Cyberwarfare

[hadriel]

Le 2/8/2018 à 14:38, rogue0 a dit :

La LPM contiendrait aussi des propositions concrètes sur la cybersécurité (à confirmer, c'est le seul article qui en parle jusqu'à présent).

http://www.lemonde.fr/pixels/article/2018/02/08/cybersecurite-le-gouvernement-veut-mettre-les-telecoms-a-contribution-pour-detecter-les-attaques_5253808_4408996.html

Comme discuté plus haut, il s'agirait de mettre a contribution les opérateurs télécoms pour la cyberdéfense (puisque l'ANSSI n'a de mandat que pour surveiller l'IT gouvernementale et les infrastructures vitales).

En prévention d'attaque, il s'agirait de rechercher sur leurs réseaux, des signatures d'attaque en cours (DDoS, Mirai, ou plus sophistiqué), puis de prendre des mesures palliatives ( notifier les utilisateurs, ou bloquer les attaques).

C'est théoriquement une entorse à la neutralité des opérateurs (de tout laisser passer sans surveillance), mais on est à l'ère où des webcam connectées peuvent être piratées pour balancer des attaques de déni de service à 1 Tb/seconde ... il faut bien faire quelque chose.

 

Je réponds à tes questions du fil LPM:

Citation

Après, du point de vue d'un profane, ça me semble être l'extension logique de la loi de renseignement et des fameuses "boîtes noires" DPI, à brancher sur les opérateurs.
(bien plus intrusives pour la vie privée, vu que les DGSI et DGSE ont pour mandat le renseignement et la collecte).
Dont toutes les modalités d'application sont aussi fixé par décret/ordonnance.

Le chapeautage par l'ANSSI / ARCEP ne te rassure pas du tout ?
Ce ne sont pas des agences de collecte de renseignement, elles (contrairement à la NSA/Cybercom, qui sont légèrement Judge Dredd en la matière...)

La différence fondamentale est que les boites noires sont encadrées par la commission nationale de controle des techniques de renseignement, dont la composition et les pouvoirs sont prévus par la loi, et qui a de vrais pouvoirs de contrainte et un expertise à la fois juridique et technique. Et les boites noires ne concernent que les métadonnées si je me souviens bien.

Là on parle de "marqueurs techniques", qui peuvent tout à fait faire partie du contenu (un lien, une pièce jointe par exemple) si on a une interprétation large. Bien que l'ANSSI ne soit pas officiellement un service de renseignement, rien ne l'empêche de communiquer les conclusion de ses enquêtes aux services de renseignement (et je suis quasiment sur qu'elle le fait pour maintenir la direction technique de la DGSE et le commandement cyberdéfense au courant des menaces qu'elle voit), voire aux autorités judiciaires. Et la collecte des marqueurs sera encadrée on ne sait pas comment par l'ARCEP, vu que le gouvernement fixera les modalités du contrôle par ordonnance. Les parlementaire ne pourront même pas poser d'amendements.

L'article du monde est assez équilibré, dans la mesure où le journaliste n'était pas au courant du passage par ordonnances (le gouvernement a du lui cacher parce que politiquement ça la fout un peut mal)

[rogue0]

Il y a un nouveau directeur pour la NSA.

Ils n'ont pas cherché bien loin, il était déjà chef de CyberCOM.
Lt Général Paul M Nakasone.

Voilà la Biographie officielle:

https://www.army.mil/article/199703/biography_lt_gen_paul_m_nakasone_commanding_general_us_army_cyber_command

Il succède à Mike Rodgers, qui a subit des crises terribles pendant son mandat (la bombe Snowden, Shadow Brokers, piratage russes sur les élections, etc).

 

[Rob1]

Il y a 13 heures, rogue0 a dit :

Ils n'ont pas cherché bien loin, il était déjà chef de CyberCOM.

Attention,

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

[Rob1]

Le 10/02/2018 à 01:51, rogue0 a dit :

On trouve en page 56 du rapport un beau schéma sur leur théorie sur le rattachement des groupes de hacker.
Le FSB utiliserait le groupe Turla/ Snake/Uroboros pour leurs opérations offensives "déniables", et les centres  (16ème et 18ème) pour les opérations officielles de SIGINT et cyber.

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

Citation

the  GRU likely possesses the finest technological and operational capabilities  among Russia’s special services

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Modifié le 15 février 2018 par Rob1

[rogue0]

Un peu de news cyber française.

Publication par la SGDN de la revue stratégique de cyberdéfense.
Pas trop le temps de poster ( et c'est un gros bébé de 167 pages+), mais ça a l'air intéressant ... si on met les moyens derrière.

Voilà le document.
Les actions recommandées sont résumées à partir de la page 137.
(j'ai raté le RIE, réseau interministériel d'état qui semble comprendre un accès internet durci et contrôlé)

http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/

Et une première analyse par un chercheur infosec franco polonais (mais qui écrit en anglais, vu l'audience cyber...)

http://blog.lukaszolejnik.com/highlights-of-french-cybersecurity-strategy/

https://mobile.twitter.com/lukOlejnik

Note: spécial pour @hadriel : la coopération ANSSI et opérateurs télécoms est plus détaillée à partir de l'annexe 9, page 166.

[rogue0]

Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Ach so, ça m'apprendra à lire en diagonale.
Du coup, voilà une autre bio plus complète avec son parcours public:

https://www.cyberscoop.com/new-nsa-director-cyber-command-paul-nakasone-trump-rob-joyce/

PS: maitre Capello a eu une rénovation, cf plus bas

Ted Mosby

 

Le 14/02/2018 à 22:11, Rob1 a dit :

Et APT29 Cozy Bear travaille donc pour, réponse A : le FSB ; réponse B : le SVR ; réponse C : le FSB et le SVR ; réponse D : la réponse D.

Par ailleurs :

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

Attention, tu es à deux doigts de penser : "c'était mieux avant, au moins avec le KGB, c'était plus simple à retenir "

Modifié le 20 février 2018 par rogue0

[rogue0]

Autres news cyber:

• 1) L'administration Trump accuse formellement la Russie de l'attaque informatique NotPetya (qui a détruit 10% des ordinateurs en Ukraine).
  2) Et la menace de "conséquences"
  Pour le 1), c'est presque étonnant (ça doit être Kelly qui a dicté ce communiqué)
  Pour le 2), ce n'est pas crédible comme menace
  https://www.cyberscoop.com/uk-government-blames-russian-military-infamous-notpetya-cyberattacks/
  http://thehill.com/policy/cybersecurity/374104-trump-admin-blames-russia-for-global-cyberattack-warns-of-international
   
• Certains avaient prévenu que les JO de Corée seraient l'occasion des cyberattaques ( que ce soit des cibles, ou des prétextes de phishing)
  https://www.cyberscoop.com/winter-olympics-hack-pyeongchang-mcafee/
  https://www.cyberscoop.com/fancy-bear-us-senate-winter-olympics-trend-micro-threatconnect/)
  Pour une fois, les Cassandre avaient raison.
   
• La panne informatique qui a perturbé l'ouverture des jeux (et l'impression des billets) était en fait une attaque informatique.
  https://www.wired.com/story/olympic-destroyer-malware-pyeongchang-opening-ceremony/
  L'attaque a été préparée longtemps en avance : l'assaillant aurait piraté et compromis des identifiants d'Atos (prestataire informatique des jeux) depuis au moins le 27 décembre.
  L'attribution est toujours difficile, cependant les techniques de piratage sont similaires à NotPetya : et les russes étaient furieux de la quasi-exclusion des JO et des accusations de dopage (https://www.cyberscoop.com/fancy-bear-olympic-hack-ioc-wada/).
  Les détails techniques de l'attaque (qui semble viser plutôt les serveurs) : les PC ont été moins affectés: 
  https://blog.talosintelligence.com/2018/02/olympic-destroyer.html
  .

[zx]

Les intelligences artificielles pourraient balayer toutes les défenses numériques

http://www.01net.com/actualites/les-intelligences-artificielles-pourraient-balayer-toutes-les-defenses-numeriques-1378864.html#xtor=AL-123461

[collectionneur]

DJIHAD BUTLÉRIEN !!! 

Tu ne fera point de machines à l'esprit de l'Homme semblable.

On arrive a un point ou notre civilisation est bien trop vulnérable devant l'action de quelques groupuscules... 

[zx]

Allemagne: la cyberattaque toujours "en cours"

http://www.lefigaro.fr/flash-actu/2018/03/01/97001-20180301FILWWW00222-allemagne-la-cyberattaque-toujours-en-cours.php

[rogue0]

Le 26/01/2018 à 14:42, Rob1 a dit :

- Le FSB passe pour le service "favori" du pouvoir russe devant le SVR et le GRU... mais où sont donc ses pirates ?

A ce sujet, Thomas Rid a trouvé un scoop.

En faisant de l'archéologie sur la légendaire attaque Moonlight Maze/Makers Mark/Storm Cloud (années 96+ : des gigaoctets du Pentagone exfiltrés à l'ère des modem 56K... ), il a trouvé des logs complets de l'attaque sur un vieux serveur honeypot.
(grâce à des documents FOIA mal anonymisés par le FBI...)

Et bonus, il a trouvé de fortes similarité avec les outils d'attaque de Turla (un APT de haute volée, avec des techniques de masquage avancées).
Si c'est confirmé, alors ce serait un groupe de pirate avec une ancienneté comparable à l'Equation Group de la NSA...
Et grâce aux 6 mois de logs, on peut voir l'évolution des outils et techniques d'attaque.

résumé grand public
https://motherboard.vice.com/en_us/article/vvk83b/moonlight-maze-turla-link

conférence détaillée (ironiquement organisée par Kaspersky):
https://securelist.com/penquins-moonlit-maze/77883/

papier complet (35 pages)
https://kas.pr/4P8E

EDIT appendices techniques sur les 30+ outils capturés par le honeypot
https://kas.pr/z52c

 

Modifié le 3 mars 2018 par rogue0
ajout des appendices techniques

[rogue0]

brèves cyber en série :

• En russie, tout ce qui concerne les piratages / failles dans des infrastructures IT dites critiques devient un secret d'état.
  ça pourrait être raisonnable ... sauf que ça concerne aussi l'annonce du piratage... et la définition super large d'infrastructure critique.
  Source : VP de Kaspesky, Aleks Gostev
  http://tass.ru/politika/5003333/amp?__twitter_impression=true 
• https://mobile.twitter.com/codelancer/status/969608641887326212

Le 14/02/2018 à 13:48, Rob1 a dit :

Attention,

il était chef de l'Army Cyber Command, la contribution de l'US Army à l'US Cyber Command.

Audition parlementaire pour confirmer le nouveau chef de la NSA, Paul Nakasone 

https://www.cyberscoop.com/nakasone-nomination-hearing-they-dont-fear-us/

En résumé, il confirme l'état des lieux de son prédecesseur, cad que les adversaires des USA continuent leurs attaques ou ingérence, sans peur des représailles : normal, puisqu'elles sont souvent inexistantes (ou inaudibles vu les signaux contradictoires de PotUS vs le reste du gouvernement US : DDoS sur une institution de hacker nord coréen par exemple).

Il semble préparer le terrain à un portefeuille d'actions de représailles, surtout cyber, et de renforcer la défense.
Une posture totalement  défensive est perdante.

[rogue0]

Pour éviter des fiasco comme au Donbass (où des troufions russes ont posté des selfie en territoire séparatistes, quand les chefs niaient farouchement toute intervention),

Les autorités militaires ont choisi les méthodes traditionnelles de COMSEC... mais toujours efficaces.
https://medium.com/dfrlab/putinatwar-burner-phones-are-back-in-10c4dc368d7c

En déploiement, seule une petite liste de téléphone est autorisée...
Et aucun d'eux n'est un smartphone, ou n'a de caméra frontale.
Les chefs précisent bien que ces téléphones peuvent envoyer des SMS ... (en mode T9 à la mode des vieux nokia).

En cas de violation des consignes, les smartphones saisis sont littéralement crucifiés .
Et leur propriétaire ? ... no comment

[rogue0]

Le 17/02/2018 à 01:20, rogue0 a dit :

 

• La panne informatique qui a perturbé l'ouverture des jeux (et l'impression des billets) était en fait une attaque informatique.
  https://www.wired.com/story/olympic-destroyer-malware-pyeongchang-opening-ceremony/
  L'attaque a été préparée longtemps en avance : l'assaillant aurait piraté et compromis des identifiants d'Atos (prestataire informatique des jeux) depuis au moins le 27 décembre.
  L'attribution est toujours difficile, cependant les techniques de piratage sont similaires à NotPetya : et les russes étaient furieux de la quasi-exclusion des JO et des accusations de dopage (https://www.cyberscoop.com/fancy-bear-olympic-hack-ioc-wada/).
  Les détails techniques de l'attaque (qui semble viser plutôt les serveurs) : les PC ont été moins affectés: 
  https://blog.talosintelligence.com/2018/02/olympic-destroyer.html
  .

Suite de l'affaire.

Le Pentagone avait déjà annoncé que l'attaque informatique sur les JO était un false flag (russe) cherchant à blâmer les Nord Coréens, mais ça méritait confirmation.

Une confirmation indépendante vient de tomber lors de la conférence de sécurité de haut vol #SAS2018.
Ironiquement, ça vient des chercheurs de Kaspersky (société russe avec des liens au FSB)...

En gros, les créateurs du malware Olympic Destroyer ont bien recopié des modules du groupe Lazarus (nord coréen)...
Sauf que la procédure de mise en oeuvre étaient différente (exemple: au lieu de mot de passe de cryptage complexe de 30 caractères, mot de passe "123" ).

Rendus méfiants, ils ont remarqué que l'en-tête de compilation (supposément créé par le vénérable Visual Studio 6 1997 prisé par les nord coréens sans le sous) était un faux.
Vu sa signature, il a sans doute été créé sous Visual Studio 2010, puis édité ensuite pour ressembler (superficiellement) aux malware nord coréens.

Et si on élimine les Nord Coréens, il ne reste plus grand monde comme suspect.
Affaire classée.
(et un signe de plus que Kaspersky n'est pas tout pourri)

version grand public:

https://www.axios.com/olympic-destroyer-8fdef84a-16ea-4b31-a409-35bb75bad4b0.html?source=sidebar

version détaillée:

https://securelist.com/the-devils-in-the-rich-header/84348/

[Baba1]

Papier assez  pointu trouvé sur Springer : Torres, Douglas. "Cyber security and cyber defense for Venezuela: an approach from the Soft Systems Methodology." Complex & Intelligent Systems (2018).

Résumé (en anglais) :

Révélation

The use of the Internet by large sectors of society represents the interaction through information technology infrastructure, communication networks, information systems and telecommunications, as it determines the presence and exposure of cyber threats. The Soft Systems Methodology (SSM) was used to transit between observed reality and the world of systems, where emerges a Strategic Cyber Security and Cyber Defense Model (SCSCDM), proposed as a component of the security, defense and integral development of Venezuela. The human activities system foresees five subsystems: universal and inalienable guarantees of fundamental rights and freedoms of citizens; research, prevention, detection and management of cyber incidents; strengthening of economic welfare and social progress based on the development of information technology and communication; democratic, participatory, protagonist and pluralistic society; international cooperation and projection of cyber realm. The proposed system of human activities provides interaction with the environment where it is inserted, so the elements with which it interacts are identified.

Texte complet : http://rdcu.be/IOhw

Modifié le 11 mars 2018 par Baba1

[rogue0]

A prendre avec des pincettes, en attendant d'autres sources (pas trouvé l'analyse détaillée sur le site de Crowdstrike)

https://www.axios.com/china-broke-hacking-pact-before-new-tariff-tiff-d19f5604-f9ce-458a-a50a-2f906c8f12ab.html

Selon le fondateur de Crowdstrike, le nombre de cyber attaques chinoises sur les entreprises privées US (hors défense donc) aurait fortement augmenté en 2018 .
Ce type d'attaque avait été proscrite par un accord avec Obama et avait beaucoup baissé entre 2016 et 2017 (autorisant juste l'espionnage classique sur la défense et le gouvernement)
 

Le 23/03/2018 à 00:10, collectionneur a dit :

Déclenché une guerre économique et changé de conseiller à la sécurité nationale le jour même, est ce une bonne stratégie ? 

http://www.lepoint.fr/monde/le-journal-de-trump/trump-remplace-son-conseiller-a-la-securite-nationale-23-03-2018-2204855_3241.php

John Bolton, ex ambassadeur à l'ONU remplace le général MacMaster.

A priori, toujours avec des pincettes, ces attaques n'auraient pas été directement déclenchées aux sanctions de Trump.

Elles auraient démarré avant l'annonce fracassante de guerre commerciale de Trump à la Chine (précisément sur la protection intellectuelle des entreprises US).

Modifié le 11 avril 2018 par rogue0

[rogue0]

Du nouveau sur Vault7

Le gouvernement US prétend avoir trouvé la source probable de la fuite Vault7 (outils de hacking de la CIA, fièrement exhibés par Wikileaks... Et depuis, Trump / Pompéo ne sont plus des fans d'Assange ).
Ce serait un ancien employé de la CIA (division cyber), parti en mauvais terme (et en prison depuis pour ... un serveur de partage tipiak de films et de musique ).

Mais ils ne sont pas arrivés à trouver des preuves suffisantes pour l'inculper formellement.

https://www.washingtonpost.com/world/national-security/us-identifies-suspect-in-major-leak-of-cia-hacking-tools/2018/05/15/5d5ef3f8-5865-11e8-8836-a4a123c359ab_story.html?noredirect=on&utm_term=.215194d75341

Avis personnel:
Je trouve l'acte d'accusation très faible (que ce soit du côté CIA ou piratage audiovisuel):
L'article a peu de détails, mais en gros, même après avoir saisi son téléphone, ses ordinateurs, et ses logs, ils ne peuvent lui reprocher que 2 choses:

• avoir utilisé Tor sur ses machines
• avoir mis en place un serveur de partage privé de copie pirate (comme zone téléchargement ?), sur lequel certains utilisateurs ont mis du contenu pédophile.

Bref, des infractions de classe HADOPI ...
Je doute que quelqu'un ait pu effacer toutes ses traces de conspiration/communication avec Wikileaks, vu le niveau des cyberforensics (analyse physique des disque dur pour récupérer les données effacées ou incendiées ...).

Pour le reste des accusations d'ex-employé de la CIA revanchard, l'accusé répond qu'il avait simplement dénoncé des chefs et bureaucratie incompétentes à l'inspection interne et à une commission parlementaire.
Bref, impossible de trancher à notre niveau.

Révélation

Le 07/03/2017 à 20:32, rogue0 a dit :

Petite brève rapide:

Wikileaks a tenté de faire le buzz à propos d'une grande révélation dénommée Vault 7, qui a été dévoilée aujourd'hui.

Qu'est-ce que c'est ?
C'est censé être une grosse archive de milliers de documents et outils de hacking, qui aurait "fuité" des divisions techniques de la CIA (Directorate for Digital Innovation , à prendre avec de grosses pincettes).
Ces outils de hacking sont très variés, et semblent empiéter le domaine de la NSA (TV connectées, GPS, voitures reprogrammées pour espionnage).

Le 10/11/2017 à 17:42, rogue0 a dit :

Attention, Wikileaks se met à livrer des code source complet des outils de la CIA. 

Avec Vault7, ils s'étaient limité volontairement à dévoiler les documents techniques (toutes les semaines, suffisant pour griller les techniques et outils, pas assez pour aider les créateurs de malware)

Ils ont commencé une autre série de dump Vault8 (hebdomadaire ?), où ils fournissent tout le nécessaire pour recréer les outils (code source des outil + l'environnement de compilation + exemples).
C'est autrement plus dangereux (mais ils annoncent ne pas publier de 0 day ou de trucs "trop" dangereux).

 

 

 

Modifié le 22 juin 2018 par rogue0

[Conan le Barbare]

Sympa les reportages Vice.

 

Modifié le 24 mai 2018 par Conan le Barbare

[rogue0]

Les géants internet avaient introduit des box connectées, muni d'assistant à reconnaissance vocal ... qui écoutent en permanence.
Un rêve pour l'espionnage (c'était déjà  Noël avec les smartphones qui ont le potentiel de tout géolocaliser et enregistrer, parfois sans piratage)

Et fatalement, on a un exemple concret de ce qui peut arriver.

Une box (Amazon Alexa ici) a envoyé l'enregistrement d'une conversation privée domestique ... à l'un de ses subordonnés (au travail).
L'excuse technique ?
Il y avait trop de bruit de fond, la box l'a interprété comme "envoi à un contact"...

https://www.recode.net/2018/5/24/17391480/amazon-alexa-woman-secret-recording-echo-explanation

 

[rogue0]

Une brève sur les téléphones de POTUS.

https://www.politico.com/story/2018/05/21/trump-phone-security-risk-hackers-601903

Il avait accepté de se débarrasser de son Galaxy S3 ouvert aux 4 vents, au profit de 2 iPhone* (c'est déjà mieux ... mais piratable pour toute organisation ayant quelques millions de $ de ressource ... comme des SR)...

Par contre, il refuserait de suivre les procédures de sécurité de la Maison Blanche, comme :

• changer régulièrement de téléphone (burner phone), ou
• le faire examiner par la sécurité (tous les mois, pour réduire les chances de piratage/rootkit).
• Ou même désactiver la webcam (idéal pour l'espionnage en douce).

Le dernier contrôle de cybersécurité, c'était il y a 5 mois... (bon, ils ont au moins désactivé la puce GPS).

La raison invoquée par POTUS : la sécurité, c'est pas pratique ("too inconvenient").

C'est compréhensible pour un quidam moyen, et absolument pas pour un chef de gouvernement.

Pour rappel:

• le téléphone du Chief of Staff (Kelly) avait été piraté pendant plusieurs mois, avant qu'il ne s'aperçoive de quelque chose.
  Depuis (et aussi pour limiter les nombreuses fuites), les smartphones personnels sont interdits, et enfermés dans des coffres / cages de Faraday.
   
• Et pour rappel, le candidat Trump avait violemment et fréquemment critiqué le serveur mail personnel de Hillary comme un danger mortel pour la sécurité nationale (et donc "lock her up").
  C'est aussi une violation de sécurité, mais fréquente (plein de gens renvoient leurs emails professionnel sur le mail personnel, pour les lire sur leur smartphone...  parce que c'est plus "convenient").
  
  Faites ce que je dis, pas ce que je fais ...

(* Les iPhone ont été (légèrement) customisés, mais ça n'a rien à avoir avec le Blackberry d'Obama, où le GPS et la webcam avaient été enlevé, et durcis par la NSA)

[rogue0]

Repost du fil Services de renseignement

The Intercept et NHK ont publié des révélations sur le discret service SIGINT japonais (Directorate for Signals Intelligence, or DFS).
Ils incluent 3 nouveaux documents Snowden.

En résumé, rien de très croustillant.

https://theintercept.com/2018/05/19/japan-dfs-surveillance-agency/

http://www6.nhk.or.jp/special/detail/index.html?aid=20180519 (en japonais)

[rogue0]

Les chercheurs de Cisco Talos alertent sur une nouvelle famille de malware modulaire.
Ils craignent une attaque massive dans les jours à venir.

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

Baptisée VPNFilter, elle aurait déjà infecté 500 000+ équipements réseaux dans 54 pays.
Parmi les cibles déjà connues pour l'instant: des routeurs (Linksys, MikroTik, NETGEAR,TP-Link) ,  et des NAS (QNAP).

Le malware est persistant (la Phase 1 résiste au reboot), sophistiqué et modulaire (des modules de sniffage / espionnage de machines  industrielles SCADA Modbus, et de destruction du matériel ont été repérés), et des réseaux sophistiqués de contrôle (passage des instruction via les tags EXIF de grands sites de photo...).
Il est évidemment capable de coupure ou de filtrage internet à grande échelle.

Révélation

Ce qui justifie l'alerte?

les chercheurs ont détecté ce mois ci un gros pic d'infection centré sur l'Ukraine, avec un serveur de contrôle dédié.

Ils ont décidé de publier l'alerte maintenant (avant d'avoir fini leur étude), car :

• Plusieurs grosses cyber attaques sur l'Ukraine ont eu lieu pendant des jours fériés (NotPetya, plusieurs milliards de $ de dégâts dans le monde) :
• et justement, on s'approche de plusieurs gros événements (gros match de foot Ukraine le 26/05, et la fête d'indépendance dans 1 mois).
• par ailleurs, ces équipements réseaux sont difficiles à protéger par nature :
  peu ou pas de MAJ possible, peu ou pas d'antivirus/firewall, et ils doivent être accessibles en réseau pour fonctionner.

Les chercheurs de Cisco refusent de spéculer sur l'attribution.

Mais vu la similarité avec les malwares BlackEnergy (sabotage du réseau électrique), la cible (Ukraine), et les attaques précédentes, le suspect n°1 reste toujours le même voisin du nord...

Le FBI a été alerté et a saisi un premier domaine servant au C&C (contrôle) du malware : sauf qu'il est résistant à ça.
Le FBI ne prend pas de gants et accuse directement des hackers pro-russes (APT28/Sofacy / Fancy Bear/Sandworm).
https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

Autres sources & commentaires:

https://www.wired.com/story/vpnfilter-router-malware-outbreak/

https://www.cyberscoop.com/vpnfilter-ukraine-talos-cyber-threat-alliance/

version française vulgarisée (mais pas mauvaise)

https://www.lemonde.fr/pixels/article/2018/05/25/ukraine-un-virus-informatique-virulent-repere-a-la-veille-de-la-finale-de-ligue-des-champions_5304398_4408996.html

 

Modifié le 25 mai 2018 par rogue0

[rogue0]

Suite de l'affaire Trisis/Triton (malware de sabotage industriel, capable de destruction physique, notamment sur des raffineries, usines et centrales électriques).

Révélation

Le 20/12/2017 à 15:44, rogue0 a dit :

Découverte de Triton, un nouveau malware ciblant expressément des process industriels (ICS) (au Moyen Orient).
C'est le 5ème connu, avec ceux sabotant les réseaux électriques, et Stuxnet.

Il est capable d’interférer avec les systèmes de contrôle de Schneider Electric  (Triconex safety instrumented system (SIS)).
(arrêt ou sabotage destructif)

L'auteur est inconnu ( pas de similarité avec les 4 autres malware connus ciblant les réseaux de contrôle industriels)

https://www.cyberscoop.com/triton-ics-malware-fireeye-dragos/

découvreurs Fireeye et Dragos

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

https://dragos.com/blog/trisis/index.html

 

Selon la firme de sécurité Dragos, des variantes de Trisis auraient été détectées aux USA.

https://www.cyberscoop.com/trisis-industry-vigilance-dhs-ics-cert-dragos/
https://www.cyberscoop.com/xenotime-ics-cyber-attacks-trisis-dragos/

Surnom du groupe créateur de ces malware : Xenotime

Pour rappel, Trisis avait été repéré initialement l'été 2017 en Arabie Saoudite, où il tentait de saboter physiquement une raffinerie de pétrole (via son système de contrôle SIS (safety instrumented system) Triconex, par le français Schneider Electric)
Heureusement, les attaquants auraient commis des erreurs dans les paramètres de l'attaque, et la raffinerie s'est "simplement" arrêtée.

L'analyse aurait révélé un malware sophistiqué, développé avec de gros moyens (ciblant des systèmes de sécurité industriels propriétaires).
Tout comme pour Stuxnet, cela nécessite l'accès à des machines similaires.
La NSA a nié être l'auteur de Trisis (et vu le ciblage de l'Arabie et des USA, c'est peu probable), et suis l'affaire de près.
https://www.cyberscoop.com/trisis-ics-malware-saudi-arabia/

(d'ailleurs, quelqu'un a fait une gaffe, et a uploadé une partie des librairies du malware sur VirusTotal... du coup, ils circulent sous le manteau maintenant )

La firme Dragos donne peu d'indicateurs techniques sur l'attaque (c'est réservé aux clients payant), mais elle a bonne réputation ...
C'est la 1ère firme de cybersécurité spécialisée dans la protection des infrastructure industrielle.
Et c'est elle qui avait analysé les attaques sur le réseau électrique Ukrainien (CrashOverride)

 

 

 

[rogue0]

La chambre des représentants US souhaite intensifier la coopération sur les menaces cyber avec les autres parlements des "Five Eyes".

Le but serait de mieux se protéger contre des cyber-attaques visant les parlements (ou les élections), style Bundestag en 2013, ou les partis US (DNC et républicain, et infrastructures électorales) en 2016

https://www.cyberscoop.com/cyberthreat-information-sharing-congress-parliaments-five-eyes/

[Philippe Top-Force]

Le gouvernement chinois a volé une masse de données secrètes de l’US Navy  http://www.45enord.ca/2018/06/le-gouvernement-chinois-a-vole-une-masse-de-donnees-secretes-de-lus-navy/