SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
07 19 01
JUILLET 2019
MARS 2019
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
UNE SEMAINE
SCADASTROPHIQUE
(OU PAS)
tan à New York pendant 4 heures a eu des consé-
quences spectaculaires mais non comparables à
celles qui ont suivi le Black Out de 1977. Celui-ci avait
duré 25 heures, au cours desquelles des émeutes et
des pillages avaient eu lieu. La principale victime de
la panne du 13 juillet 2019 fut Jennifer Lopez dont le
concert au Madison Square Garden fut interrompu.
Dans l’appartement de Julia, les lumières viennent Seuls points communs entre ces deux événements
de s’éteindre. La même scène se produit au même : ils se sont produits un 13 juillet - et même pas un
moment dans tout le quartier et la panne affecte vendredi - et c’est le fournisseur Con Edison qui en
73 000 habitants. Si cela se passait à Kiev autour fut à l’origine.
du 28 juin, date de la fête nationale ukrainienne, ou
en décembre autour de Noël, cet incident pourrait Il ne fallut pas longtemps pour que les réseaux so-
paraître normal. ciaux gazouillent de questions et de rumeurs sur la
nature de la panne : était-ce une cyberattaque ? Le
En effet, la probabilité que des fournisseurs d’élec- retour de Godzilla ?
tricité ukrainiens soient victimes d’une cyber-at-
taque à ces périodes de l’année est dangereuse- Depuis plusieurs mois, les cyberattaques réelles
ment proche de 1. Mais nous sommes loin de Kiev et ou imaginaires contre les systèmes de contrôle in-
des champs de blé : nous sommes à Manhattan, le dustriels (ICS) critiques - distribution d’électricité et
samedi 13 juillet 2019. d’eau - préoccupent parlementaires et gouvernants
de part et d’autre de l’Atlantique. Les attaques su-
La panne de courant qui a touché l’île de Manhat- bies par des fournisseurs d’énergie en Ukraine, dont
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
07 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 19 JUILLET 2019
TLP WHITE
UNE SEMAINE SCADASTROPHIQUE (OU PAS)
la paternité a été attribuée à des acteurs russes,
ont largement contribué à éveiller les esprits sur ce
risque. Des activités suspectes, vues comme des
actes précurseurs d’éventuelles actions offensives,
ont été détectées contre des installations améri-
caines. L’U.S. CERT se fendit d’un bulletin sur ce sujet
en mars 2018.
Les sociétés FireEye et Dragos ainsi que le National
Cybersecurity and Communications Integration Cen-
ter (NCCIC), ont documenté en leur temps un code
malveillant nommé HatMan, Triton ou Trisis et qui a
la capacité de modifier le micrologiciel du contrôleur
Triconex produit par Schneider Electric, le tout en
mémoire. Le couteau suisse russe idéal pour mener
des opérations de sabotage d’installations critiques.
En janvier 2019, le Wall Street Journal rapportait que
de nombreux sous-traitants et fournisseurs d’entre-
prises du secteur de l’énergie avaient été ciblés par Pendant ce temps, dans l’espace, une autre panne af-
des attaquants russes, sans qu’on sache pour autant fecte le système européen de radionavigation Galileo
les motivations finales des hackers venus du froid. depuis le 11 juillet dernier. La raison n’est pas encore clai-
rement identifiée mais il s’agirait, selon le porte-parole
Mais le Black Out du 13 juillet 2019 ne semble pas du consortium GSA, de la conséquence d’incidents sur-
être dû à un sale coup des Russes. Le résultat des venus sur l’infrastructure terrestre du système. Galileo
premières investigations menées par Con Edison n’est qu’en phase initiale de sa mise en route et n’est pas
pointent plutôt vers une double défaillance : celle encore totalement fonctionnel. Cette panne n’affecte
d’un câble de distribution de 13 000 volts localisé à donc pas les utilisateurs du système mais pourrait affec-
l’angle de la West 64th Street et de West End Ave- ter la crédibilité du concurrent des systèmes américain
nue et celle de relais de protection qui n’auraient (GPS), russe (Glonass) et chinois (Beidou), trois pays qui
pas fonctionné. L’enquête est encore en cours, ces possèdent des capacités cyber offensives. Parmi eux,
conclusions ne sont donc pas définitives. Mais selon la Russie dispose de moyens de brouillage du système
toute vraisemblance, s’il y a des loups à Wall Street, GPS et est fortement suspectée d’en avoir déjà usé et
on n’y a pas encore vu d’ours ni de chatons, l’Iran abusé. En juin dernier, la couverture GPS de la Syrie, de
étant sur la liste des acteurs susceptibles de vou- l’Irak et de l’Iran a été interrompue. Israël accuse aussi
loir porter atteinte à la sûreté des systèmes SCADA la Russie d’être à l’origine de perturbations qui affectent
américains. depuis plusieurs semaines l’aéroport Ben Gourion.
Le 14 juillet, le président de la République française a
annoncé la création d’un commandement militaire de
l’espace. Cette annonce intervient 2 ans après un inci-
dent dont le scénario semble tout droit tiré de Moonra-
ker. En 2017, le satellite espion russe Luch-Olymp s’était
approché de la plateforme franco-italienne Athena-Fi-
dus, spécialisée dans les communications militaires sé-
curisées, dans une manoeuvre que le ministère français
des Armées avait qualifiée “d’inamicale”.
Ces deux incidents donnent matière à relancer le dé-
bat - ou la psychose - sur le cyber-Armaggedon qu’on
nous promet depuis des années ou même des décen-
2
07 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 19 JUILLET 2019
TLP WHITE
UNE SEMAINE SCADASTROPHIQUE (OU PAS)
nies, si l’on remonte à l’année de sortie du film War- de sa volonté de se doter d’un arsenal conséquent
games, dont on dit qu’il fut à l’origine de la prise de pour lutter contre les cyberattaques. Il n’en reste pas
conscience par le Department of Defense américain moins vrai qu’aux Etats-Unis, les écureuils consti-
des dangers cyber. tuent la principale menace et la première cause d’in-
terruptions de courant. En 30 ans, ces petites bêtes
Dans le domaine des cyberattaques SCADA, des ac- ont été à l’origine de 1250 attaques réussies. Dans
teurs russes comme Energetic Bear sont fréquem- le domaine spatial, le capitaine Jean Bondyork, dans
ment cités. Les Etats-Unis et leurs alliés se sont une interview en direct du Transport-Cherie, affirme
eux-aussi illustrés dans le domaine, notamment qu’il n’y a pas d’autres animaux que des cochons
avec Stuxnet. Le Gouvernement américain a éga- dans l’espaaaaace.
lement affirmé avoir cyber-riposté contre des ingé-
rences russes durant les élections de mi-mandat en
2018, en lançant des attaques contre des systèmes
critiques russes.
Ce que le Kremlin avait invoqué comme justification
Sources et références
https://www.nytimes.com/2019/07/13/nyregion/nyc-power-outage.html
https://www.nytimes.com/2019/07/14/nyregion/nyc-power-outage-con-edison.html
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
https://www.nytimes.com/2018/03/15/us/politics/russia-cyberattacks.html
https://www.nbcnews.com/news/us-news/power-outage-strikes-midtown-manhattan-n1029636
https://www.us-cert.gov/ncas/alerts/TA18-074A
https://www.europe1.fr/international/paris-denonce-une-tentative-despionnage-russe-sur-un-de-ses-satellites-en-2017-3750107
https://www.defense.gouv.fr/air/actus-air/le-president-de-la-republique-annonce-la-creation-d-un-commandement-militaire-de-l-
espace
https://www.zdnet.com/article/european-gps-satellites-have-been-down-for-four-days-in-mysterious-outage/
3
07 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 19 JUILLET 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[RISKIQ] CAMPAGNE MAGECART CIBLANT DES SITES WEB HÉBERGÉS PAR DES COM-
PARTIMENTS AMAZON S3
Les sites web hébergés par des Magecart dans les compartiments webs hébergés dans le Cloud sont
compartiments Amazon S3 sont Amazon S3 configurés pour être ac- donc encouragés à vérifier leurs pa-
exposés au risque de compromis- cessibles publiquement. Ces injec- ramètres de contrôle d’accès, parti-
sion et de vol de données clients tions auraient lieu automatiquement culièrement le droit en écriture.
s’ils sont configurés sans contrôle et affecteraient déjà plus de 17000
d’accès. domaines. Le script Magecart ne se
déclenche que s’il est injecté sur une
En effet, la société RiskIQ ob- page contenant un formulaire de
serve depuis quelques mois une paiement ce qui limite l’impact de
campagne d’injection de scripts l’attaque. Les possesseurs de sites
SOURCES ET RÉFÉRENCES :
https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/
MOTS CLEFS : MAGECART / E-SKIMMING / CLOUD / AMAZONS3
[NTT SECURITY] TRICKBOT INSTALLE UNE PORTE DÉROBÉE POSSIBLEMENT UTILISÉE
PAR LAZARUS
Les équipes de NTT Security ont auraient découvert PowerBrace lors lien indique néanmoins que le sec-
récemment observé une souche de réponses post incident sur des teur bancaire serait bel et bien l’une
de TrickBot installant de manière réseaux de banque compromis par des cibles de TA505.
sélective - pour ne pas dire ciblée Lazarus. NTT Security observe donc
- PowerBrace, un script Powershell un lien direct entre TA505, l’acteur
plutôt rare servant de porte déro- qui contrôle TrickBot, et Power-
bée. Brace, supposé être contrôlé par
Lazarus, ce qui vient soutenir une
Ce qui est surprenant, c’est que théorie jusque-là peu argumentée
PowerBrace aurait été attribué au d’une association de service entre
groupe nord-coréen Lazarus par ces deux groupes. Même si cette
BAE Systems. En effet, ces derniers théorie s’avérait en réalité fausse, ce
SOURCES ET RÉFÉRENCES :
https://technical.nttsecurity.com/post/102fnog/targeted-trickbot-activity-drops-powerbrace-backdoor
MOTS CLEFS : TRICKBOT / POWERBRACE / LAZARUS / BANQUES
4
07 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 19 JUILLET 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[REUTERS] MOZILLA EMPÊCHE DARKMATTER DE DEVENIR UNE AUTORITÉ DE CERTIFICA-
TION DE CONFIANCE DANS FIREFOX
Mozilla a décidé de bloquer la Emirats arabes unis travaille essen- d’une tentative d’embauche d’un
demande émise par DarkMatter, tiellement pour le gouvernement hacker italien pour participer à un
d’intégrer la liste des autorités de et les forces de police émiratis. En projet de piratage global des smart-
certification de confiance du navi- janvier 2019, des journalistes de phones dans les principales villes
gateur Firefox. Reuters révélaient que DarkMatter du pays. Mozilla estime donc que
opérerait depuis 2016 une opéra- le risque que DarkMatter abuse de
Cette décision s’appuie pour la pre- tion de surveillance et de piratage cette confiance pour réaliser des in-
mière fois, non sur des éléments connue sour le nom de Projet Ra- terceptions sur les citoyens est trop
techniques, mais sur une suite ven qui inclut parmi ses cibles des élevé.
d’articles d’investigation. Selon militants et des activistes. En 2016
plusieurs rapports, la société des déjà, The Intercept publiait l’histoire
SOURCES ET RÉFÉRENCES :
https://www.reuters.com/article/us-usa-cyber-mozilla/mozilla-blocks-uae-bid-to-become-an-inter-
net-security-guardian-after-hacking-reports-idUSKCN1U42CAlien 2
https://theintercept.com/2016/10/24/darkmatter-united-arab-emirates-spies-for-hire/
MOTS CLEFS : FIREFOX / DARKMATTER / UAE / SURVEILLANCE
[KASPERSKY] TURLA RENOUVELLE SON ARSENAL AVEC TOPINAMBOUR
D’après un rapport de Kaspersky, vaScript KopiLuwak associé à Turla. Par ailleurs, en incluant des chaînes
le groupe d’attaquant d’origine Turla utilise également un cheval de de caractères comme « TrumpTower
russe Turla a renouvelé son arse- troie PowerShell fortement obscurci », « RocketMan ! » ou encore « Mia-
nal depuis début 2019. et présentant des similitudes avec miBeach », les développeurs de ces
KopiLuwak. outils ont cherché à se positionner
Connu pour utiliser des outils dans le paysage géopolitique inter-
distinctifs, lui étant facilement at- Kaspersky émet l’hypothèse que national.
tribuables, Turla a créé un nouveau l’une des raisons ayant poussé Turla
dropper nommé Topinambour. Ce- à créer des chevaux de Troie simi-
lui-ci contient un shell .NET chargé laires mais dans différents langages
de délivrer le cheval de Troie en Ja- pourrait être d’éviter la détection.
SOURCES ET RÉFÉRENCES :
https://threatpost.com/turla-apt-malware-anti-censorship/146472/
https://securelist.com/turla-renews-its-arsenal-with-topinambour/91687/
MOTS CLEFS : TURLA / RUSSIE / APT
507 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 19 JUILLET 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[KREBSONSECURITY] NOUVEAU PROJET POUR LES AUTEURS DE GANDCRAB ?
Les auteurs de GandCrab, un ran- attaque, le ransomware GandCrab. des États Indépendants (CEI). Les
somware as-a-service, ont annon- En parallèle, un individu se faisant chercheurs de Kaspersky Lab ont
cé le 31 mai la fin de leur opération appeler «Unknown» a posté sur également observé que Sodinoko-
après avoir récolté plusieurs mil- deux forums cybercriminels popu- bi/REvil ne pouvait être installé sur
lions de dollars. laires une annonce afin de recruter des machines syriennes, comme
des développeurs confirmés dans GandCrab. Finalement, ces deux
Cependant, selon le journaliste Brian le but de participer au développe- ransomware partageraient des simi-
Krebs, ces derniers n’en auraient pas ment d’un nouveau ransomware. Si larités dans leur algorithme de gé-
terminé avec leurs activités crimi- l’individu n’a pas précisé le nom du nération d’URLs. Face à ces détails,
nelles et développeraient déjà un ransomware, il a cependant indiqué l’hypothèse du journaliste est que
nouveau ransomware. Fin avril, des que ce dernier aurait déjà fait parler les auteurs de GandCrab se lancent
chercheurs de Cisco Talos ont dé- de lui dans la presse. «Unknown» a dans un nouveau service basé sur
tecté une nouvelle souche de ran- précisé que - comme GandCrab - ce Sodinokobi/REvil.
somware nommée Sodinokibi (ou ransomware ne pourrait pas impac-
REvil) qui aurait déployé, lors d’une ter les machines de la Communauté
SOURCES ET RÉFÉRENCES :
https://krebsonsecurity.com/2019/07/is-revil-the-new-gandcrab-ransomware/
MOTS CLEFS : GANDCRAB / RANSOMWARE / SODINOKIBI / REVIL
[SYMANTEC] LES FICHIERS QUE VOUS RECEVEZ SUR WHATSAPP ET TELEGRAM
PEUVENT ÊTRE INTERCEPTÉS ET MANIPULÉS
Des chercheurs en sécurité de Sy- un virement sur un compte bancaire imperméable aux vulnérabilités et
mantec ont testé différents scéna- illégitime en manipulant une facture l’intégrité des données envoyées
rios d’attaque contre les applica- transmise. et reçues, au même titre que leur
tions de messagerie WhatsApp et confidentialité, doivent être prises
Telegram. Nommé “media file jacking”, ce type en compte.
d’attaque s’appuie sur le fait que
Utilisant le chiffrement de bout en toute application installée sur un
bout, ces applications garantissent, appareil peut accéder aux fichiers
en théorie, la confidentialité des au moment où ils sont enregistrés
données des utilisateurs. Les scéna- dans le stockage externe et les ré-
rios d’attaque testés par Symantec écrire, y compris ceux enregistrés
ont notamment permis de démon- par d’autres applications. Le “me-
trer qu’il était possible à un atta- dia file jacking” met en exergue
quant de propager des fake news ou deux principes sous-estimés par
d’amener un utilisateur à effectuer les utilisateurs : aucun code n’est
SOURCES ET RÉFÉRENCES :
https://thehackernews.com/2019/07/media-files-whatsapp-telegram.html
https://www.symantec.com/blogs/expert-perspectives/symantec-mo-
bile-threat-defense-attackers-can-manipulate-your-whatsapp-and-tele-
gram-media
MOTS CLEFS : MEDIA FILE JACKING / WHATSAPP / TELEGRAM
607 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 19 JUILLET 2019
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[BRICA.DE] OPÉRATION « GHOST PUPPET » PAR LAZARUS
L’entreprise sud-coréenne ESTse- crypto-monnaies. Utilisé majoritai- code présentes dans le malware
curity a publié cette semaine un rement dans les deux Corées et dé- et dans celui de plusieurs attaques
rapport détaillé d’une opération fini comme un format de document coréennes antérieures. Cette opé-
récente nommée «Ghost Puppet» standard pour le gouvernement ration confirme l’intérêt financier du
du groupe nord-coréen Lazarus. sud-coréen, Hangul Office est un groupe Lazarus.
logiciel de texte spécialisé pour le
Cette attaque, détectée en août support de la langue coréenne.
2018, aurait pour vecteur d’infection
un document Hangul malveillant Les chercheurs de l’ESTsecurity
et ciblerait le secteur financier de indiquent diverses similarités de
SOURCES ET RÉFÉRENCES :
https://brica.de/alerts/alert/public/1229993/apt-campaign-operation-ghost-puppet/
MOTS CLEFS : APT / CORÉE DU NORD / LAZARUS / CRYPTOMONNAIE
NOS DERNIERS BILLETS MEDIUM
| medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
MITRE ATT&CK™ : de l’importance de la IACD and the Quest for an Orchestrated Cyber
temporalité Defense
Dans le cas de la mise en oeuvre d’un scénario plus ou This article is the first of a series that focuses on the
moins long, l’analyste est rapidement confronté à un latest trends in the field of cyber defenses that tackle
problème de taille : l’absence de marqueur temporel the growing imbalance between defenders and attac-
dans le Navigator de MITRE ATT&CK™. Or, un scénario kers. Our journey takes us through the operationalization
peut se définir comme le déroulement d’un plan, d’un of the Integrated and Adaptive Cyber Defense (IACD)
processus, et est constitué d’un ensemble d’actions se framework to guide security operational teams on the
succédant avec une notion de temporalité. path towards security automation. After a short summary
of the main issues encountered with traditional defense
—> Le billet complet strategies, the article describes the IACD framework and
details the orchestration services it models.
Etats-Unis vs Iran : bataille navale à l’heure du
cyberespace —> Le billet complet
Les tensions entre les Etats-Unis et l’Iran s’intensifient
depuis plusieurs mois et le cyberespace prend une place
prépondérante dans les actions de chaque camp pour
provoquer, (tenter de) dissuader ou répliquer aux démons-
trations militaires, aux sanctions économiques ou aux
tweets de certains protagonistes… Jusqu’à l’escalade ?
—> Le billet complet
707 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 19 JUILLET 2019
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40 “ LET’S TALK ABOUT THREATS , BABY,
dans la mise en place de leurs CERTs internes. LET’S TALK ABOUT YOU AND ME (SIGINT, OSINT)
LET’S TALK ABOUT ALL THE GOOD THINGS
AND THE BAD THINGS THAT MAY BE,
Depuis 2013 SEKOIA active son CERT inter-entreprises et
LET’S TAAAALK ABOUUUUUUT THREATS
offre ses services à des OIV et autres acteurs du CAC40
LET’S TALK ABOUT THREATS...“
et du SBF120.
— Dès septembre 2019,
Participez à nos soirées thématiques
pour partager et échanger autour
de la cyber threat intelligence
et de la lutte informatique défensive.
LA THREAT INTELLIGENCE,
PIERRE ANGULAIRE DE LA ... Stay tuned !
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber: dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
8Vous pouvez aussi lire
