Cyberwarfare

[Rob1]

J'ai hésité à le mettre dans le fil humour mais ça marche vraiment :

« conseil SecOps : si vous ne voulez pas être hameçonné par des hackers chinois sur LinkedIn, ajoutez "place Tienanmen" à vos centres d'intérêt, et votre profil devient automatiquement invisible en Chine après quelques jours. »

 

[Nemo123]

Le 04/07/2021 à 12:29, Rob1 a dit :

J'ai hésité à le mettre dans le fil humour mais ça marche vraiment :

« conseil SecOps : si vous ne voulez pas être hameçonné par des hackers chinois sur LinkedIn, ajoutez "place Tienanmen" à vos centres d'intérêt, et votre profil devient automatiquement invisible en Chine après quelques jours. »

Ça m'étonnerait beaucoup que ça fonctionne, car ça sous-entendrait que les chinois font leur OSINT derrière le "grand firewall" sans utiliser les Google Dorks, ce qui est improbable à 100%. Aujourd'hui, tous les expats en Chine utilisent largement des VPN avec points de sortie hors Chine pour bypasser ce "grand firewall". Ça ne garanti nullement l’anonymat, mais au moins, tu as accès à ce que tu veux. Et par définition, l'OSINT étant non intrusif, l'anonymat est inutile.

[Nemo123]

La National Security Agency (NSA) avertit que des pirates informatiques affiliés à la Russie mènent des attaques par force brute pour accéder aux réseaux américains et voler des e-mails et des fichiers. Dans un nouvel avis publié jeudi dernier, la NSA déclare que le 85e centre principal de services spéciaux (GTsSS) du GRU russe (renseignement militaire), l'unité militaire 26165, utilise un cluster Kubernetes depuis 2019 pour effectuer des attaques par spray de mot de passe contre des organisations américaines et européennes, y compris le gouvernement et les agences du ministère de la Défense US.

"La cyberactivité malveillante GTsSS a déjà été attribuée par le secteur privé en utilisant les noms Fancy Bear, APT28, Strontium et divers autres identifiants"

"Le 85e GTsSS a dirigé une grande partie de cette activité vers les organisations utilisant les services cloud de Microsoft Office 365 ; cependant, ils ont également ciblé d'autres fournisseurs de services et serveurs de messagerie sur site utilisant une variété de protocoles différents. Ces efforts sont presque certainement toujours en cours."

Quand les acteurs de la menace accèdent aux informations d'identification, ils exfiltrent les boîtes mails Office 365. La finalité de cette attaque est donc du renseignement.

Pour masquer l'origine de leurs attaques, un cluster Kubernetes effectue des attaques par force brute derrière des services TOR et VPN, notamment CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark et WorldVPN. La NSA affirme qu'entre novembre 2020 et mars 2021, les pirates ont mené des attaques par force brute sans utiliser de service d'anonymisation (comme pré-cité, reste à savoir si cette démarche est volontaire ou non), exposant leurs adresses IP, et confirmant qu'elles étaient celles utilisées par le cluster Kubernetes du GTsSS russe (ou alors il s'agit d'une attaque sous faux drapeau assez exceptionnelle).

Ces attaques se concentrent sur les États-Unis et l'Europe. Les types d'entités ciblées par les attaques sont :

• Organisations gouvernementales et militaires
• Consultants politiques et organisations de partis
• Entrepreneurs de la défense
• Entreprises énergétiques
• Entreprises de logistique
• Groupes de réflexion
• Établissements d'enseignement supérieur
• Cabinets d'avocats
• Entreprises médiatiques

 

************************************************************

Autre sujet sans lien avec ci-dessus.

Autre victime du hack de Solarwinds (voir quelques pages avant pour le détail) : le renseignement russe a pu tranquillement squatter le réseau de la Banque Centrale du Danemark pendant 7 mois (en admettant que le SI ait pu être nettoyé, ce qui ne peut pas être vérifié).

Cette nouvelle victime a été révélée la semaine dernière, et n'avait pas été initialement documentée.

Entre vendre leur réseau aux américains et aux russes (ou disons plutôt, se faire trouer), va falloir qu'ils choisissent les danois

Modifié le 5 juillet 2021 par Nemo123

[Nemo123]

Le Pakistan encore soupçonné de déposer (ici, au moins 4) des implants permanents, permettant des accès à distance non autorisés dans les réseaux indiens : https://blog.talosintelligence.com/2021/07/sidecopy.html

[Bechar06]

 

 

[Nemo123]

Il y a 7 heures, Bechar06 a dit :

 

 

J'ai vu pas mal ce tweet tourner, ça n'est que de la com', marketing, c'est du vent, ça ne vaut rien, c'est du cocorico tout moisi. Ils ne proposent rien d'efficace à 100%, ni en protection, ni en détection. Cela dit, leur produit est assurément intéressant, tout comme plein d'autres. Mais sans API d'introspection, impossible de détecter des 0 day, encore plus quand le produit évolue continuellement.

 

Sinon, autre sujet, le FBI révèle qu'entre 2011 et 2013, la Chine aurait compromis de manière totale 13 sociétés de pipeline de gaz ou pétrole aux US, 7 autres de manière plus ou moins profonde mais sans moyen de savoir, et 3 ont été tentées mais ratées. Compromettre une telle société implique d'avoir la capacité de couper le flux de combustible d'un moment à l'autre. Or, 2013, c'était l'age de la pierre en cyber. Quand on sait le bordel que ça a été de n'en cibler qu'une (Colonial Pipeline, état d'urgence dans 17 états + DC, voir plus haut dans le fil) il y a quelques semaines....

 

Autre sujet, l'ANSSI a aujourd'hui officiellement adressé une alerte / notification envers le groupe d'attaquant chinois APT31 pour ses nombreuses actions hostiles en cours contre les intérêts français : https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-IOC-003/

[g4lly]

Quote

Projet Pegasus : malgré la brèche de sécurité, Apple se veut rassurant

La révélation du projet Pegasus ébranle la sécurité des iPhone réputés pour leur quasi-inviolabilité. Toutefois, Apple se veut rassurant, arguant que face à Android, ses smartphones restaient beaucoup plus sûrs.

Comme vous le savez certainement, le consortium créé par Forbidden Stories et regroupant 17 médias a révélé en début de semaine que de nombreuses personnalités de premier plan ont été espionnées via leur smartphone au moyen d'un logiciel créé par le logiciel Pegasus de la société israélienne NSO Group. Un outil invisible, indécelable et qui ne fait pas les affaires d'Apple, puisque sur les 37 mobiles qui se sont révélés infectés, 34 d'entre eux étaient des iPhone. De quoi mettre à mal l'argument martelé par la firme à la pomme depuis des années : à savoir que ses appareils sont les plus sécurisés possible.

Une annonce qui a eu l'effet d'une bombe, d'autant plus que les infections par Pegasus ne sont pas forcément sur d'anciens modèles d'iPhone ou de vieilles versions d'iOS. Comme le rapporte le Washington Post, il a été avéré qu'au moins un des modèles infectés était un iPhone 12 avec la version du logiciel d'Apple la plus récente.

Après de telles déclarations, la réponse d'Apple ne s'est pas fait attendre. Ce n'est pas Tim Cook qui a tenu à éteindre l'incendie, mais Ivan Krstić, ingénieur à la tête du département sécurité de l'entreprise californienne. Tout en condamnant l'usage du logiciel, Ivan Krstić tient tout de même à rassurer qui veut l'entendre : "les chercheurs en sécurité sont d'accord pour dire que l'iPhone est le smartphone le plus sûr et le plus sécurisé sur le marché". Il ajoutera plus tard que ce type d'attaque ne peut en aucun cas remettre en cause la fiabilité des smartphones à la Pomme puisque "elles sont hautement sophistiquées, coûtent des millions de dollars à développer, n'ont souvent qu'une courte durée de vie et sont utilisées pour des cibles spécifiques".

Si après ces déclarations vous n'êtes pas tranquillisé, l'ingénieur conclut son laïus en indiquant qu'Apple est constamment en train d'ajouter des protections, aussi bien pour ses produits que pour vos données personnelles. Bien que tout ceci ne soit pas difficile à croire, il faut garder à l'esprit que Pegasus a réussi à infiltrer des modèles récents sur tous les points.

Comme l'indique le site Futura Sciences, les hackers se sont servis de la vulnérabilité Kismet qui permet d'infiltrer un iPhone avec un simple iMessage. L'utilisateur n'a rien à faire pour l'activer puisqu'une fois le message reçu, le smartphone est vérolé. Ce qui s'appelle une faille "zero-click". Ce type de fissure logicielle a déjà sévi chez Apple l'année passée et le correctif n'est apparu qu'avec iOS 14.

À titre d'exemple, France Culture révèle que l'iPhone de Claude Mangin, épouse d'un activiste emprisonné au Maroc, a reçu un iMessage le 11 juin dernier sans que ce dernier se soit manifesté d'une quelconque façon. Pas de notification, pas de bruit, rien. Le smartphone s'est retrouvé infecté sans que sa propriétaire s'en soit doutée.

On pensait alors en être débarrassé, mais il faut croire que l'entreprise NSO Group — créatrice du logiciel espion — a su s'adapter aux multiples corrections d'Apple. Selon le rapport d'enquête réalisé par Amnesty International, la faille Kismet fonctionnerait encore à l'heure actuelle sur des iPhone et des iPad tournant sous iOS 14,3, iOS 14,4 ainsi qu'iOS 14.6. La dernière version iOS 14.7 vient tout juste d'être mise à disposition du public et il y a peu de chances pour qu'Apple ait eu le temps de déployer un quelconque correctif...

https://www.lesnumeriques.com/telephone-portable/projet-pegasus-malgre-la-breche-de-securite-apple-se-veut-rassurant-n166383.html

[collectionneur]

L'administration française annonce publiquement que la France subit une attaque massive de hackeurs Chinois : 

https://www.lemonde.fr/international/article/2021/07/22/la-chine-dans-le-viseur-de-la-france-dans-le-cadre-d-une-virulente-cyberattaque_6089122_3210.html

[g4lly]

Quote

Pass sanitaire : la Cnil craint une accoutumance à une société de contrôle

Auditionnée par le Sénat, la présidente de la Cnil a donné son avis sur l'extension du Pass sanitaire et en a profité pour pointer du doigt ses risques et incohérences, tout en demandant des garanties.

Il s'agissait déjà d'un de ses griefs au moment du déploiement de caméras intelligentes pour contrôler la température ou le port du masque. La Cnil reformule sa crainte de voir la société française s'habituer aux outils numériques de contrôle, alors que le gouvernement met en place le Pass sanitaire élargi. Devant la Commission des lois au Sénat, Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés, a estimé que les dernières dispositions prises par le gouvernement pour tenter d'enrayer la crise sanitaire portent une atteinte “particulièrement forte” aux libertés et droits fondamentaux. Selon elle, elles ne devraient être prises que si un “surplus d'efficacité par rapport à tout ce qui a déjà été fait” est démontré par l'État, et si elles apparaissent “nécessaires à la gestion de la crise”.

Un équilibre bousculé

Alors que le Pass sanitaire n'était jusqu'à présent exigé que dans un nombre restreint de cas (voyage à l'étranger ou accès à de grands événements), Marie-Laure Denis estime que cet équilibre est totalement bousculé avec un sésame conditionnant l'accès “à de nombreux lieux, établissements, événements ou moyens de transport à la justification de son état de santé”, alors que “prendre le train n’est pas toujours un choix [ou que] déjeuner dans un restaurant peut être un loisir, mais aussi une nécessité”.

“Certains de nos concitoyens vont donc, tous les jours et parfois plusieurs fois par jour, être soumis à l’obligation de présenter une sorte de sauf-conduit, avec une forme de contrôle d’identité induit, pour des actes de la vie courante”, déplore la présidente de la Cnil avant de dénoncer une obligation vaccinale qui ne dit pas son nom “dans certaines configurations ou pour certaines personnes”, y compris celles dont l'accès au lieu de travail est subordonné à la présentation du Pass sanitaire.

Une société qui risque de s'habituer à ces contrôles numériques

Mais la plus grande crainte de la Cnil est le risque d'accoutumance à ces contrôles extrêmement fréquents. Il y aurait “un risque certain d’accoutumance à de tels dispositifs de contrôle numérique, de banalisation de gestes attentatoires à la vie privée, de glissement à l’avenir et potentiellement pour d’autres considérations que la seule protection de la santé publique ici recherchée dans un contexte exceptionnel, vers une société où de tels contrôles seraient la norme et non l’exception”, fustige la présidente de la Commission.

Si bien que selon la Cnil, toutes les problématiques légitimement posées par l'élargissement du Pass sanitaire (et elles sont extrêmement nombreuses) devraient avoir trouvé des réponses avant que ne puisse entrer en vigueur le dispositif, “compte tenu des conséquences importantes pour la vie quotidienne” des Français. Marie-Laure Denis évoque pêle-mêle la pertinence du Pass sanitaire en extérieur (terrasses des cafés et restaurants), les conséquences sanitaires de la fin du remboursement systématique des tests, l'assujettissement des mineurs, des salariés, des catégories de population ne pouvant pas recevoir le vaccin, ou encore l'intérêt de conserver les cahiers de rappel dans les lieux où le Pass sanitaire s'applique.

Manque de cloisonnement des données de santé

Pour la présidente, la loi d'urgence sanitaire devrait également intégrer l'obligation d'un bilan régulier des mesures prises pour juger de leur efficacité, et donc de leur nécessité.

Enfin, comme l'indiquent nos confrères de Next INpact, Marie-Laure Denis note que le système informatisé de recensement du dépistage (SI-DEP) servira aussi dorénavant à gérer l'isolement obligatoire des personnes contaminées. On transformerait dès lors “un fichier sanitaire en fichier de contrôle du respect de ces mesures”, dit-elle, avant d'ajouter : "Dans l’hypothèse où la nécessité d’un tel traitement serait démontrée, la Cnil s’interroge sur la nécessité de créer un fichier distinct ou de réfléchir à des modalités permettant de cloisonner hermétiquement ces traitements de natures très différentes, afin que les services préfectoraux n’aient pas accès à l’ensemble des données que peut consulter le médecin ou l’enquêteur sanitaire”. Il en va selon elle de la nécessité de protéger les données personnelles de santé des citoyens. Au Conseil constitutionnel de statuer en toute probabilité.

https://www.lesnumeriques.com/vie-du-net/pass-sanitaire-la-cnil-craint-une-accoutumance-a-une-societe-de-controle-n166417.html

[Nemo123]

Il y a 19 heures, collectionneur a dit :

L'administration française annonce publiquement que la France subit une attaque massive de hackeurs Chinois : 

https://www.lemonde.fr/international/article/2021/07/22/la-chine-dans-le-viseur-de-la-france-dans-le-cadre-d-une-virulente-cyberattaque_6089122_3210.html

Déjà publié à ce sujet 2 messages plus tôt, avec un lien vers le bulletin d'alerte en question :)
Faut lire

 

Il y a 16 heures, g4lly a dit :

https://www.lesnumeriques.com/vie-du-net/pass-sanitaire-la-cnil-craint-une-accoutumance-a-une-societe-de-controle-n166417.html

Peut-on créer un fil "privacy" sur le forum, pour bien segmenter avec la cyberguerre ?

 

Le 22/07/2021 à 01:05, g4lly a dit :

https://www.lesnumeriques.com/telephone-portable/projet-pegasus-malgre-la-breche-de-securite-apple-se-veut-rassurant-n166383.html

Juste lol. La grosse com' marketing à deux balles pour rassurer les consommateurs

Quand en face tu as des mecs qui fouillent jusqu'au "Mariana web" et qui achètent à coup de millions de dollars des 0 day de RCE sur ton produit, t'as perdu d'avance, c'est sans solution.

Modifié le 23 juillet 2021 par Nemo123

[Nemo123]

A ce propos, j'ai une anecdote marrante (ou pas).

Peut-être avez-vous entendu parler de la vulnérabilité PrintNightmare qui touche le print spooler de Windows (le service d'impression) ? Ça a fait les gros titres depuis 2 semaines.

Ce qui est amusant, c'est que cette vulnérabilité très impactante était connue des chinois depuis très longtemps (plusieurs années, une éternité dans le monde de la cyber). Quand je dis très impactante, c'est que probablement que 50% des entreprises du monde un tant soit peu sérieuses ont du couper le service d'impression à leurs utilisateurs pendant une bonne semaine. Sauf que cette vulnérabilité, à force d'être utilisée et ré-utilisée par tous les hackeurs de Chine (sans que Microsoft en ait connaissance), y a un mec un jour qui a voulu la jouer perso, et qui l'a vendu à un white hat Chinois. Ce white hat, assez connu chez Microsoft, a donc demandé une rançon contre révélation de la vulnérabilité dans le cadre du programme du bug bounty.

Sauf que Microsoft a joué de mauvaise foi, et a décrété que cette vulnérabilité très élevée était en fait techniquement (et ils ont raison) deux vulnérabilités imbriquées mais indépendamment l'une de l'autre assez peu impactantes, ce qui a beaucoup réduit la prime du white hat (on lui a proposé 5.000$). Fou de rage devant tant de mauvaise foi (et cela me semble assez justifié compte tenu du mindset cyber), il a publié l'exploit "par erreur" sur son github (bah oui, ça arrive même aux meilleurs le misclic), avant de rapidement (tout est relatif ^^) le supprimer. Mais trop tard, le contenu a été copié collé et s'est envolé tout autour de la Terre.

[Nemo123]

Pour ceux qui trempaient un peu dans la cyber en 2017, vous avez dû entendre parler de NotPetya (un fork de Petya), un wiper, dont le but est de détruire des machines (acte de sabotage, origine étatique ou politique), et pas juste de les chiffrer en vue d'une rançon.

Il y a eu récidive en Iran début Juillet, quand un acteur malveillant a détruit une partie du parc informatique de la SNCF locale, en se basant sur ce malware. Le malware n'est pas très évolué, mais quand même un peu complexe avec quelques évasives. Bref, ça noie d'autant plus le poisson quant à l’identité de l'attaquant. D'ailleurs, l'Iran n'a pas attribué l'attaque.

Le seul truc marrant c'est que les ordis détruits affichaient un message statique à l'écran, invitant à appeler un numéro pour plus d'informations... C'était le numéro du secrétariat du bureau d'Ali Khamenei

[Nemo123]

Plus tôt ce mois-ci, Facebook a révélé avoir pris des mesures pour démanteler une campagne de cyberespionnage "sophistiquée" menée par des pirates informatiques Tortoiseshell ciblant environ 200 militaires et entreprises des secteurs de la défense et de l'aérospatiale aux États-Unis, au Royaume-Uni et en Europe en utilisant un vaste réseau de faux profils sur sa plateforme. L'acteur malveillant serait aligné sur le Corps des gardiens de la révolution islamique (IRGC) via son association avec la société informatique iranienne Mahak Rayan Afraz (MRA).

Article original en anglais : https://thehackernews.com/2021/07/hackers-posed-as-aerobics-instructors.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+(The+Hackers+News+-+Cyber+Security+Blog)

[rogue0]

poursuivi sur le bon fil

Il y a 6 heures, Tancrède a dit :

Apparemment, les talebs ont récupéré l'équipement biométrique des forces US, et, possiblement, une quantité non spécifiée des données accumulées. Dans ces fichiers se trouve notamment l'inventaire (avec tous les signes d'identification utilisés) de tous les locaux ayant aidé la coalition depuis 2001, à divers titres (fournisseurs, traducteurs, employés, prestataires de tous types, mais aussi sources de renseignement, balances....), ainsi qu'une vaste base de donnée qui visait, depuis le début de l'occupation, à ficher 80% de la population (et servir de base pour un système de carte d'identité) au moins. Autre partie du contenu: identité et données biométriques des militaires et personnels de sécurité afghans, dont les FS qui sont ouvertement haïes et ciblées par les talibans. On ne sait pas à  ce stade quelle est la quantité de données récupérées, ni si les talebs sont capables d'utiliser l'équipement (mais les Pakistanais le sont certainement), mais le fait est que personne n'a apparemment trouvé bon de détruire ou embarquer de telles choses: le fait qu'il n'y ait eu aucune procédure d'urgence pour la chose souligne à quel point PERSONNE n'avait planifié quoique ce soit pour une évacuation au cours de l'année écoulée, voire même juste des 3-4 derniers mois. 

A l'arrivée, il y a fort à parier que si les données sont encore là, ça va être un instrument de purge à grande échelle. 

(Source partisane*, mais c'était une exclu de chez eux**)

https://theintercept.com/2021/08/17/afghanistan-taliban-military-biometrics/

Version courte:

Ce n'est pas encore confirmé, mais oui, c'est très plausible* et ça a l'accent de la vérité.
 

• c'est d'autant plus plausible que les bases biométriques sont une pratique standard US depuis l'occupation de l'Irak (au début pour insurgés, très vite généralisé).
  
  (pas une exclu intercept -> cf privacyinternational et reuters)

https://privacyinternational.org/news-analysis/4615/afghanistan-what-now-after-two-decades-building-data-intensive-systems
https://privacyinternational.org/report/4529/biometrics-and-counter-terrorism-case-study-iraq-and-afghanistan
https://privacyinternational.org/sites/default/files/2021-06/Biometrics for Counter-Terrorism- Case study of the U.S. military in Iraq and Afghanistan - Nina Toft Djanegara - v6.pdf

• Oui, c'était très probablement une copie de base de donnée ("déclarée" ou copie sauvage par un sous traitant), qui n'a pas été purgée ou cryptée dans les règles de l'art
  (même un retrait/purge relativement bien préparé sur plusieurs années laisse pleins de traces ... demander à l'Irak, sinon à Bellingcat)
  Ce qui coûtera probablement des vies.
  D'accord aussi sur l'aspect des milliards de $ versés dans des projets d'urgence gérés "par hasard" par des copains et méga-corporations.
  (même si certains ont parfois sauvés des vies, à un coût faramineux, à la limite pas rentable )
   
• Mais, vu le contexte, je relativise.
   
  • Je viens de découvrir que les talibans avaient déjà eu accès dès 2016 et 2017 aux systèmes biométriques gouvernementaux...
    (Sans doute via des transfuges/agents doubles).
    En 2016, ils avaient utilisé les appareils biométriques pour trier 200 otages, identifier et exécuter les forces de sécurité afghanes...
    https://tolonews.com/afghanistan/taliban-used-biometric-system-during-kunduz-kidnapping
     
  • Plus classique:
    Les afghans essaient en urgence d'effacer leur historique numérique... certains voulant sauvegarder quand même les preuves de service rendu aux occidentaux pour se faire évacuer...
    
    https://www.reuters.com/article/afghanistan-tech-conflict/afghans-scramble-to-delete-digital-history-evade-biometrics-idUSL8N2PO1FH
    https://www.wired.co.uk/article/afghanistan-social-media-delete
    
    Mais c'est très difficile / voire futile
    1) si l'adversaire est compétent vu le nombre de trace numérique qu'on laisse sur son smartphone... ou via les réseaux sociaux
    2) ou plus simple, si l'adversaire avait surveillé et noté les partenaires des occidentaux connus pendant 20 ans (via les réseaux sociaux)
    3) ou encore plus traditionnel : via les commères, corbeaux, et les indicateurs qui dénoncent leurs collègues (parfois pour sauver leur peau).
    cf l'épuration après la libération de la France...
    Et c'est cette méthode traditionnelle qui donnera la majorité du body count.
     
  • De toute façon, tout ça suppose que les talibans aient besoin de preuves légales pour exécuter les gens.
    (apparemment, pour l'instant, il n'y a pas de bain de sang)
     
  • Les epic fails de sécurité , il y en a trop pour les compter (que ce soit les occidentaux, ou les russes -> demander à Bellingcat consulting (TM)
    Rien que les bases de données classifiées laissées ouvertes par erreur sur le cloud amazon, il y a en toutes les semaines...
    https://www.csoonline.com/article/3237774/pentagon-contractor-spied-on-social-media-left-data-unsecured-in-cloud.html
    https://www.geekwire.com/2017/lock-doors-people-verizon-breach-unsecured-aws-server-exposes-14m-customer-records/
    
    De toute façon, la sécurité (informatique ou physique), c'est bien connu, c'est une charge, ça ne rapporte rien et ça empêche les gens de bosser (TM).
    (ça a un fond de vérité, mais c'est une vue partielle et partiale du sujet...).
     

* ( C'est suffisamment plausible pour en discuter malgré le passif de reporting biaisés voire mensongers de Greenwald (qui s'est fait éjecter récemment de Intercept)
( tacle perso sur le fiasco BOUNDLESS INFORMANT qu'il a mis 6 ans! à rétracter https://theintercept.com/2019/05/29/nsa-data-afghanistan-iraq-mexico-border/ )

Modifié le 19 août 2021 par rogue0

[Nemo123]

Des chercheurs en cybersécurité slovaques de chez ESET ont publié mardi de nouvelles découvertes qui révèlent une campagne d'espionnage sur mobile d'une durée d'un an contre le groupe ethnique des kurdes.

Actives depuis au moins mars 2020, les attaques ont exploité 2 applications mobiles Android et jusqu'à 6 profils Facebook dédiés qui prétendaient offrir du contenu technologique et pro-kurde – deux destinés aux utilisateurs d'Android tandis que les quatre autres semblaient fournir de l'actualité aux partisans kurdes.

ESET a attribué les attaques à un groupe qu'elle appelle BladeHawk. Dans un cas, les opérateurs ont partagé une publication Facebook exhortant les utilisateurs à télécharger une "nouvelle application Snapchat" conçue pour capturer les informations d'identification Snapchat via un site Web de phishing. Un total de 28 messages Facebook malveillants ont été identifiés dans le cadre de la dernière opération, avec de fausses descriptions d'applications et des liens pour télécharger l'application Android, à partir desquels 17 échantillons d'APK uniques ont été obtenus. Les applications d'espionnage ont été téléchargées 1 481 fois du 20 juillet 2020 au 28 juin 2021. Certaines de ses fonctions importantes incluent la possibilité de voler et de supprimer des fichiers d'un appareil, de prendre des captures d'écran, de suivre l'emplacement de l'appareil, d'obtenir la liste des applications installées, d'exfiltrer les informations d'identification Facebook, photos d'utilisateurs, voler des messages SMS et des listes de contacts, envoyer des messages texte, de prendre des photos, d'enregistrer des appels audio et téléphoniques environnants, de passer appels.

Toujours selon ESET, l'Inde, l'Ukraine et le Royaume-Uni représentent le plus grand nombre d'infections au cours de la période de trois ans à compter du 18 août 2018, la Roumanie, les Pays-Bas, le Pakistan, l'Irak, la Russie, l'Éthiopie et le Mexique complétant le top 10. taches.

[Nemo123]

Pour information, il y aurait environ 270 groupes de hackers étatiques répartis dans 50 pays qui sont suivis par les équipes de sécurité de Google (probablement pas loin des meilleures du monde).

Ca n'est pas du 1 pour 1 entre groupe et pays, car les différents services de sécurité d'un pays sont souvent indépendant sur le sujet (DGSI vs DGSE vs DRM vs LIO chez nous par exemple).

[Nemo123]

NSO Group, producteur du logiciel espion Pegasus, mis au ban par les US.

The U.S. Commerce Department on Wednesday added four companies, including Israel-based spyware companies NSO Group and Candiru, to a list of entities engaging in "malicious cyber activities."

"The United States is committed to aggressively using export controls to hold companies accountable that develop, traffic, or use technologies to conduct malicious activities that threaten the cybersecurity of members of civil society, dissidents, government officials, and organizations here and abroad," U.S. Secretary of Commerce Gina M. Raimondo said in a statement.

[Nec temere]

C'est une première pour une boite Israélienne de se faire black-listé comme ça ?

[collectionneur]

A vérifier, mais je pense qu'une société qui a vendu de la technologie aéronautique à la Chine il y a longtemps a eu le même sort.

[Nemo123]

Dans tous les cas, c'est assez rare, et là il s'agit d'acteurs assez importants dans le secteur. Difficile de dire si c'est politique pour si c'est vraiment cohérent vis à vis de leur doctrine, mais c'est une décision qui fait date.

[Nemo123]

Un agence ukrainienne de contre-espionnage a révélé jeudi les identités réelles de cinq personnes (qu'on peut facilement trouver sur Google) qui auraient été impliquées dans des attaques informatiques attribuées à un groupe de cyberespionnage nommé Gamaredon.

Gamaredon serait un "projet spécial du FSB, qui visait spécifiquement l'Ukraine", ses auteurs "sont des officiers du FSB" de Crimée "et des traîtres qui ont fait défection à l'ennemi pendant l'occupation de la péninsule en 2014."

Depuis sa création en 2013, le groupe Gamaredon, lié à la Russie, est responsable d'un certain nombre de campagnes de phishing malveillantes, principalement dirigées contre des institutions ukrainiennes, dans le but de collecter des informations classifiées de compromis les systèmes Windows pour des gains géopolitiques.
L'acteur de la menace aurait mené pas moins de 5 000 cyberattaques contre les autorités publiques et les infrastructures critiques situées dans le pays, et tenté d'infecter plus de 1 500 systèmes informatiques du gouvernement, la plupart des attaques visant les organismes de sécurité, de défense et d'application de la loi pour obtenir informations de renseignement.

"Contrairement à d'autres groupes étatiques, le groupe Gamaredon ne semble faire aucun effort pour essayer de rester sous le radar". A noter la forte dépendance du groupe aux tactiques d'ingénierie sociale (OSINT) en tant que vecteur d'intrusion.

Je vous ai retiré les détails techniques et un peu vulgarisé.

Modifié le 8 novembre 2021 par Nemo123

[Rob1]

Tiens, je viens de recevoir une arnaque un peu originale dans mes mails :

Révélation

I know XXXXXXXXXX is one of your password on day of hack.. [un mot de passe que j'utilise sur un forum à la sécurité pourrie... mais pas mal pour faire flipper d'entrée de jeu, surtout pour ceux qui utilisement le même mdp partout]

Lets get directly to the point.
Not one person has paid me to check about you.

You do not know me and you're probably thinking why you are getting this email?
in fact, i actually placed a malware on the adult vids (adult porn) website and you know what, you visited this site to experience fun (you know what i mean).

When you were viewing videos, your browser started out operating as a RDP having a key logger which provided me with accessibility to your display and web cam. [en quoi un keylogger te permet d'activer ma webcam ?]
immediately after that, my malware obtained every one of your contacts from your Messenger, FB, as well as email account. [j'ai pas de Messenger...]
after that i created a double-screen video. 1st part shows the video you were viewing (you have a nice taste omg), and 2nd part displays the recording of your cam, and its you.

Best solution would be to pay me $2786.

We are going to refer to it as a donation. in this situation, i most certainly will without delay remove your video.

My BTC address: XXXXXXXX
[case SeNSiTiVe, copy & paste it]

You could go on your life like this never happened and you will not ever hear back again from me.

You'll make the payment via Bitcoin (if you do not know this, search 'how to buy bitcoin' in Google).
if you are planning on going to the law, surely, this e-mail can not be traced back to me, because it's hacked too.
I have taken care of my actions. i am not looking to ask you for a lot, i simply want to be paid.

if i do not receive the bitcoin;, i definitely will send out your video recording to all of your contacts including friends and family, co-workers, and so on.
Nevertheless, if i do get paid, i will destroy the recording immediately.

If you need proof, reply with Yeah then i will send out your video recording to your 8 friends. [Faire flipper le destinataire, pour éviter qu'il se demande pourquoi le pseudo-pirate ne prend même pas la peine de lui envoyer des captures de sa pseudo vidéo]

[Skw]

il y a 24 minutes, Rob1 a dit :

Tiens, je viens de recevoir une arnaque un peu originale dans mes mails

C'est une arnaque désormais bien connue. J'ai un pote du boulot qui a pris la peine de répondre : il a demandé à l'expéditeur s'il était chaud pour faire un vidéo gay avec lui en lui proposant toute une liste de scènes et en lui envoyant une photo de corps musculeux censé être le sien ? Il n'a jamais eu de réponse

[rogue0]

Branle bas le combat dans le monde IT:

Log4Shell, grosse faille de sécurité critique détectée dans la librairie de log Apache Log4j , utilisée  dans des millions d'appli Java, dans de très nombreux serveurs web (Steam, iCloud, Minecraft, etc), le cloud Amazon, etc.

La faille permet la prise de contrôle à distance du serveur (facilement et rapidement en plus) ...
Et c'est une faille 0-day déjà exploitée par les pirates au moins depuis le 1er décembre (comme d'habitude, détectée initialement sur les serveurs Minecraft ...).
C'est probablement encore plus gros que les incidents Eternal Blue et NotPetya.

Vulgarisation

https://www.lesnumeriques.com/pro/log4shell-la-faille-zero-day-qui-seme-la-panique-sur-l-internet-mondial-n172829.html

https://www.lemondeinformatique.fr/actualites/lire-faille-log4j-un-cauchemar-pour-des-millions-d-applications-java-85099.html

Estimation : 40% des réseaux des grandes entreprises auraient été scannés pour exploiter la faille
https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1/

Détail des patchs et solutions de contournement ci-dessous:
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/

La faille critique touche surtout les versions Log4j de 2.0 à 2.14.1 .
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.randori.com/blog/cve-2021-44228/

Une faille moins critique touche les versions 1.4.x

https://access.redhat.com/security/cve/CVE-2021-4104

Modifié le 14 décembre 2021 par rogue0

[rogue0]

Premier gouvernement publiquement à reconnaitre une intrusion dans ses systèmes , suite à la méga-faille Apache/java Log4j :
la défense belge.
Ce ne sera pas le dernier

https://www.cyberscoop.com/intruders-leverage-log4j-flaw-to-breach-belgian-defense-department/

Pour l'instant, on en est à 4 failles connues, corrigées par les versions 2.17 +
dernières recommandations de sécurité de l'ANSSI et du CISA US

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

https://www.cisa.gov/uscert/ncas/alerts/aa21-356a