Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991

Messages recommandés

  • 2 weeks later...
Le 08/03/2016 à 18:45, g4lly a dit :

Dans l'iphone - pas celui de san bernardino - le probleme est d'ailleurs ailleurs ... Apple a introduit un solution hardware - un chipset dédié intégré au SoC avec une bete et vieille solution AES 256 - au chiffrement des données qui limite l'acces a la séquence de démarrage et qui peu effacer le contenu en cas de fausse manoeuvre répété ... ce qui limite les attaque  brute force externe.

A propos de la problématique des smartphones cryptés (que le FBI critique depuis toujours parlant de "going dark", cad les preuves disparaissent dans le noir):

Des firmes de sécurité comme Cellebrite s'étaient ruées sur le filon, en proposant de déverrouiller les smartphones envoyées par les forces de l'ordre (contre une grosse commission).

Un nouveau venu, Grayshift avait même créé des "box" permettant de débloquer sur place les téléphones (sans compétences techniques particulières), pour la modique somme de 15k$ (voire 30k$ en illimité et sans DRM/connexion à internet).
Technique: sans doute une faille via la connexion USB, permettant de contourner la limitation des tentatives de connexion...
Et donc de tester toutes les combinaisons par force brute en quelques jours / semaines.

graykey.jpg

https://www.numerama.com/tech/336212-un-boitier-pour-deverrouiller-nimporte-quel-iphone-a-la-decouverte-de-graykey.html

https://blog.malwarebytes.com/security-world/2018/03/graykey-iphone-unlocker-poses-serious-security-concerns/

La technique est sans doute devenue trop célèbre.
Apple a prévu une MAJ d'Iphone pour fermer la vulnérabilité permettant à ces box de fonctionner
Et la lutte épée - bouclier étant éternelle même pour l'IT, Greyshift prétend avoir déjà contourné la protection.

La guerre continue...

https://www.nytimes.com/2018/06/13/technology/apple-iphone-police.html

https://motherboard.vice.com/en_us/article/pavwzv/cops-are-confident-iphone-hackers-have-found-a-workaround-to-apples-new-security-feature

La polémique est moins critique qu'il n'y parait.
Apple a discrètement étendu la sauvegarde dans le Cloud à plus de données...
Et ces données - elles- ne sont pas cryptées avec le mot de passe utilisateur : Apple a l'obligation légale de les fournir en cas de demande judiciaire...

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Quelques brèves cyber

  • L'équipe derrière le piratage des JO 2018 (Olympic Destroyer) aurait refait surface.

    Malgré la présence de code du groupe Lazarus (NK), l'attaque est largement considérée comme un false flag, et avait été attribuée au célèbre groupe APT28/Fancy Bear / Sofacy  (lié aux SR russes) ... y compris l'équipe GREAT de Kaspersky (société de sécurité russe et accusé de servir les SR russes) et FireEye. (notamment parce qu'il réutilisait les serveurs de contrôle de APT28...)

    La dernière campagne de piratage depuis Mai 2018 semble concerner 2 types de cibles (toujours par phishing/hameçonnage de documents vérolés):
     
Révélation

 

Le 19/05/2018 à 02:13, rogue0 a dit :

Du nouveau sur Vault7

Le gouvernement US prétend avoir trouvé la source probable de la fuite Vault7 (outils de hacking de la CIA, fièrement exhibés par Wikileaks... Et depuis, Trump / Pompéo ne sont plus des fans d'Assange :dry:).
Ce serait un ancien employé de la CIA (division cyber), parti en mauvais terme (et en prison depuis pour ... un serveur de partage tipiak de films et de musique :dry:).
Mais ils ne sont pas arrivés à trouver des preuves suffisantes pour l'inculper formellement.

https://www.washingtonpost.com/world/national-security/us-identifies-suspect-in-major-leak-of-cia-hacking-tools/2018/05/15/5d5ef3f8-5865-11e8-8836-a4a123c359ab_story.html?noredirect=on&utm_term=.215194d75341

 


 


Addendum:

Accusations par Symantec de piratage par le groupe Thrip (présumé chinois) visant les firmes opérateurs de satellites ( + la défense, mais ça ça fait "partie du jeu")
EDIT: ajout de l'image

Thrip-APT.jpg?ssl=1

https://www.politico.com/story/2018/06/19/chinese-hackers-targeted-satellite-and-defense-firms-researchers-find-1442591
EDIT: https://securityaffairs.co/wordpress/73732/breaking-news/thrip-apt.html

Modifié par rogue0
nettoyage
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

 

Le 22/06/2018 à 12:32, rogue0 a dit :

 

Finalement, j'enlève les pincettes à propos de Schulte.

A part les accusations de viol et de pédophilie (du gouvernement US) :

En fouillant dans son passé numérique public (via internet wayback machine), le gars est un bon candidat pour les Darwin Awards... catégorie pire sécurité opérationnelle jamais vue.

Il aurait cherché via son compte google personnel comment se connecter au réseau "anonyme" TOR (alors qu'il était en sursis, avec interdiction de toucher à un ordinateur)

Révélation

Il avait posté sur son site web perso et github  (serveur de source partagé) , du code de logiciels de la CIA sur lesquels il a travaillé (et la CIA ne s'en était jamais aperçue).
Accessible à tous, non crypté, et sans mot de passe.

Il avait posté sur son site web et blogs des fichiers et captures d'écran reliant ses divers alias, ses comptes en banque, ses amis, etc.
Ses photos et captures d'écran (disponibles publiquement) exhibent ses opinions politique (F*** Obama), citent du Ayn Rand, et vomissent sur les liberals...

Ah, et voici le pompon : il avait crypté (via Trucrypt?) des infos "sensibles" (comme les photos pédoporno).
Les enquêteurs ont réussi à l'ouvrir parce que ... le mot de passe était le même que son compte bancaire :rolleyes:.

 

Bref, dans tous les cas, le gars méritait de perdre son habilitation Secret...

https://www.thedailybeast.com/exclusive-cia-leaker-josh-schulte-posted-agency-code-onlineand-cia-never-noticed?ref=scroll

https://motherboard.vice.com/en_us/article/qvn83q/joshua-schulte-cia-vault-7-wikileaks-opsec

Au-delà, il y a des spéculations sur le timing entre ses actions (connexion TOR) et les publications de wikileaks.
Mais c'est plus difficilement vérifiable, voir tiré par les cheveux:

https://www.emptywheel.net/2018/06/20/the-day-after-assange-threatened-don-jr-accused-vault-7-leaker-joshua-schulte-took-to-tor/

Modifié par rogue0
orthografe
  • Haha (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Vu chez Bruce Schneier:

3 vulnérabilités structurelles découvertes dans les standards de 4G mobile (et pas encore patchée en standard dans la future 5G).

https://alter-attack.net/

https://m.phys.org/news/2018-06-gaps-lte-mobile-telephony-standard.html

https://arstechnica.com/information-technology/2018/06/lte-wireless-connections-used-by-billions-arent-as-secure-as-we-thought/

<mode CERT ON>

Impact :

démonstrations en live de :

2 vulnérabilités permettant (malgré le chiffrement du traffic)

  1. d'identifier l'utilisateur
  2. de deviner quels sites sont consultés (via analyse des flux de données )

La vulnérabilité la plus grave affecte les consultation de site non durcis (cad http  et https : seuls les sites utilisant les extensions de sécurité HSTS et DNSSEC sont "protégées" contre ce type d'attaque).
Elle rend les usagers vulnérables à des redirections vers des faux sites (vol d'identifiant) : il suffit pour cela de 4k$ de matériel en vente libre (pour intercepter, altérer et retransmettre les paquets 4G).

Correctif: aucun
Les vulnérabilités sont structurelles, aucun correctif n'est possible.
On peut faire des palliatifs partiels en passant à la norme DNSSEC et HSTS

Origine : les paquets de données sont chiffrés, mais leur intégrité n'est pas garantie : il manque 4 octets par paquet (tout ça pour économiser de la bande passante aux opérateurs...)
 

  • Triste 1
Lien vers le commentaire
Partager sur d’autres sites

Un peu de hard ware pour changer :)

https://www.challenges.fr/entreprise/cyberdefense-la-start-up-qui-donne-des-sueurs-froides-a-airbus-et-thales_600564.amp

La start-up française Gatewatcher mène la vie dure aux géants Thales et Airbus sur un marché ultra-stratégique : les sondes informatiques de détection de cyberattaques, destinés à protéger les entreprises et administrations vitales...

  • J'aime (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

Le 10/05/2017 à 19:27, rogue0 a dit :

Edit : Vu chez schneier : source journal allemand

La double authentification par envoi de code sur smartphone (two form authentification) a été cassée et déjà exploitée par des pirates allemands.

https://www.schneier.com/blog/archives/2017/05/criminals_are_n.html

Révélation

Bon ce n'était qu'une question de temps. La faille dans le protocole ss7 est connue depuis plus de 2 ans, et comme d'habitude, c'est après un crime que les sociétés recherchent une solution...

Edit :  Bon on utilise quoi comme moyen de sécurisation global pour les achats par internet ? Capteur d'empreinte sur smartphone ? (avec hash et salage)

Cf cet article pour l'historique  :  certains commentaires anglais sont intéressants pour les liens telecom - SR anglais, mais complètement non vérifiables. quelqu'un peut confirmer ? 

(en gros des failles de conception pour ne pas dire des backdoors datant du réseau RTC)

https://www.schneier.com/blog/archives/2015/08/ss7_phone-switc.html

 

Une piqûre de rappel sur le danger de faire reposer toute l'authentification internet par le téléphone (code de confirmation envoyé par SMS, alias 2 form authentification).

En plus de détournement via le protocole SS7 (déjà exploité par des criminels), des hackers s'amusent à prendre le contrôle de ligne téléphonique via "sim-swapping"...

https://motherboard.vice.com/en_us/article/vbqax3/hackers-sim-swapping-steal-phone-numbers-instagram-bitcoin
En gros, la pratique consiste à convaincre le service client que le téléphone a été volé, et qu'il faut donc désactiver l'ancienne carte SIM, et de basculer sur une nouvelle.
Soit  via ingénierie sociale (usurpation d'identité), soit ... via des employés soudoyés.

Résultat: cela permet de voler toute la vie numérique des victimes (ou tenter de vider leurs comptes en banque, en ligne, portefeuille de crypto monnaie).

C'est assez facile aux USA, vu le nombre de fuites de données confidentielles, utilisables pour convaincre le service client que le pirate est bien le propriétaire légitime (le numéro de sécurité sociale US est confidentiel, et permet facilement de demander des prêts bancaires...).

Lien vers le commentaire
Partager sur d’autres sites

Le 10/05/2017 à 19:27, rogue0 a dit :

Cf cet article pour l'historique  :  certains commentaires anglais sont intéressants pour les liens telecom - SR anglais, mais complètement non vérifiables. quelqu'un peut confirmer ?  

Effectivement les interceptions postales et téléphoniques britanniques étaient faites au sein du General Post Office, l'équivalent de nos PTT (comme dans tous les pays ou presque, je pense), et c'est leur personnel qui faisait l'ouverture de lettres et l'installation de bretelles, et leur labo qui développait des techniques d'interception. Du coup, MI5 et MI6 se reposaient sur leur labo pour les nouvelles techniques. Peter Wright liste notamment : activation à distance d'un téléphone raccroché pour l'utiliser comme un micro dans la pièce où il se trouve, micro utilisant les mêmes câbles pour recevoir l'énergie et retransmettre le son, et une partie du matériel utilisé dans le fameux tunnel de Berlin.

Sur un ton moins "anti-système", je me permets de remarquer qu'Andrew dans The Defence of the Realm détaille la mise sur pied du mécanisme légal des interceptions administratives au début des années 1910 : dès le début, ces Home Office Warrants (HOWs) étaient signés par le ministre de l'intérieur. Par rapport au vide législatif français, ça laisse rêveur.

  • Merci (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 3 weeks later...
Le 17/02/2011 à 11:51, alexandreVBCI a dit :

En janvier 2010, c'était Google qui se disait victime d'attaques originaires de Chine, qui visaient notamment des comptes Google appartenant à des militants des droits de l'Homme.
http://www.lefigaro.fr/international/2011/02/17/01003-20110217ARTFIG00401-le-canada-vise-par-une-cyberattaque-chinoise.php

Suite à cette affaire, Google s'était retiré du marché chinois, gagnant un satisfecit de la part des militants des droits de l'homme (et de son slogan d'alors "don't be evil" ).
(bon, de toute façon, les autorités chinoises lui auraient mis de toute façon des bâtons dans les roues pour favoriser les champions nationaux)

Avance rapide de 8 ans.

Google a discrètement enlevé "don't be evil" de son credo...

Et selon des fuites internes via TheIntercept, Google avait préparé en secret des versions censurées de ses applications et moteur de recherche. (projet "Dragonfly" depuis 2017)
L'objectif ? Revenir sur le marché chinois, et prendre une part du gâteau.
Ils attendaient juste que la guerre commerciale
se calme un peu pour dévoiler le projet.

Source:
https://theintercept.com/2018/08/01/google-china-search-engine-censorship/

http://www.lefigaro.fr/flash-eco/2018/08/02/97002-20180802FILWWW00030-pour-revenir-en-chine-google-teste-un-moteur-de-recherche-censure.php (en français)
https://www.afp.com/en/news/23/google-developing-censor-friendly-search-engine-china-source-doc-1829ab3


Résultat ?
La firme se fait vertement critiquer de tous les côtés (droit de l'hommiste, élus), de vendre ses "principes" pour des parts de marché:rolleyes:
Et il fait surtout face à une révolte interne (pour ça, et le projet Maven d'IA pour drone militaire).
https://theintercept.com/2018/08/03/google-search-engine-china-censorship-backlash/

En prenant un peu de recul, la critique est un peu injuste.
Microsoft lui avait choisi depuis longtemps de baisser la tête et de s'autocensurer (avec Bing et hotmail), et personne ne le critique :dry:

 

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

L'étape après les machines à voter électronique (facilement piratables et des boîtes noires propriétaires sans reçu papier) ?

Le vote ... via application de smartphone :
Voatz, une start-up US
pousse sa solution ... qui sera vraiment utilisée pour les prochaines élections de Virginie Occidentale (essentiellement pour les militaires et autres expatriés)
https://money.cnn.com/2018/08/06/technology/mobile-voting-west-virginia-voatz/index.html
Ah, et ils utilisent les buzzword "à la mode" : ils proclament fièrement utiliser du blockchain et de la reconnaissance faciale...

Sans surprise, la société se fait démonter par tous les experts.
Au delà des faiblesses structurelles (vérification d'identité, registre électoral, vol de smartphone, réseaux mobiles non sécurisés, non répudiation du vote, pas de reçu papier ...),
l'implémentation a l'air ... typique d'une startup:
serveur non patché, mots de passe en dur dans les codes sources sur github,
(et en plus, ils avaient pris un stagiaire d'origine russe pour bosser sur les systèmes électoraux US...)

https://www.vanityfair.com/news/2018/08/smartphone-voting-is-coming-just-in-time-for-midterms-voatz?mbid=social_twitter

(fil twitter à dérouler)

  • J'aime (+1) 1
  • Haha (+1) 1
  • Confus 1
Lien vers le commentaire
Partager sur d’autres sites

Le 14/02/2018 à 22:11, Rob1 a dit :

j'ai cru comprendre que le GRU avait été le principal héritier des moyens SIGINT de la FAPSI, mais curieusement les fuites qui parlaient du premier satellite d'écoute géostationnaire russe "Olimp" il y a quelques années disaient qu'il était exploité par le FSB.

A propos des "hackers patriotiques" russes, voici un article détaillé de meduza à leur sujet.

A prendre avec un peu de recul, car meduza est un media d'opposition russe : mais ils ont sorti des scoops solides sur l'usine à troll / APT28 / le piratage du DNC (en grande partie recoupés avec l'acte d'inculpation de Mueller).

https://meduza.io/en/feature/2018/08/07/it-s-our-time-to-serve-the-motherland

L'article retrace les premiers débuts de ces hackers, pour la Tchétchénie (1999), la Géorgie (2008) : parfois en freelance, et parfois coordonnés par les SR (via des collectifs anonymes style Stopgeorgia.ru) .

Je note le parcours de Dokuchaev, initialement hacker freelance "Forb" qui faisait des fraudes à la carte bleue, puis embauché par le FSB vers 2006, et promu jusqu'à être un manager en sécurité IT du FSB (avant d'être arrêté par le GRU en 2016 sous accusation d'avoir tuyauté les américains ...).

Et les SR russes continuent à recruter les hackers notamment en les coffrant puis en leur proposant l'amnistie en bossant pour eux (style Nikita).
(ce qui n'est pas une politique stupide en soit)

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Le 14/01/2018 à 01:59, rogue0 a dit :

Retour sur l'attribution de NotPetya (le wiper qui a coûté des milliards à St Gobain, AP Maersk, et surtout l'Ukraine, etc).

1 an après, Wired revient sur l'attaque du malware NotPetya, au coût estimé de 10 G$ dans le monde :

  • paralysie de l'Ukraine (effaçant 10% des ordinateurs du pays, concentrés sur les banques, institutions et entreprises),
  • contamination vers le monde entier, avec paralysie des hopitaux anglais,
  • blocage des flux logistiques des multinationales, surtout celles bossant avec les ukrainiens : (vaccins, transports, etc)
    (on notera une contamination même jusqu'en Russie)

Ceux qui ont suivi les détails de l'affaire (infection via le logiciel de compta ME Doc d'un bureau en ukraine) peuvent sauter directement jusqu'au milieu de l'article.

Il se concentre sur la crise du point de vue de AP Maersk : la panique, les dégâts, et la récupération en urgence, façon TV5 Monde, les solutions de secours et ristounes clients...
C'est intéressant même pour les logisticiens, et IT ... et la liste habituelles des mauvaises pratiques de sécurité (les contrôleurs de domaines n'étaient pas backupés ... seul un serveur avait survécu au Ghana, car éteint!!!).

Et ça remet une couche sur la vulnérabilité des chaînes logistiques mondiales (interruption des production de vaccin ou de voiture, car le transporteur est KO)...

https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

Le 14/01/2018 à 01:59, rogue0 a dit :

Selon Ellen Nakashima (reporter spécialisée dans les SR américains), la CIA conclut que c'est le GRU qui aurait commandité ce malware pour plomber l'économie Ukrainienne (avec une forte confiance : source un rapport de la CIA de novembre 2017, fuité) : spécifiquement, ce serait la division IT du GRU qui serait responsable (je suppose via des hackers "contractors" issus des mafia de pays de l'est).

https://www.washingtonpost.com/world/national-security/russian-military-was-behind-notpetya-cyberattack-in-ukraine-cia-concludes/2018/01/12/048d8506-f7ca-11e7-b34a-b85626af34ef_story.html?tid=ss_tw&utm_term=.f87f1cfd47b9

Révélation

L'attribution à la russie n'est pas une surprise (normal vu l'avalanche de piratages et opérations d'influence et de guerre larvée qui leur tombe dessus tous les mois).
Par contre, l'implication du service technique du GRU est une surprise.
Moi je l'aurais sous-traitée à des cybercriminels, pour garder e déni plausible.

Un commentaire sur l'organigramme du GRU par Mister Black Ops @Rob1 ? :tongue:

Rappel des épisodes précédents:

  Révéler le texte masqué

 

 

 

 

L'article finit sur des notes spéculatives.

La Russie (commanditaire fortement présumée de toute attaque sur l'ukraine) était-elle consciente du degré de dommage collatéral possible par ce malware ?
Ou l'aurait elle lancée de toute façon, pour "punir" quiconque osant faire des affaires avec les ukrainiens?

En tout cas, malgré les réflexions de l'OTAN sur des représailles physiques en cas d'autres cyber-attaques, je n'ai pas vu de représailles occidentales suite à cet épisode ...
Et donc, il est certain qu'il y aura d'autres attaques ( de ce type, ou sur les infrastructures, réseaux électriques, etc)

(on notera que malgré la publicité massive sur les pratiques de l'usine à troll russe, elle continue à enfumer... et les élections et candidats continuent à se faire pirater...
D'ailleurs, ça fait des émules : les infrastructures des "élections" thaïlandaises ont reçu la visite de pirates présumés chinois... )

Le 07/07/2017 à 10:58, bibouz a dit :

À propos des Cyber attaques type Petya/NotPetya, est-ce qu'elles pourraient être considérées comme une forme de crime de guerre, dans la mesure où elle cible des civiles  (personnes et infrastructures) de manière indifférenciée?

Je ne pense pas que les avocats dissuadent beaucoup sur ce type d'attaque...

Déjà, y a-t-il déjà une guerre déclarée entre la Russie et l'Ukraine ?:dry:

Après, pour ce genre d'action, ça passe souvent par des fusibles/idiots utiles, comme "des hackers patriotiques".
Sinon, si les rapports sont exacts pour NotPetya, et que c'était une cellule de cyberguerre du GRU, ben ils ne seront jamais extradés ...

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 22/08/2018 à 18:25, rogue0 a dit :

Ceux qui ont suivi les détails de l'affaire (infection via le logiciel de compta ME Doc d'un bureau en ukraine) peuvent sauter directement jusqu'au milieu de l'article.


Il se concentre sur la crise du point de vue de AP Maersk : la panique, les dégâts, et la récupération en urgence, façon TV5 Monde, les solutions de secours et ristounes clients...
C'est intéressant même pour les logisticiens, et IT ... et la liste habituelles des mauvaises pratiques de sécurité (les contrôleurs de domaines n'étaient pas backupés ... seul un serveur avait survécu au Ghana, car éteint!!!).

J'oubliais une perle sur la sécurité IT de Maersk.

En 2016 (1 an avant), il y avait un plan de refonte de l'IT de AP Maersk (pour remplacer les serveurs tournant sur Windows 2000 par exemple (sic), passer à une politique de patch moderne, et segmenter le réseau.
Le plan avait eu le feu vert, le budget voté ...

Mais le projet ne faisait pas partie des objectifs des chefs IT (et du coup, ne comptait pas pour leurs bonus).
Du coup, la refonte de sécurité a été mise en pause (abandonnée de facto).
Jusqu'à la crise NotPetya, avec 300M$+ de perte (minimum)

 

  • Confus 1
Lien vers le commentaire
Partager sur d’autres sites

Le nouveau POTUS a modifié le processus pour approuver les actions offensives cyber US.

Grosso modo, le processus a été allégé :
Tout comme pour les opérations militaires classiques, les agences ont plus de latitude pour décider des offensives en solo (plutôt que de faire un grand comité interagence, avec POTUS qui tranche à la fin).
Le changement est sans doute passé sous la forme d'une directive présidentielle classifiée (tout comme celle d'Obama avant, fuitée par Snowden)

ça a plutôt du sens vu la rapidité dans le monde cyber, même s'il y a le risque de plus de couacs, par manque de coordination entre agence.
Autre risque, que l'agence soit le bouc émissaire en cas de scandale (tout comme POTUS avait blâmé ses généraux pour tout échec militaire).

Source WSJ + analyse par lawfare

https://www.wsj.com/articles/trump-seeking-to-relax-rules-on-u-s-cyberattacks-reverses-obama-directive-1534378721

https://www.lawfareblog.com/trumps-secret-order-pulling-cyber-trigger

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 12/04/2017 à 02:51, rogue0 a dit :

Suite de l'affaire de l'appli GPS d'artillerie ukrainienne:Crowdstrike a dû se rétracter sur plusieurs points importants de son analyse (géolocalisation pour contre batterie directe, pertes militaires dûes au hacking).
Mais ils maintiennent le hack et l'attribution au Fancy Bear / APT-28 (malgré la possibilité théorique que le X-Agent ne soit plus l'exclusivité du groupe "Fancy Bear").

Révélation

(à la place, ils parlent de géolocalisation large niveau antenne et d'espionnage des communications)

http://www.voanews.com/a/cyber-firm-rewrites-part-disputed-russian-hacking-report/3781411.html

Sur ce point, ils ont eu un appui inattendu (et majeur)
Kasperky (firme de cyber sécurité russe) a confirmé que cette application utilisait un des serveurs de contrôle exclusif à Fancy Bear/Sofacy.

https://medium.com/@thegrugq/voice-of-russia-50ae874777ca?source=user_profile---------1-----------

Conclusion:
Crowdstrike aurait mieux fait de laisser le renseignement militaire aux spécialistes ( et de ne pas sauter à des conclusions hâtives)...
mais leur attribution du X-Agent (pour le hack du DNC et pour l'appli d'artillerie) tient encore.

Je reviens sur les rumeurs de piratage des applis d'artillerie ukrainiennes.

Le rapport de Crowstrike était mal fait et pas assez supporté par les preuves... (en surestimant grossièrement les pertes, réévaluées à 20%  et cette application ne permettait pas la géolocalisation fine)

2 ans après, il semble qu'ils avaient vu juste sur l'intention:

Suite à d'autres recoupements, il semble que Fancy Bear (pirates pro russes, voire GRU) avait bien tenté de pirater plusieurs concepteurs d'application d'artillerie ukrainiennes.
https://medium.com/@rsatter/did-crowdstrike-really-miss-the-mark-ecedf0e09dd7

https://www.rferl.org/a/ukraine-russia-fancy-bear-hacking-artillery-guidance-app/28831564.html

En partant des listes de phishing de Secureworks*, Raphael Satter** (de AP) montre qu'un groupe de développeurs d'appli UKR (des bricoleurs se surnommant "Army SOS") a bien été ciblé par Fancy Bear...
Et qu'une autre appli verolée (appelé Network Bridge) a bien été spammé à des centaines de soldats ukrainiens.
Cette appli avait elle une localisation GPS précise... (confirmé par FireEye, une autre firme cyber )

On ne sait pas s'il a été installé (ou exploité par les russes)... mais avec 2 applis compromises, l'intention est claire.
(après, les ukrainiens étaient tellement dans le bricolage qu'ils étaient très vulnérables.)
 

**(aussi utilisée pour remonter aux unités du GRU responsables du hack du DNC),
 

Révélation

Dobronravin began providing the military with navigation aids, working through a group called Army SOS to distribute Android tablets loaded with gigabytes of digital topographic maps. As the effort evolved, the functionality of the tablets expanded; a fellow programmer, Dmytro (who agreed to be identified only by his first name, citing security concerns) experimented with an add-on that would allow soldiers to connect the tablets via radio and swap coordinates and text messages.
(...)

On August 27, 2015, three dozen of Dmytro’s contacts received an email, written in his name, asking them to download the latest version of his experimental add-on, called Network Bridge. The message was a trap; Dmytro never sent it, and the utility had a hidden ability to intercept messages and harvest GPS coordinates.

An August 27, 2015 email purporting to come from Dmytro, a programmer working on the Army SOS Android app. Note the yellow banner warning that the message is potentially malicious. I’ve redacted some information at Dmytro’s request.

Dmytro immediately warned his colleagues not to download the rogue add-on and sent a copy of the malicious email to a Ukrainian hacker pseudonymously known as Sean Townsend for analysis.

 

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Sujet à la croisée de l'infoguerre et de la cyberguerre.

Sur le modèle des Shadow Brokers, et des autorités US (inculpations de hackers chinois, du GRU / de Fancy Bear, etc) , un mystérieux groupe expose l'identité ("doxxing") de hackers présumés des SR chinois.
Le groupe se fait appeler "Intrusion Truth", et depuis l'année dernière, a révélé l'identité de plusieurs membres présumés de APT3 et APT10 (des groupes de pirate de haut niveau, d'habitude ceux avec support étatiques).

https://motherboard.vice.com/en_us/article/wjka84/intrusion-truth-group-doxing-hackers-chinese-intelligence

Certains de ces hackers (travaillant pour la firme de cybersécurité chinoise Boyusec) ont ensuite été inculpés par les autorités US (pour piratage de secrets industriels, normalement proscrit par l'accord avec Obama de 2016).
Depuis juillet, Intrusion Truth s'est attaqué à APT10, un autre groupe de hacker présumé chinois qu'il dit basé à Tianjin.

Les autres firmes de cybersécurité occidentales déplorent la méthode, mais recoupent ses informations.

L'identité du groupe est un mystère : la plupart de ses informations sont accessibles à tout praticien de la cyberguerre...
Mais il a aussi obtenu accès aux comptes Uber de certains des hackers chinois dénoncés, information non publique (piratage ou tuyau).

 

 

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Le 11/08/2017 à 18:24, rogue0 a dit :

Une ONG Team Cymru et Recorded Future, ont tenté de cartographier les pays "sanctuaires" pour les Hacker nord coréens. En plus de la Chine, on trouve l'Inde et plusieurs autres pays environnants. 

Aussi l'activité de minage de bitcoina a explosé le 17 mai, peu après l'incident wannacry, attribué au groupe Lazarus NK. 

https://www.recordedfuture.com/north-korea-internet-activity/

https://www.cyberscoop.com/north-koreas-cyber-connections-to-china-and-india-come-under-scrutiny/

A ce sujet :

les USA ont inculpé un hacker Nord Coréen de piratage : Park Jin Hyok.

Il est accusé de faire partie du "Reconnaissance General Bureau" (et sans doute de l'Unité 121 et Labo 110, les unités de cyberguerre NK), et travaillant officiellement pour la Chosun Expo Joint Venture (société NK/Chinoise, qui servirait de couverture au groupe Lazarus).

Il est accusé d'avoir participé aux attaques suivantes (accrochez vous):

  • Wannacry
  • le piratage de Sony Pictures
  • le piratage via le réseau Swift de la Banque Centrale du Bangladesh (80M$ subtilisé, la tentative porte sur 1G$ )

https://arstechnica.com/information-technology/2018/09/us-indicts-north-korean-agents-for-wannacry-sony-attacks/

l'acte d'inculpation contient sans doute plein de pépites sur les capacités cyberguerre US, mais pas le temps d'analyser...

  • J'aime (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...
Quote

Explosion du minage illicite de cryptomonnaies liée à une fuite de la NSA (rapport)

Washington - Le minage illicite de cryptomonnaies a augmenté de manière très importante depuis un an du fait, en partie, de la fuite d'un logiciel de l'agence de surveillance américaine NSA, selon un rapport publié mercredi.

Dans ce document, le groupe de sociétés et d'experts en cybersécurité Cyber Threat Alliance a indiqué avoir constaté un bond de 459% des minages illicites au cours de l'année écoulée. C'est le cas lorsque des pirates subtilisent la puissance de calcul d'ordinateurs, à l'insu de leurs propriétaires, pour créer des cryptodevises.

"Cette activité est passée d'un sujet quasi-inexistant à quelque chose qui est presque universellement placé en tête de la liste des menaces de nos membres", a indiqué Neil Jenkins, responsable analytique de l'Alliance, dans un blog.

L'une des raisons est la fuite en 2017 opérée par un groupe de pirates connu comme les Shadow Brokers du logiciel EternalBlue développé par la NSA pour exploiter des vulnérabilités du système d'exploitation Windows de Microsoft.

"Une mise à jour concernant EternalBlue est disponible depuis dix-huit mois mais, même après avoir été exploité lors de deux importantes cyberattaques mondiales --Wannacry et NotPetya--, il y a toujours un nombre incalculable d'organisations qui sont encore victimes de cette exploitation, comme son utilisation par un logiciel malveillant de minage", a écrit M. Jenkins.

Cet essor du piratage dans l'objectif de créer des crytodevises coïncide avec l'utilisation croissante de ces outils de paiement comme le bitcoin, ethereum ou monero, qui ne sont réglementés par aucun gouvernement et qui sont créés en résolvant de complexes équations.

Selon M. Jenkins, cette forte augmentation illustre les problèmes de cybersécurité au sens large.

"Le minage illicite est le +canari dans la mine de charbon+ pour les menaces de cybersécurité", a-t-il prévenu. "Si du minage illicite de cryptodevises se déroule dans votre réseau alors vous avez très probablement des problèmes plus graves".

Par ailleurs, ces cryptomonnaies créées illicitement peuvent être utilisées --ou les bénéfices qu'elles génèrent à la revente-- pour financer des activités malveillantes comme l'achat d'autres "malwares" sur le "dark web", partie cachée d'internet dont le contenu n'est pas indexé par les moteurs de recherche, prévient le rapport.

Selon ses auteurs, 85% du minage illicite porte sur monero tandis que le bitcoin représente 8%. Mercredi vers 16H20 GMT, un monero valait 109,62 dollars et un bitcoin s'échangeait 6.319 dollars.

"Bien que monero vaille bien moins que le bitcoin, plusieurs facteurs en font la cryptomonnaie de choix pour les acteurs mal intentionnés", a relevé le rapport, citant un plus grand anonymat et une plus grande protection des données privées qui facilitent les activités de ces pirates du minage et leurs transactions.

"Les adresses des transactions et leurs montants sont cachés par défaut, ce qui rend le traçage de monero extrêmement difficile pour les enquêteurs", a expliqué le rapport.

(©AFP / 19 septembre 2018 17h02)

 

  • J'aime (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

EDIT : 19/10/2018 : vu les démentis des SR US, UK, et GAFFA, je considère que c'est une fake news
Et je raye bloomberg des sources crédibles cyber.

C'est une grosse bombe potentielle , mais à prendre avec quelques pincettes.
Bloomberg a pondu un article très détaillé décrivant un cauchemar des responsables sécurités (depuis au moins 20 ans).
Du hardware électronique modifié à l'usine pour de l'espionnage (des micropuces servant de backdoor hardware).
Et les SR chinois sont accusés.

https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

En gros, une société US (SuperMicro) fait des serveurs très populaires pour les datacenters... et produisait dans des sous traitants chinois.
Des SR chinois y faisaient modifier le design des serveurs pour rajouter une micropuce backdoor (soit en douce, soit par des pressions sur l'usine).
Cela aurait été découvert chez Apple et Amazon courant 2015 qui auraient averti les SR américains...
Avant de débrancher tous les serveurs "infectés" de ce fournisseur (référence publique de 2017 : https://arstechnica.com/information-technology/2017/02/apple-axed-supermicro-servers-from-datacenters-because-of-bad-firmware-update/)

3 problèmes avec l'article:

  • l'article est plausible, notamment parce que la NSA fait exactement la même chose depuis des années (implants hardware, révélé par Snowden.. mais de façon ciblée pour rester discret).
    Tout ceux qui ont la capacité de le faire le font.
    Sauf que l'article ne mentionne pas les exploits américains en la matière...
    (Et il est possible de le faire en partie rien que par logiciel (hack de l'UEFI) : cf un outil russe de Fancy Bear (Lojax)
    https://www.cyberscoop.com/lojax-russia-apt28-eset-firmware/)

     
  • l'article se base uniquement sur des sources anonymes (des SR américains).
    les boîtes US font des dénis farouches.
    https://www.bloomberg.com/news/articles/2018-10-04/the-big-hack-amazon-apple-supermicro-and-beijing-respond

    Des sources avaient prévenu que l'administration Trump préparait une offensive médiatique contre les pratiques chinoises, en plus de la guerre commerciale. (et pour justifier les boycott anti ZTE, Huawei, etc : qui se justifient du point de vue sécurité nationale)...
    ça y ressemble vachement.

     
  • et pour les techos, l'article manque de détail pour juger de la crédibilité.
    Du remplacement à la volée d'instruction de programme ?
    C'est où ? le southbridge ? le northbridge ? l'UEFI ?


Avis de Thomas Rid :
A confirmer si possible par d'autres sources avant d'y croire vraiment.

 

Modifié par rogue0
EDIT 19/10/2018 : c'est une fake news
  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

Premières spéculations à chaud sur le mécanisme d'attaque possible. (BMC et IPMI)
https://medium.com/@thegrugq/supply-chain-security-speculation-b7b6357a5d05

Pour revenir sur les réserves sur l'histoire, les SR US ont parfois poussé fort des idées douteuses pour leur propre bénéfice.
En restant en cybersécurité (et sans parler des WMD irakiennes), ils continuent à pousser des backdoor hardware (palladium, clipper) pour pouvoir tout écouter quel que soit le chiffrage.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, zx a dit :

ca complete rogue en français

La Chine aurait infiltré des serveurs d'Apple et Amazon avec des puces espionnes

http://www.lefigaro.fr/secteur/high-tech/2018/10/04/32001-20181004ARTFIG00282-des-puces-chinoises-auraient-permis-d-espionner-les-serveurs-d-apple-et-amazon.php

Des articles plus structurés commencent à paraître.

Un article d'un chercheur en sécurité et cryptomonnaie dont j'aime bien le travail:

https://www.lawfareblog.com/china-supermicro-hack-about-bloomberg-report

Lui parie sur une EEPROM cachée, qui reprogramme (via mémoire flash) le contrôleur BMC des cartes mères.

Et selon lui, s'il y a du vrai, on devrait avoir des confirmations indépendantes d'ici quelques semaines, le temps que les GAFA passent leurs serveurs SuperMicro au microscope, et qu'une boîte de sécurité fuite l'information.

Accessoirement, la société concernée s'est effondrée en bourse (-40% hier) : elle avait déjà été retirée du Nasdaq le 22 août dernier (retard de publication des comptes au mois d'août, avec déjà un gros krach)
https://www.cnbc.com/2018/10/04/super-micro-shares-plummet-amid-china-tech-spying-scandal.html
https://www.nasdaq.com/article/why-super-micro-computer-shares-got-completely-destroyed-today-cm1032390

Lenovo et autres sociétés high tech chinoises ont aussi souffert.
Si le rapport est confirmé, cela justifiera à posteriori les boycott des sociétés chinoises et russes de high tech (Kaspersky, ZTE, etc)...
Et qui vont s'amplifier.

 

Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 005
    Total des membres
    1 749
    Maximum en ligne
    cilom
    Membre le plus récent
    cilom
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...