SEKOIA THREAT INTELLIGENCE WEEKLY REPORT

 
CONTINUER À LIRE
SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
33                                                                                       0128 FÉVRIER
                                                                                                                     MARS 2019 2020

                                                                                                                   TLP WHITE

            SEKOIA
            THREAT INTELLIGENCE
            WEEKLY REPORT
                                                                                                                   TLP WHITE

                                           OOPS THEY DID IT AGAIN

Depuis que la Géorgie a déclaré son indépendance                 la Russie a maintenant la pression cybernétique sur
vis-à-vis de l’Empire de Russie en 1918, la Russie               la Géorgie comme l’attaque d’octobre 2019 récem-
n’a jamais gardé ses distances. Après avoir réus-                ment attribuée à la Russie par le Royaume-Uni, les
si à replacer la Géorgie dans son giron au sein de               Etats-Unis et l’Australie.
l’URSS, la Géorgie lui échappe de nouveau en 1991
et s’en suit la Première Guerre d’Ossétie du Sud.                Le 28 octobre 2019, une cyber attaque coordonnée
Les aspirations géostratégiques de la Russie la                  a rendu des milliers de sites internet gouvernemen-
conduisent à mener des opérations d’ingérence et                 taux et privés indisponibles et interrompu des pro-
d’influence pour nourrir les sentiments pro-russes               grammes télévisés. Mike Pompeo, Secrétaire d’Etat
en Géorgie. Le soutien apporté par la Russie aux                 aux Etats-Unis, a attribué publiquement cette at-
mouvements séparatistes dans les régions d’Ab-                   taque à la Russie, plus précisément au GRU, le ren-
khazie et d’Ossétie du Sud a cristallisé les tensions            seignement militaire russe.
avec la Géorgie. Cette situation est non sans rap-
peler cellede l’Ukraine, également déstabilisée                  La dénonciation publique des agissements de la
par les ingérences et les atteintes répétitives à sa             Russie intervient dans un contexte de préoccupation
souveraineté qui déstabilisent le pays et la région.             des Etats-Unis vis-à-vis de leurs élections présiden-
                                                                 tielles cette année. En effet, en plus des activités
Plus récemment, les tensions entre la Géorgie et la              de propagande sur les réseaux sociaux, les Etats-
Russie sont arrivées à leur apogée au moment de                  Unis craignent des opérations d’ingérence cyber de
la Seconde Guerre d’Ossétie du Sud en 2008. Ces                  grande ampleur à l’instar des élections de 2016.
affrontements ont été accompagnés d’offensives
cyber russes coordonnées, faisant de ce conflit un               Dans son discours, Mike Pompeo ne s’est pas
premier exemple majeur de guerre hybride. Depuis,                contenté d’attribuer l’attaque à un pays. Il a préci-

       Le THREAT INTELLIGENCE WEEKLY REPORT                   Vous retrouverez en dernière page des détails sur nos offres
       est publié publiquement et gratuitement chaque         de Cyber Threat Intelligence. Ces publications sont réservées à
       semaine pour faciliter la compréhension des cy-        nos clients, adaptées à leur secteur d’activité et à leurs besoins
       bermenaces dans ses dimensions tant techniques         spécifiques. Pour plus d’informations : threatintel@sekoia.fr
       que géopolitiques. Abonnez-vous pour le recevoir
       automatiquement par e-mail.

                                                          1
SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
33                   SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                    28 FÉVRIER 2020

                                                                                                                  TLP WHITE

                                             OOPS THEY DID IT AGAIN

sé que Sandworm, un threat actor sous le comman-                  Sources & références :
dement du GRU également connu sous le nom de
BlackEnergy, était à l’origine de l’attaque. Sandworm             h t t p s : // t w i t t e r . c o m / S e c P o m p e o / s t a -
est notamment réputé pour avoir ciblé des centrales               tus/1230482886975000576
électriques ukrainiennes en 2015 et 2016, entraînant
des coupures de courant au coeur de l’hiver. Faisant              https://w w w.washingtonpost.com/national-secu-
des systèmes de contrôle industriels sa cible de pré-             rity/2020/02/20/us-joins-others-accusing-russia-cy-
dilection, les activités de Sandworm montrent que                 ber-attack-republic-georgia/
ses motivations tournent autour de la déstabilisation.
                                                                  https://www.bbc.com/news/technology-51576445
Même si l’impact de l’attaque contre la Géorgie était
limité, les Etats-Unis ont été rejoints par l’Australie, le       https://www.ft.com/content/14377b84-53e3-11ea-
Royaume-Uni et la Géorgie pour attribuer publique-                90ad-25e377c0ee1f
ment l’offensive à la Russie. Compte-tenu des réper-
cussions diplomatiques et éventuelles représailles                https://www.nytimes.com/2020/02/20/world/europe/
sur le plan cyber, cette attribution publique rappelle            georgia-cyberattack-russia.html
que la protection des processus démocratiques de-
meure une inquiétude majeure aujourd’hui.                         h t t p s : // w w w . w i r e d . c o m / s t o r y / s a n d -
                                                                  worm-kremlin-most-dangerous-hackers/
Mike Pompeo a déclaré dans son discours que l’at-
taque contre la Géorgie met en exergue la stratégie
russe qui se cache derrière ces incidents qui est de
diviser, créer un sentiment d’insécurité et d’affaiblir
les institutions démocratiques.

Les Etats-Unis n’ont pas précisé s’ils entendaient
renforcer leurs mesures dissuasives, comme les
sanctions économiques, à l’encontre de la Russie en
guise de réponse. Néanmoins, ils ont renouvelé leur
intention d’aider la Géorgie à se prémunir contre ces
attaques.

Tandis que la stratégie officielle de la Russie est de
montrer patte blanche devant ses confrères occi-
dentaux, la stratégie cyber offensive russe demeure
un secret de polichinelle. Les opérations cyber of-
fensives orchestrées par le Kremlin obéissent à un
agenda politique précis, confirmant que l’arme cy-
ber est devenue une arme stratégique vitale au gou-
vernement russe.

                                                              2
33                  SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                28 FÉVRIER 2020

                                                                                                           TLP WHITE

             L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[THE INTERCEPT] LES CYBERATTAQUES CONTRE LES CANDIDATS DÉMOCRATES LORS DES

ÉLECTIONS DE 2018 EN CALIFORNIE DUES À UN PARTISAN DE LA REPRÉSENTANTE HILL

En 2018, une série d’attaques par        L’enquête du FBI révèle aujourd’hui    lisées pour enregistrer le compte
déni de service affectait les sites de   que le mari d’une des membres du       AWS ayant servi à réaliser l’attaque.
plusieurs candidats démocrates           comité de campagne de Katie Hill
californiens lors des élections de       aurait mené ces attaques en se ser-    Les interférences dans le processus
mi-mandat pour la chambre des            vant de serveurs AWS. Le FBI a pu      démocratiques ne sont pas toujours
représentants, à l’exception no-         remonter la trace notamment grâce      dues à des ingérences étrangères.
table de celui de Katie Hill.            aux informations personnelles uti-

         SOURCES ET RÉFÉRENCES :
         https://theintercept.com/2020/02/21/fbi-arrests-hacker-linked-to-katie-hill-campaign/
         https://assets.documentcloud.org/documents/6782920/USA-v-Dam.pdf

         MOTS CLEFS : FBI, DDOS, ELECTIONS, CALIFORNIE

[ZDNET] UNE FAILLE DANS L’INTÉGRATION DE PAYPAL DANS GOOGLE PAY SE PAIE PAR

DES ACHATS FRAUDULEUX

Entre le 21 et le 25 février 2020, des   gine de la fraude. Le bug a été        via une transaction de paiement
consommateurs allemands ont vu           découvert et corrigé par PayPal le     sans contact. Cette carte bancaire
leur compte Paypal débité pour           25 février, mettant fin à la fraude,   virtuelle pourrait ensuite être utilisée
effectuer des achats en ligne frau-      qui aurait coûté quelques dizaines     pour des achats à distance fraudu-
duleux dans des magasins Target          de milliers d’euros. Un chercheur      leux dans certains magasins. PayPal
américains.                              allemand avait déjà démontré la        n’a pas donné d’information sur la
                                         possibilité de voler le numéro de      vulnérabilité qui a été exploitée.
Une erreur dans l’intégration entre      carte bancaire virtuelle utilisé par
PayPal et Google Pay serait à l’ori-     PayPal et lié au compte Google Pay

         SOURCES ET RÉFÉRENCES :
         https://www.journaldunet.com/economie/finance/1210386-google-pay-piratage-chez-paypal-a-
         cause-d-une-mauvaise-integration/
         https://twitter.com/iblueconnection/status/1231962017734516741

         MOTS CLEFS : PAYPAL, GOOGLE PAY, FRAUDE EN LIGNE

                                                          3
33                  SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                 28 FÉVRIER 2020

                                                                                                            TLP WHITE

             L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[KREBSONSECURITY] LE GROUPE OPÉRANT EMOTET AURAIT ACHETÉ UNE

VULNÉRABILITÉ 0-DAY POUR DES ÉQUIPEMENTS RÉSEAUX ZYXEL
Une vulnérabilité a été découverte       vulnérabilité n’est, hélas, pas à        malveillante utilisant cet exploit n’a
dans plusieurs produits NAS et           mettre au crédit d’un quelconque         encore été découverte.
FireWall créés par Zyxel, un équi-       hacker éthique : l’exploit a été mis
pementier taïwanais.                     en vente mi-février sur un marché        Zyxel a publié des correctifs pour les
                                         noir au prix de 20 000 $, et selon       produits vulnérables, à l’exception
Triviale à exploiter, elle permet à      Hold Security, il aurait été acheté      de ceux qui sont en fin de support.
un attaquant distant d’exécuter un       par le groupe opérant Emotet afin
code malveillant sur l’équipement        de lui ajouter ce vecteur d’infection.
vulnérable. La découverte de cette       Cependant, aucune trace d’activité

         SOURCES ET RÉFÉRENCES :
         https://krebsonsecurity.com/2020/02/zyxel-0day-affects-its-firewall-products-too/
         https://krebsonsecurity.com/2020/02/zyxel-fixes-0day-in-network-storage-devices/
         https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
         MOTS CLEFS : ZYXEL, 0-DAY, EMOTET

[SECUREWORKS] FORELORD : UN MALWARE IRANIAN CIBLE LES GOUVERNEMENTS DU

MOYEN ORIENT

Un nouveau malware “ForeLord” a          dans lequel se trouve un document        ter des identifiants, de tester ces
été observé lors d’une campagne          Excel malveillant. Les courriers vi-     identifiants avec une liste de mot
d’attaque attribuée au groupe ira-       saient des organisations en Turquie,     de passe faible ainsi que la mise en
nien Cobalt Ulster (aussi connu          en Jordanie, en Irak, ainsi que des      place d’un tunnel SSL. Cette attaque
sous le nom de MuddyWater).              organisations    gouvernementales        semble se placer dans la continuité
                                         mondiales et des entités inconnues       des opérations d’espionnage me-
La campagne se serait déroulée           en Géorgie et en Azerbaïdjan.            nées par l’Iran.
entre mi-2019 et mi-janvier 2020.
L’infection initiale s’effectue par un   Le malware ForeLord contient divers
courrier contenant un fichier ZIP        outils utilisés dans le but de collec-

         SOURCES ET RÉFÉRENCES :
         https://www.secureworks.com/blog/business-as-usual-for-iranian-operations-despite-increased-ten-
         sions
         MOTS CLEFS : IRAN, APT, ESPIONNAGE, MUDDYWATER

                                                           4
33                SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                               28 FÉVRIER 2020

                                                                                                            TLP WHITE
                                NOS DERNIERS BILLETS MEDIUM
                                | medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |

   Les 10 commandements de la Threat Intelligence                 Introduction à la Threat Intelligence — le rensei-
 chez SEKOIA                                                    gnement sur les menaces

 L’approche Threat Intel chez SEKOIA est régie par les          La Threat Intelligence contribue à des finalités à la fois
 meilleures pratiques en matière de renseignement.              stratégique et très opérationnelle. Au niveau straté-
 Nous avons aligné nos activités sur les 10 commande-           gique, une bonne connaissance du paysage des cy-
 ments suivants.                                                bermenaces qui ciblent son organisation permet aux
                                                                responsables (de la direction générale au RSSI en
 —> Le billet complet                                           passant par le DSI et le Risk Manager ) de faire évo-
                                                                luer régulièrement leurs politiques de cybersécurité
                                                                et de mieux prioriser leurs budgets et plans d’actions.

                                                                —> Le billet complet

                        SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)

EXTRAITS DE NOS DERNIERS FLINT :

27/02/2020 - FL|INT.2020-041
Remote code execution on Microsoft Exchange                                Bénéficier d’1 mois d’essai gratuit
Server
                                                                      et sans engagement à notre offre FLINT :
26/02/2020 - FL|INT.2020-040
DoppelPaymer operators launch a website to                                       https://www.sekoia.fr/flint
publish stolen data
                                                                                         flint@sekoia.fr
25/02/2020 - FL|INT.2019-110
UPDATE#1 (25/02/2020) - RACCOON stealer

                                                           5
33                    SEKOIA THREAT INTELLIGENCE WEEKLY REPORT                                   28 FÉVRIER 2020

                                                                                                                TLP WHITE

                                INTELLIGENCE-DRIVEN CYBERSECURITY

POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.

                    cert@sekoia.fr
                  +33 (0) 805 692 142

SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes.                        VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
                                                                      TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et               DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40               FENSE.
et du SBF120.
                                                                      SEKOIA.IO, une solution SaaS pour la détection et la
                                                                      réponse aux incidents de sécurité à un nouveau rythme.
                                                                      SEKOIA.IO exploite une CTI exclusive, des technologies
                                                                      innovantes d’orchestration et d’automatisation et repose
                                                                      sur une infrastructure scalable pour répondre au désé-
                                                                      quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE,                                               et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE

SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
   • conseil & accompagnement,                                  A PROPOS DE SEKOIA
   • formation,                                                 Pure player et acteur français majeur de la cybersécuri-
   • veille et rapport sur les cybermenaces :                   té, SEKOIA accompagne au quotidien grands comptes,
                                                                institutions et entreprises innovantes pour les conseiller
        SEKOIA THREAT INTELLIGENCE BRIEFING REPORT              sur leur stratégie, les préparer et leur offrir support et
                                                                assistance dans l’exercice de leurs métiers comme dans
        SEKOIA THREAT INTELLIGENCE FLASH REPORT                 les phases les plus critiques d’exposition aux menaces.

        SEKOIA THREAT INTELLIGENCE SPECIAL REPORT               Découvrez une structure,
                                                                un modèle et une stratégie innovante
   • base & feed de renseignements cyber :                      dans le secteur de la cybersécurité.
        SEKOIA THREAT INTELLIGENCE CENTER

                                                                                                                   SEKOIA — PARIS
                                                                                                                             18-20,
                                                                                                             Place de la Madeleine,
                                                                                                                        75008 Paris

                                                                                                              SEKOIA — RENNES
                                                                                                                              1137A
                                                                                                       Avenue des Champs Blancs
                                                                                                         35510 CESSON-SÉVIGNÉ
                                                                                                                                  —
                                                                                                              Tél. +33 1 44 43 54 13
                                                                                                                                  —

         sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
         medium.com/cyberthreatintel | medium.com/sekoia-io-blog

                                                            6
Vous pouvez aussi lire