisant cet exploit n’a dans plusieurs produits NAS et mettre au crédit d’un quelconque encore été découverte. FireWall créés par Zyxel, un équi- hacker éthique : l’exploit a été mis pementier taïwanais. en vente mi-février sur un marché Zyxel a publié des correctifs pour les noir au prix de 20 000 $, et selon produits vulnérables, à l’exception Triviale à exploiter, elle permet à Hold Security, il aurait été acheté de ceux qui sont en fin de support. un attaquant distant d’exécuter un par le groupe opérant Emotet afin code malveillant sur l’équipement de lui ajouter ce vecteur d’infection. vulnérable. La découverte de cette Cependant, aucune trace d’activité SOURCES ET RÉFÉRENCES : https://krebsonsecurity.com/2020/02/zyxel-0day-affects-its-firewall-products-too/ https://krebsonsecurity.com/2020/02/zyxel-fixes-0day-in-network-storage-devices/ https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml MOTS CLEFS : ZYXEL, 0-DAY, EMOTET [SECUREWORKS] FORELORD : UN MALWARE IRANIAN CIBLE LES GOUVERNEMENTS DU MOYEN ORIENT Un nouveau malware “ForeLord” a dans lequel se trouve un document ter des identifiants, de tester ces été observé lors d’une campagne Excel malveillant. Les courriers vi- identifiants avec une liste de mot d’attaque attribuée au groupe ira- saient des organisations en Turquie, de passe faible ainsi que la mise en nien Cobalt Ulster (aussi connu en Jordanie, en Irak, ainsi que des place d’un tunnel SSL. Cette attaque sous le nom de MuddyWater). organisations gouvernementales semble se placer dans la continuité mondiales et des entités inconnues des opérations d’espionnage me- La campagne se serait déroulée en Géorgie et en Azerbaïdjan. nées par l’Iran. entre mi-2019 et mi-janvier 2020. L’infection initiale s’effectue par un Le malware ForeLord contient divers courrier contenant un fichier ZIP outils utilisés dans le but de collec- SOURCES ET RÉFÉRENCES : https://www.secureworks.com/blog/business-as-usual-for-iranian-operations-despite-increased-ten- sions MOTS CLEFS : IRAN, APT, ESPIONNAGE, MUDDYWATER 4
33 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020 TLP WHITE NOS DERNIERS BILLETS MEDIUM | medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog | Les 10 commandements de la Threat Intelligence Introduction à la Threat Intelligence — le rensei- chez SEKOIA gnement sur les menaces L’approche Threat Intel chez SEKOIA est régie par les La Threat Intelligence contribue à des finalités à la fois meilleures pratiques en matière de renseignement. stratégique et très opérationnelle. Au niveau straté- Nous avons aligné nos activités sur les 10 commande- gique, une bonne connaissance du paysage des cy- ments suivants. bermenaces qui ciblent son organisation permet aux responsables (de la direction générale au RSSI en —> Le billet complet passant par le DSI et le Risk Manager ) de faire évo- luer régulièrement leurs politiques de cybersécurité et de mieux prioriser leurs budgets et plans d’actions. —> Le billet complet SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI) EXTRAITS DE NOS DERNIERS FLINT : 27/02/2020 - FL|INT.2020-041 Remote code execution on Microsoft Exchange Bénéficier d’1 mois d’essai gratuit Server et sans engagement à notre offre FLINT : 26/02/2020 - FL|INT.2020-040 DoppelPaymer operators launch a website to https://www.sekoia.fr/flint publish stolen data flint@sekoia.fr 25/02/2020 - FL|INT.2019-110 UPDATE#1 (25/02/2020) - RACCOON stealer 5
33 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 28 FÉVRIER 2020 TLP WHITE INTELLIGENCE-DRIVEN CYBERSECURITY POUR SIGNALER UN INCIDENT Si vous êtes victime d’une attaque, si vous avez un doute ou si vous désirez revenir et investiguer sur un incident de sécurité, prenez contact avec le CERT SEKOIA. cert@sekoia.fr +33 (0) 805 692 142 SEKOIA accompagne les premières sociétés du CAC40 dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA- TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ- offre ses services à des OIV et autres acteurs du CAC40 FENSE. et du SBF120. SEKOIA.IO, une solution SaaS pour la détection et la réponse aux incidents de sécurité à un nouveau rythme. SEKOIA.IO exploite une CTI exclusive, des technologies innovantes d’orchestration et d’automatisation et repose sur une infrastructure scalable pour répondre au désé- quilibre croissant existant entre les équipes de défense LA THREAT INTELLIGENCE, et les attaquants. PIERRE ANGULAIRE DE LA LUTTE INFORMATIQUE DEFENSIVE SEKOIA dispose d’une offre complète en matière de Cyber Threat Intelligence : • conseil & accompagnement, A PROPOS DE SEKOIA • formation, Pure player et acteur français majeur de la cybersécuri- • veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes, institutions et entreprises innovantes pour les conseiller SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et assistance dans l’exercice de leurs métiers comme dans SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces. SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure, un modèle et une stratégie innovante • base & feed de renseignements cyber : dans le secteur de la cybersécurité. SEKOIA THREAT INTELLIGENCE CENTER SEKOIA — PARIS 18-20, Place de la Madeleine, 75008 Paris SEKOIA — RENNES 1137A Avenue des Champs Blancs 35510 CESSON-SÉVIGNÉ — Tél. +33 1 44 43 54 13 — sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr medium.com/cyberthreatintel | medium.com/sekoia-io-blog 6
Vous pouvez aussi lire