SEKOIA THREAT INTELLIGENCE WEEKLY REPORT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
31 0114 FÉVRIER
MARS 2019 2020
TLP WHITE
SEKOIA
THREAT INTELLIGENCE
WEEKLY REPORT
TLP WHITE
EQUIFAX : L’ÉPILOGUE
CERT nationaux. Le bulletin équivalent du CERT-FR
Equifax est une agence américaine de notation informait que : « cette vulnérabilité est activement
spécialisée dans l’analyse de risques liés aux exploitée. Au vu de l’impact et du faible niveau de
crédits et aux emprunteurs. Ses clients sont des technicité nécessaire à l’exploitation de cette vulné-
sociétés d’assurance, des sociétés de crédits rabilité, le CERT-FR recommande donc le déploie-
aux particuliers comme aux entreprises, des or- ment du correctif dans les plus brefs délais. »
ganismes publics, des banques mais aussi des
cabinets de recrutement. Ses bases de données En mai 2017, soit trois mois après la publication du
contiennent des informations sur près de 800 mil- correctif d’Apache Struts mais quelques jours avant
lions de consommateurs particuliers et 88 millions que des dirigeants d’Equifax ne revendent leurs
d’entreprises. parts dans le capital de la société, des attaquants
ont exploité cette vulnérabilité présente sur un ser-
En septembre 2017 Equifax annonçait publiquement veur exposé sur Internet. A l’annonce de cette fuite,
avoir été victime d’une gigantesque fuite de don- l’action de la société a perdu 20% de sa valeur.
nées concernant 143 millions de citoyens américains
- ce qui représente 44% de la population américaine Les données volées à Equifax comprenaient des
- et quelques millions de citoyens britanniques et données personnelles - nom, prénom, adresse, date
canadiens. A l’origine de cette fuite : une vulnérabi- de naissance, permis de conduire - et près de 200
lité dans le cadriciel Apache Struts référencée CVE- 000 numéros de cartes bancaires. Des données qua-
2017-5638. Cette faille permettait à un attaquant de lifiées de “propriétaires” mais dont la nature exacte
provoquer une exécution de code arbitraire à dis- n’a pas été dévoilée, ont aussi été pillées.
tance. Découverte en mars 2017 - et corrigée - la
CVE-2017-5638 fit l’objet d’une alerte largement dif- Un an après l’annonce de l’attaque, le Government
fusée le 8 mars 2017 par l’US CERT et de nombreux Accountability Office (GAO) publia un rapport d’en-
Le THREAT INTELLIGENCE WEEKLY REPORT Vous retrouverez en dernière page des détails sur nos offres
est publié publiquement et gratuitement chaque de Cyber Threat Intelligence. Ces publications sont réservées à
semaine pour faciliter la compréhension des cy- nos clients, adaptées à leur secteur d’activité et à leurs besoins
bermenaces dans ses dimensions tant techniques spécifiques. Pour plus d’informations : threatintel@sekoia.fr
que géopolitiques. Abonnez-vous pour le recevoir
automatiquement par e-mail.
1
31 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 14 FÉVRIER 2020
TLP WHITE
EQUIFAX : L’ÉPILOGUE
quête sur cette fuite exposant une série de dysfonc- sortie de poursuites en justice à l’encontre des auteurs
tionnements qui ont rendu possible l’incident. Parmi d’activités cyber hostiles semble être un choix assumé
les causes : la non application des correctifs pour de la part des autorités judiciaires américaines. Pour la
Struts alors que les équipes IT d’Equifax avaient été Chine, cela pourrait presque être une habitude. Le pacte
informées par l’U.S. CERT, l’absence de segmen- de non agression passé en 2015 entre le président Oba-
tation réseau qui permit aux intrus de se latéraliser ma et le président Xi Jinping paraît rompu.
sans grande difficulté ou encore une mauvaise confi-
guration sur une sonde de détection d’intrusion. Le En ouverture de la China Initiative Conference qui s’est
certificat de chiffrement installé sur cette dernière tenue le 6 février dernier, Christopher Wray, directeur du
ayant expiré un an plus tôt, le trafic chiffré n’était plus FBI, a insisté sur la menace actuelle et persistante que
analysé. L’intrusion fut découverte lors d’un contrôle constituent les activités de cyberespionnage menées
de routine fin juillet. par la Chine. Celles-ci sont conduites par des services
gouvernementaux, au premier rang desquels l’APL,
Si l’ampleur de l’attaque fit l’objet de nombreux ar- mais aussi par des entreprises privées. Le FBI adresse
ticles et devint un cas d’école de tout ce qu’il ne faut ainsi une sérieuse mise en garde aux entreprises améri-
pas faire pour éviter un incident de ce type, l’identité caines de toutes tailles ainsi qu’aux universités : aucune
et la motivation de ses auteurs restaient encore in- ne doit se sentir à l’abri des appétits chinois. C. Wray a
connues. également évoqué le cas Huawei. Il appelle les sociétés
américaines à bien réfléchir aux risques que représente
Le 10 février, l’U.S. Department of Justice a levé le le choix de travailler avec “Huawei, qui a un accès aussi
mystère sur les attaquants et annonça l’inculpation large que les entreprises américaines en Chine” et “a été
de quatre citoyens chinois : Wu Zhiyong, Wang Qian, accusée de fraude, d’entrave à la justice et de vol de se-
Xu Ke et Liu Lei, appartenant au 54th Research Ins- crets commerciaux.”
titute de l’armée populaire de libération (APL). Cette
unité fournit un soutien technique au 4e départe- Le US Department of Justice a d’ailleurs publié le 13 fé-
ment de l’Etat-Major de l’APL en matière de rensei- vrier un acte d’accusation à l’encontre de Huawei, pour-
gnement d’origine électronique. suivie pour vol de secrets industriels et pour fournir des
moyens de surveillance aux régimes nord-coréen et ira-
Ce n’est pas la première fois que des membres de nien.
l’APL sont accusés de vol de données par la Justice
américaine. En 2014 et en 2015, l’United States Office Sources & Références
of Personnel Management (OPM) avait aussi été ciblé
par des attaquants chinois. Entre 4 et 21 millions de https://w w w.zdnet.com/article/doj-charges-four-
données personnelles d’employés civils d’agences chinese-military-hackers-for-equifax-hack/
fédérales avaient été volés.
h t t p s : // w w w. j u s t i c e . g o v/o p a /p r e s s - r e l e a s e /
Dans les deux cas, les motivations des attaquants file/1246891/download
restent inconnues. Equifax fournissant des études
du risque de crédits, il est envisageable que ces https://www.wired.com/story/equifax-hack-china/
données puissent être utilisées pour identifier des https://nakedsecurity.sophos.com/2020/02/12/us-
citoyens américains travaillant pour des agences charges-four-chinese-military-members-with-equifax-
gouvernementales ou des entreprises de secteurs hack/
stratégiques et dont la situation financière pourrait
être exploitée pour obtenir des informations moyen- https://www.reuters.com/article/us-usa-justice-cyber/
nant un petit coup de pouce financier. u-s-charges-four-chinese-military-hackers-in-2017-
equifax-breach-idUSKBN2041RT
Les autorités chinoises ont de leur côté vivement nié
toute implication dans cette attaque. https://www.justice.gov/opa/pr/chinese-telecom-
munications-conglomerate-huawei-and-subsidia-
La stratégie américaine du “naming & shaming” as- ries-charged-racketeering
231 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 14 FÉVRIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[FBI - IC3] PUBLICATION DU RAPPORT INTERNET CRIME REPORT 2019
L’Internet Crime Complaint Center de plaintes en 5 ans. 2 000 plaintes pour une perte esti-
(IC3) du FBI a publié son rapport mée à 8,9 million de dollars, toutes
pour l’année 2019. Les plaintes les plus fréquemment victimes confondues. Cette somme
signalées étaient des cas d’hame- est toutefois moindre comparée aux
L’IC3 a reçu plus de 460 000 plaintes çonnage, des escroqueries pour coûts de reconstruction supportés
de la part de victimes d’activités non-paiement ou non-livraison et par les entreprises victimes de ces
cybercriminelles en 2019, soit une des cas d’extorsion. Les plaintes les attaques.
moyenne de près de 1 300 par jour, plus coûteuses (pertes estimées à 1,7
et a enregistré plus de 3,5 milliards milliard de dollars) concernaient des
de dollars de pertes pour les parti- fraudes “au président” et des escro-
culiers et les entreprises, ce qui re- queries à la romance. Les attaques
présente un triplement du nombre de rançongiciels ont fait l’objet de
SOURCES ET RÉFÉRENCES :
https://www.fbi.gov/news/stories/2019-internet-crime-report-released-021120
https://www.welivesecurity.com/2020/02/13/fbi-cybercrime-losses-tripled-last-5-years/
MOTS CLEFS : CYBERCRIME, RAPPORT, FBI
[CHECKPOINT] LA SAINT VALENTIN EXPLOITÉE POUR DES CAMPAGNES
D’HAMEÇONNAGE
propager en 2018.
Les cybercriminels surfent sur les La société CheckPoint note ainsi une
sujets d’actualité ou des événe- augmentation de 200% du nombre Cette année, Ursnif et Emotet ex-
ments récurrents comme la Saint de contenus malveillants relatif à ploitent cet événement pour se
Valentin pour piéger leurs victimes. cette fête. Le rançongiciel GandCrab diffuser.
avait profité de cette date pour se
SOURCES ET RÉFÉRENCES :
https://blog.checkpoint.com/2020/02/12/valentines-chocolate-dont-always-equal-love/
MOTS CLEFS : PHISHING, SAINT VALENTIN, EMOTET, GANDCRAB, URSNIF
[RECORDED FUTURE] LA CORÉE DU NORD ÉTEND SES ACTIVITÉS DE CRYPTOMINAGE
Selon un rapport publié par la so- Cette activité s’inscrit dans les efforts Cette utilisation d’Internet pour
ciété Recorded Future, le régime du régime pour contourner les sanc- contrer des sanctions internationales
nord-coréen a augmenté ses capa- tions financières en vigueur contre le pourrait être reproduite par d’autres
cités de cryptominage. régime de Kim Jong-Un. pays comme l’Iran ou la Syrie.
SOURCES ET RÉFÉRENCES :
https://www.recordedfuture.com/north-korea-internet-tool/
MOTS CLEFS : CORÉE DU NORD, CRYPTOMONNAIE
331 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 14 FÉVRIER 2020
TLP WHITE
L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA
[LE MONDE] CRYPTO AG EXPLOITÉE PAR LES SERVICES SECRETS AMÉRICAINS ET
ALLEMANDS
Le Washington Post révèle que la Parmi ses clients, on trouve « l’Iran, des pays européens (Portugal, Italie,
société suisse Crypto AG a vendu les juntes militaires d’Amérique la- Irlande, Espagne) et des membres
pendant des dizaines d’années des tine, l’Inde et le Pakistan, et même de l’OTAN, a utilisé la technologie de
appareils de chiffrement truqués à le Vatican », explique le quotidien l’entreprise suisse.
plus de 120 pays après le rachat de américain.
cette société par les services se-
crets américains et allemands. Au total, une centaine de pays, dont
SOURCES ET RÉFÉRENCES :
https://www.lemonde.fr/pixels/article/2020/02/11/les-renseignements-americains-et-allemands-ont-
espionne-une-centaine-de-pays-grace-a-une-societe-de-chiffrement_6029228_4408996.html
https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-ma-
chines-espionage/
MOTS CLEFS : SUPPLY CHAIN ATTACK, CRYPTO AG, CHIFFREMENT
[CYBERSCOOP] CAMPAGNE DE CYBERSPIONNAGE CONTRE DES PALESTINIENS
Des hackers liés au Hamas au- mani pour envoyer à leurs cibles L’identité du groupe à l’origine de
raient mené une campagne de des mails contenant des fichiers ces campagnes n’est pas établie
cyberspionnage contre des offi- PDF piégés. La charge utile véhicu- mais le Hamas dispose depuis de
ciels palestiniens du Fatah. lée par ces fichiers malveillants ne nombreuses années de capacités
se déclenche que si le clavier de la cyber offensives.
Les attaquants ont exploité la mort machine compromise est configuré
du général iranien Qassem Solei- pour l’Arabe.
SOURCES ET RÉFÉRENCES :
https://www.cyberscoop.com/hamas-gaza-cybergang-cybereason/
MOTS CLEFS : HAMAS, RAT, CYBERESPIONNAGE
431 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 14 FÉVRIER 2020
TLP WHITE
NOS DERNIERS BILLETS MEDIUM
| medium.com/@sekoia_team | medium.com/cyberthreatintel | medium.com/sekoia-io-blog |
APT20: The limits of MFA exposed by a Chinese Le marché complexe des assurances Cyber
hacker group
Les attaques Cyber se démultipliant et coûtant de plus
What concerns us in this post is that APT20 suc- en plus cher aux entreprises et établissements privés,
ceeded in logging in maintaining access to the un marché d’assurances Cyber commence à s’implan-
compromised systems by logging in a VPN ac- ter dans le milieu professionnel européen.
count protected by Multi-Factor Authentications.
—> Le billet complet
As described by Fox-IT, APT20 probably stole a sof-
tware token in use in the victim’s organization du-
ring their intrusion. By patching some instructions
in the source code, they could have bypassed the
software’s security and installed it on their compu-
ter, which would then enable them to generate va-
lid OTPs (One-Time Password) for this VPN account.
—> Le billet complet
SEKOIA THREAT INTELLIGENCE FLASH REPORT (RÉSERVÉ À NOS CLIENTS CTI)
EXTRAITS DE NOS DERNIERS FLINT :
13/02/2020 - FL|INT.2020-032
KBOT virus spreading and intercepting online Bénéficier d’1 mois d’essai gratuit
transactions since April 2019
et sans engagement à notre offre FLINT :
12/02/2020 - FL|INT.2020-031
Malicious campaigns using Coronavirus as bait https://www.sekoia.fr/flint
11/02/2020 - FL|INT.2020-030 flint@sekoia.fr
Ragnar Locker ransomware targets remote ma-
nagement software used by MSP companies
531 SEKOIA THREAT INTELLIGENCE WEEKLY REPORT 14 FÉVRIER 2020
TLP WHITE
INTELLIGENCE-DRIVEN CYBERSECURITY
POUR SIGNALER UN INCIDENT
Si vous êtes victime d’une attaque, si vous avez un doute
ou si vous désirez revenir et investiguer sur un incident
de sécurité, prenez contact avec le CERT SEKOIA.
cert@sekoia.fr
+33 (0) 805 692 142
SEKOIA accompagne les premières sociétés du CAC40
dans la mise en place de leurs CERTs internes. VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-
TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE
Depuis 2013 SEKOIA active son CERT inter-entreprises et DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-
offre ses services à des OIV et autres acteurs du CAC40 FENSE.
et du SBF120.
SEKOIA.IO, une solution SaaS pour la détection et la
réponse aux incidents de sécurité à un nouveau rythme.
SEKOIA.IO exploite une CTI exclusive, des technologies
innovantes d’orchestration et d’automatisation et repose
sur une infrastructure scalable pour répondre au désé-
quilibre croissant existant entre les équipes de défense
LA THREAT INTELLIGENCE, et les attaquants.
PIERRE ANGULAIRE DE LA
LUTTE INFORMATIQUE DEFENSIVE
SEKOIA dispose d’une offre complète
en matière de Cyber Threat Intelligence :
• conseil & accompagnement, A PROPOS DE SEKOIA
• formation, Pure player et acteur français majeur de la cybersécuri-
• veille et rapport sur les cybermenaces : té, SEKOIA accompagne au quotidien grands comptes,
institutions et entreprises innovantes pour les conseiller
SEKOIA THREAT INTELLIGENCE BRIEFING REPORT sur leur stratégie, les préparer et leur offrir support et
assistance dans l’exercice de leurs métiers comme dans
SEKOIA THREAT INTELLIGENCE FLASH REPORT les phases les plus critiques d’exposition aux menaces.
SEKOIA THREAT INTELLIGENCE SPECIAL REPORT Découvrez une structure,
un modèle et une stratégie innovante
• base & feed de renseignements cyber : dans le secteur de la cybersécurité.
SEKOIA THREAT INTELLIGENCE CENTER
SEKOIA — PARIS
18-20,
Place de la Madeleine,
75008 Paris
SEKOIA — RENNES
1137A
Avenue des Champs Blancs
35510 CESSON-SÉVIGNÉ
—
Tél. +33 1 44 43 54 13
—
sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr
medium.com/cyberthreatintel | medium.com/sekoia-io-blog
6Vous pouvez aussi lire
