SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
29 01 31 JANVIER
MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
ICS AU MIEL ET À LA RUSSE
protocole qui ait été défaillante. Le fabricant a été
informé par J. Larsen et a produit un correctif.
Deux présentations faites dans le cadre de la der-
nière édition de la conférence S4 qui s’est tenue à L’originalité de sa présentation tient au fait que J.
Miami en janvier avaient pour thème les attaques Larsen a reproduit le mode opératoire du groupe
contre les systèmes industriels. Sandworm, à qui sont attribuées au moins deux
campagnes menées contre des infrastructures
Jason Larsen, expert en sécurité SCADA/ICS de la ukrainiennes en 2015 et en 2016. Ces campagnes
société IOActive, a expliqué comment il a compro- avaient provoqué des coupures de courant. Ce
mis une sous-station électrique européenne. Il lui a même groupe, dont l’histoire est relatée par Andy
fallu 14 heures pour s’introduire dans l’infrastructure Greenberg dans l’ouvrage “Sandworm: A New Era of
ICS de sa cible. Il a exploité une vulnérabilité dans Cyberwar and the Hunt for the Kremlin’s Most Dan-
le firmware d’un convertisseur Moxa pour obtenir les gerous Hackers” (non traduit en Français), est soup-
privilèges les plus élevés sur cet appareil qui trans- çonné d’être l’auteur des attaques NotPetya ou du
met les commandes aux contrôleurs. cyber-sabotage de la cérémonie d’ouverture des
jeux olympiques d’hiver de 2018 en Corée du Sud.
J. Larsen a étudié le firmware de ces contrôleurs Jason Larsen a ainsi démontré que l’ampleur et la
(que l’on trouve dans l’e-commerce pour moins de réalité des exploits du groupe Sandworm n’étaient
200 euros) et a découvert une vulnérabilité lui per- pas surfaits.
mettant d’extraire un mot de passe de la mémoire de
l’appareil. Ce dernier supportant le protocole SNMP, La société Trend Micro de son côté a mené une autre
il est probable que ce soit l’implémentation de ce expérience, toujours dans le domaine de la sécuri-
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
29 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 31 JANVIER 2020
TLP WHITE
ICS AU MIEL ET À LA RUSSE
té des infrastructures ICS/SCADA, dans l’objectif (Open Source Intelligence). Cette technique consiste à
de mieux connaître l’état de l’art en matière d’at- faire croire à un vol de mots de passe par exemple, prêts
taques. Quels sont les acteurs qui ciblent ces sys- à être exploités. Cela permet aussi d’observer comment
tèmes, comment opèrent-ils, quels sont les objectifs ces types de données sont échangées ou diffusées sur
qu’ils poursuivent une fois qu’ils ont compromis un des forums underground. Dans le cas présent, Trend Mi-
réseau industriel. Les résultats de cette expérience cro indique avoir fait chou blanc.
ont eux-aussi été présentés durant la conférence S4.
L’usine fictive a été mise en ligne en mai 2019 pour une
Pour répondre à ces questions, Trend Micro a sorti durée prévue de sept mois. La première attaque a été
l’artillerie lourde. A la manière des célèbres villages détectée un mois plus tard.
Potemkine, Trend Micro a construit une usine fan-
tôme virtuelle de toutes pièces : un honeypot (litté- Sur les 9452 adresses IP uniques qui ont contacté le ho-
ralement pot de miel) SCADA. neypot, 610 étaient celles de scanners non frauduleux.
Un honeypot est au piège à souris ce que la tapette Les premières attaques ont exploité les services d’accès
à rongeurs est à la nasse. La première protège le fro- distant comme VNC et RDP. Par ce biais, des attaquants
mage en neutralisant l’animal alors que la seconde ont tenté d’utiliser les ressources du honeypot comme
le capture vivant, ce qui laisse tout loisir à un obser- support de fraudes en ligne, d’autres ont installé des
vateur d’étudier ses TTP : comment la souris entre cryptomineurs.
t-elle dans la cuisine, quel type d’appat excite le plus
son appétit, etc. La première attaque sérieuse s’est produite en août.
Durant celle-ci, un attaquant a tenté d’interférer dans
Le honeypot de Trend Micro présentait toutes les le fonctionnement de l’usine, démontrant une volonté
caractéristiques techniques de l’infrastructure ICS de perturber les activités de celle-ci. En septembre, un
d’une petite entreprise. Mais Trend Micro ne s’est autre acteur, après avoir installé le logiciel TeamViewer, a
pas contenté d’exposer sur Internet des serveurs et déployé le ransomware Crysis. Quelques mois plus tard,
des équipements en apparence vulnérables. L’édi- ce fut au tour du rançongiciel Phobos.
teur a également inventé une légende réaliste à
cette entreprise fictive, bâtie sur de faux employés Ces compromissions, qui pour les plus sérieuses, re-
dotés d’adresses mail et de numéros de téléphone. lèvent d’attaques opportunistes plutôt que ciblées, ont
Pour rendre encore plus réaliste cette usine fantôme été rendues possibles par le fait que Trend Micro a vo-
même aux yeux d’un attaquant aguerri, le honeypot lontairement négligé la sécurité de son infrastructure
de Trend Micro associait des serveurs virtualisés à virtuelle. Elles rappellent aussi que les menaces “fan-
des équipements bien réels. tasmées” (attaques destructives) sont peut-être moins
probables que la principale menace actuelle : le rançon-
Ce n’est pas la première fois que Trend Micro a re- giciel.
cours à un honeypot. En 2013, c’est une installation
hydraulique qui avait été simulée puis en 2015 un Sources & Références :
fournisseur de gaz. La société possède donc une
certaine expérience et c’est forte de celle-ci qu’elle https://documents.trendmicro.com/assets/white_
a mené son étude. papers/wp-caught-in-the-act-running-a-realistic-fac-
tory-honeypot-to-capture-real-threats.pdf
Une fois la fausse société créée, une fois les services
virtuels et les équipements réels connectés pour https://www.cyberscoop.com/jason-larsen-ioactive-
donner une apparence plus vraie que nature, il a fallu russia-ukraine-sandworm-s4/
rendre la cible visible et attractive.
https://www.darkreading.com/threat-intelligence/
En plus d’une présence Internet (site Web présen- elaborate-honeypot-factor y-network-hit-with-ran-
tant les services de l’entreprise et ses employés), somware-rat-and-cryptojacking/d/d-id/1336842
des données ont été diffusées sur des sites comme
Pastebin, connus pour héberger des informations
parfois volées et susceptibles, donc, de tomber
dans les recherches d’attaquants pratiquant l’OSINT
229 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 31 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[LE PARISIEN] BOUYGUES CONSTRUCTION VICTIME D’UNE CYBERATTAQUE
Le 30 janvier 2020, le siège social un sms annonçant « une alerte vi- ployés ne peuvent accéder à leurs
de Bouygues Construction a été rale avec une coupure générale du mails professionnels.
victime d’une cyberattaque entraî- DataCenter Challenger ». En effet,
nant une paralysie partielle de ses les accès internet ont été coupés et Bouygues précise que l’incident est
activités. l’entreprise fonctionne au ralenti. en cours d’investigation mais n’a pas
encore publié de communiqué.
Les employés de Bouygues L’activité de l’entreprise à l’étranger
Construction ont reçu le 30 janvier est également impactée et ses em-
SOURCES ET RÉFÉRENCES :
http://www.leparisien.fr/high-tech/le-geant-du-btp-bouygues-construction-cible-d-une-cyberatta-
que-30-01-2020-8248854.php
MOTS CLEFS : BOUYGUES, CYBERATTAQUE, RANSOMWARE
[RECORDED FUTURE] LA BACKDOOR PUPYRAT CIBLE LE SECTEUR DE L’ÉNERGIE
EN EUROPE
Recorded Future a identifié un tra- PupyRAT est un outil qui cible plu- fin, Magic Hound, Holmium), Cobalt
fic malveillant entre un serveur de sieurs plateformes (Windows, Linux, Gypsy et APT34 (aka OilRIG), ce qui
command and control (C2) pour le OSX, Android) qui fournit à l’atta- laisse supposer que l’un de ces ac-
malware PupyRAT et une entre- quant un accès complet au système teurs pourrait être responsable de
prise du secteur de l’énergie en de la victime. La backdoor est acces- cette cyber attaque.
Europe. Cette intrusion s’est dé- sible en source ouverte sur GitHub
roulée entre novembre 2019 et au et a été précédemment utilisée par
moins le 5 janvier 2020. les groupes iraniens APT33 (aka El-
SOURCES ET RÉFÉRENCES :
https://www.recordedfuture.com/pupyrat-malware-analysis/
https://securityaffairs.co/wordpress/96733/malware/pupyrat-backdoor-european-energy-sector.html
MOTS CLEFS : PUPYRAT, BACKDOOR, ÉNERGIE, EUROPE, IRAN
329 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 31 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[BLEEPINGCOMPUTER] LES SECTEURS DU GOUVERNEMENT, DU MILITAIRE ET DE LA FI-
NANCE CIBLÉS PAR LE STEALER RYUK
Les experts de MalwareHunter litudes au niveau du code. Aucune de scan de fichier et peut rechercher
Team ont découvert une nouvelle information ne permet à ce jour des mots-clés supplémentaires
version du stealer Ryuk permettant d’affirmer si les acteurs derrière le dans les noms de fichier pour mener
à l’outil de voler des documents ransomware Ryuk sont à l’origine de l’exfiltration de données. Ce sont ces
confidentiels en lien avec les sec- cette nouvelle fonctionnalité d’exfil- mots-clés qui permettent d’identi-
teurs militaire, gouvernemental, tration. fier les secteurs ciblés par Ryuk.
financier et bancaire. Le stealer est
à distinguer du ransomware Ryuk, La nouvelle version de Ryuk implé-
avec qui il conserve quelques simi- mente une nouvelle fonctionnalité
SOURCES ET RÉFÉRENCES :
https://www.bleepingcomputer.com/news/security/new-ryuk-info-stealer-targets-government-and-mi-
litary-secrets/
https://twitter.com/malwrhunterteam/status/1220700744984211458
MOTS CLEFS : RYUK, STEALER, GOUVERNEMENTAL, MILITAIRE, BANCAIRE, FINANCIER
[PALO ALTO NETWORKS] APT37 : CAMPAGNE DE SPEAR-PHISHING CIBLANT LE
GOUVERNEMENT AMÉRICAIN
Une famille de malware associée Cette campagne s’est déroulée ses intérêts stratégique - s’est ins-
au threat actor nord-coréen APT37 entre juillet et octobre 2019 et s’ins- piré du contexte géopolitique pour
(aka Reaper, Ricochet Chollima, crit dans le contexte d’un dialogue créer des objets de mails faisant ré-
Group 123, ScarCruft, Venus 121) tendu entre les Etats-Unis et la férence à l’actualité.
a été identifiée dans une attaque Corée du Nord au sujet de la dénu-
ciblant le gouvernement américain cléarisation. Conformément à son
ainsi que deux individus affiliés à la mode opératoire, APT37 - qui cible
Corée du Nord. des individus ou organismes liés à
SOURCES ET RÉFÉRENCES :
https://unit42.paloaltonetworks.com/the-fractured-statue-campaign-u-s-government-targeted-in-spear-
phishing-attacks/
MOTS CLEFS : APT37, CORÉE DU NORD, DÉNUCLÉARISATION, ETATS-UNIS, GOUVERNEMENT
429 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 31 JANVIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[REUTERS] DÉTOURNEMENTS DES INFRASTRUCTURES DNS POSSIBLEMENT PAR DES
HACKERS PRO-TURQUIE
Les attaquants ont intercepté le tères, ambassades et services de teurs agissant dans son intérêt - est
trafic internet des victimes pour sécurité, entreprises sont dénom- soupçonné d’intercepter et rediriger
le rediriger vers des serveurs sous brés. Parmi les victimes identifiées le trafic internet des habitants de la
leur contrôle, potentiellement sont cités les services de message- région. En effet, en 2018, des middle-
pour obtenir un accès non autorisé rie des gouvernements chypriote et boxes du réseau Türk Telekom, le
au réseau d’organismes gouverne- grec, les services de renseignement principal fournisseur de réseau turc,
mentaux. albanais, ainsi que le conseiller ira- ont été utilisées pour rediriger des
kien à la sécurité nationale. Ces centaines d’utilisateurs tentant de
Des attaques agissant probable- derniers auraient été compromis fin télécharger des programmes légi-
ment dans l’intérêt du régime turc 2018-début 2019. times vers des logiciels infectés par
ont ciblé des organismes en Europe un spyware.
et au Moyen-Orient. Au moins 30 Ce n’est pas la première fois que
organismes, comprenant des minis- le gouvernement turc - ou des ac-
SOURCES ET RÉFÉRENCES :
https://www.reuters.com/article/us-cyber-attack-hijack-exclusive/exclusive-hackers-acting-in-tur-
keys-interests-believed-to-be-behind-recent-cyberattacks-sources-idUSKBN1ZQ10X
https://www.arabnews.com/node/1618856/media
https://citizenlab.ca/2018/03/bad-traffic-sandvines-packetlogic-devices-deploy-government-spy-
ware-turkey-syria/
MOTS CLEFS : TURQUIE, TRAFIC, GOUVERNEMENT, EUROPE, MOYEN-ORIENT
529 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 31 JANVIER 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
Moving your security to the cloud? Cloud Act : entre mythes et réalités
Cloud security has been a hot topic in recent years. Le Cloud Act (Clarifying Lawful Overseas Use of Data)
Every indicator shows a stable growth for the next est ce qu’on appelle un « cavalier budgétaire » (dispo-
years, but can companies really move all their security sition d’une loi de finance étrangère au domaine de la
into the cloud? finance) introduit dans un amendement du projet de loi
de finances par le Président américain Donald Trump, le
Today’s world is the world of the cloud. According to 23 mars 2018. Le Cloud Act, a été adopté par le Congrès
Gartner, cloud-based security services are estimated to américain en l’absence de tout débat. Aucune étude
be worth $9bn by the year 2020. While there are some d’impact ou rapport n’a donc été rédigé en amont de
enterprises or divisions for whom cloud-based secu- l’adoption de cette loi fédérale (loi s’appliquant dans
rity isn’t on the priority list, the reality for the majority les 51 états des Etats-Unis). Seul le DoJ (Department
of businesses, especially rapidly growing ones, is that of Justice) a émis un white paper tendant à clarifier
cloud-based security is the only pathway that provides contenu du Cloud Act. Cette législation a pour objectif
cost efficient security. d’octroyer l’accès aux forces de l’ordre américaines
ainsi qu’aux gouvernements étrangers (sous certaines
—> Le billet complet conditions bien entendu) aux données de fournisseurs
de service Cloud (FSC) de droit américain stockées en
dehors des Etats-Unis.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
31/01/2020 - FL|INT.2020-022
TrickBot leverages a new Windows 10 UAC Bénéficier d’1 mois d’essai gratuit
bypass
et sans engagement à notre offre FLINT :
30/01/2020 - FL|INT.2020-021
Critical Vulnerability in OpenSMTPD (CVE-2020- https://www.sekoia.fr/flint
7247)
flint@sekoia.fr
29/01/2020 - FL|INT.2020-020
New Ragnarok ransomware targets vulnerable
Citrix ADC servers
629 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 31 JANVIER 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE APP & FEED
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
7Vous pouvez aussi lire
