Cyberwarfare

[collectionneur]

Les rançongiciels s'attaquent vraiment à tout. Une prison au Nouveau Mexique s'est fait pirater. En plus de la télésurveillance HS, les portes automatiques ont étaient ouvertes :

https://www.lefigaro.fr/flash-eco/une-attaque-au-rancongiciel-paralyse-une-prison-americaine-20220112

Modifié le 13 janvier 2022 par collectionneur

[Nemo123]

Essayons au possible de ne pas dénaturer le titre du thread : il n'est pas question de sécurité informatique (on pourrait faire un thread dédié tellement il y a à raconter, cela dit), mais parlons bien de cyberwarfare (guérilla numérique, sous entendu, sponsorisée par des états dans des objectifs militaires ou géopolitiques).

Un évènement récent m'a interpelé : https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/ukraine-une-cyberattaque-massive-vise-des-sites-gouvernementaux_4916433.html

Compliqué de faire l'attribution pour l'instant (et ça ne sera probablement jamais possible), mais entre le GRU et d'honnêtes citoyens russes occupant intelligemment leur temps, on imaginer la nationalité des attaquants.

[rogue0]

A propos de l'Ukraine

En plus d'une campagne de "defacement" de sites web (traduction : l'équivalent de tagger sur les murs), il y a aussi eu un malware destructeur de données.
Tout comme NotPetya (2014), il se présente comme un rançonlogiciel ... mais de facto, on ne peut ni payer la rançon, ni récupérer les données.

https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

"Heureusement", contrairement à NotPetya, il semble avoir été déposé manuellement pour viser les intérêts ukrainiens (et ne pas se propager de façon incontrôlée en affectant des hopitaux dans le monde entier...)

-----------------------------------

En plus "positif", la Russie a arrêté un des plus gros gang de rançonlogiciel (Revil), qui avait attaqué un pipeline US, causant des pénuries de carburant aux US
(la morale : il ne faut pas faire trop de dégâts)
Les USA avaient exigé leur tête ... et la Russie est sortie de sa passivité habituelle en matière de piratage informatique pour les arrêter.
(traditionnellement, les hackers russes ne sont pas inquiétés par les autorités ... pourvu qu'ils attaquent seulement des cibles étrangères)

https://krebsonsecurity.com/2022/01/at-request-of-u-s-russia-rounds-up-14-revil-ransomware-affiliates/

On peut l'interpréter comme un signal discret (la russie peut aussi coopérer avec les USA)

Surtout que ce signal ne coûte pas grand-chose (en cas de nouvelle sanction US, la russie peut toujours les relâcher ... ou les Nikita-iser / enrôler comme auxilliaire du GRU)

[rogue0]

Test d'un char M-1 avec un équipement de protection cyber IDS/IPS , visant à protéger le char (enfin surtout le bus 1553) contre des attaques électroniques (non spécifiées)

https://www.peraton.com/1553-bus-defender-selected-for-demonstration-in-cyber-cyclone-2021/

https://www.dvidshub.net/news/413996/gvsc-cyber-cyclone-demonstrates-ground-vehicle-cyber-resiliency

https://www.thedrive.com/the-war-zone/44199/army-tests-system-that-prevents-m1-abrams-tank-from-being-hacked

[rogue0]

Vodafone Portugal a été frappé par une cyberattaque ... ce qui a coupé le réseau téléphonique, l'accès aux services d'urgence (pompiers, samu, etc), la 4G, 5G, l'internet fixe et la TV à des millions de portugais.

https://www.bleepingcomputer.com/news/security/vodafone-portugal-4g-and-5g-services-down-after-cyberattack/

https://www.zdnet.fr/actualites/au-portugal-une-cyberattaque-paralyse-les-services-de-l-operateur-vodafone-39937109.htm

https://www.reuters.com/technology/vodafone-portugal-hit-by-hackers-says-no-client-data-breach-2022-02-08/

https://www.lesnumeriques.com/mobilite/une-cyberattaque-prive-des-millions-de-gens-de-telephone-et-d-internet-au-portugal-n176485.html

L'opérateur n'a pas révélé de détail sur la nature de l'attaque , mais fait suite à plusieurs rançonlogiciels qui ont frappé des médias portuguais (et rendus indisponibles pendant des mois).

Modifié le 10 février 2022 par rogue0

[Rob1]

Sinon, en sait-on plus sur SysJoker, un malware multi-plateformes (Windows, Mac et Linux !), depuis la présentation de sa découverte mi-janvier ?

[rogue0]

Le 10/02/2022 à 18:57, Rob1 a dit :

Sinon, en sait-on plus sur SysJoker, un malware multi-plateformes (Windows, Mac et Linux !), depuis la présentation de sa découverte mi-janvier ?

Pas grand chose de plus qu'à sa découverte.

Ce serait un nouveau backdoor (sans filiation évidente avec des groupes connus), et visiblement, distribué de façon ciblée (pour retarder au maximum la détection).
Le niveau technique des auteurs semble plutôt bon (il a été adapté pour attaquer même les nouveaux Mac M1 ARM).

C'est un vrai mystère pour le moment.*

La seule bonne nouvelle, c'est que les antivirus arrivent maintenant à le détecter.
Si je devais parier : ce n'est probablement pas une ops des SR israéliens (car grillé par une boîte de sécu israélienne)

Google pourrait faire avancer l'enquête, car les instructions passeraient via un compte google drive spécifique ... (sans trop d'espoir car s'ils sont compétents, tout sera crypté et obfusqué sous une pile de connexions via VPN)

https://www.01net.com/actualites/sysjoker-une-porte-derobee-mysterieuse-qui-cible-a-la-fois-windows-macos-et-linux-2053700.html

https://www.bleepingcomputer.com/news/security/new-sysjoker-backdoor-targets-windows-macos-and-linux/

pour les pro: analyse technique détaillée

https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/

https://objective-see.com/blog/blog_0x6C.html

--------------------------

* (alors que par exemple, le ciblage de Dazzlespy laisse peu de doute en terme d'attribution ...
Il cible clairement les opposants à HK https://www.welivesecurity.com/2022/01/25/watering-hole-deploys-new-macos-malware-dazzlespy-asia/ )

[Rob1]

il y a 29 minutes, rogue0 a dit :

La seule bonne nouvelle, c'est que les antivirus arrivent maintenant à le détecter.

Une autre est qu'il semble n'avoir été employé que depuis la deuxième moitié de 2021, donc il a été détecté assez rapidement. Pour un truc sophistiqué et tentant de rester caché, celui qui est derrière doit être déçu.

[Nemo123]

Petite revue d'actu cyber, comme d'habitude, très chargée, ne serait-ce que sur une semaine.
L’objectif est juste de signifier que si la cyberwarfare est assez peu évoquée dans les médias, elle n'en demeure pas moins très active, voyez plutôt :

 

En Corée :
Les Nord coréens se lancent dans une attaque phishing / ingénieurie sociale pour obtenir des identifiants de gens intéressés par des emplois chez Lookeed Martin.
Les Nord co sont connus pour jouer sur deux tableaux : espionnage / sabotage, traditionnel aux groupes étatiques, mais aussi extorsion, dans le but de faire rentrer des devises dans le pays, qui permet le blanchissement de cryptomonnaies.
https://www.zdnet.com/article/lazarus-hackers-target-defense-industry-with-fake-lockheed-martin-job-offers/#ftag=RSSbaffb68

Chez les russes :
Un groupe proche du renseignement russe cible les diplomates européens sous couvert d'une information sur la covid émanant du ministère des affaires étrangères iraniens.
https://thehackernews.com/2022/02/russian-apt-hackers-used-covid-19-lures.html
Depuis 2013, un groupe russe semble dédié à des opérations de déstabilisation de l'Ukraine. Il a redoublé d'efforts depuis Octobre, comme l'indiquait Rogue0 plus haut, par des defacements, des sabotages, la pose d'implants sur des SI industriels critiques (eau, électricité, gaz).
https://www.bleepingcomputer.com/news/microsoft/microsoft-russian-fsb-hackers-hitting-ukraine-since-october/
https://thehackernews.com/2022/02/microsoft-uncovers-new-details-of.html
Les autorités russes font le ménage dans les groupes criminels hébergés sur leur sol. Si l'état continue de sponsoriser ses corsaires, ceux qui échappent à ses directives se voient confrontés à la justice. La Russie n'est donc plus une terre sécuritaire pour les groupes mafieux / criminels n'ayant pas de pacte avec l'état.
https://thehackernews.com/2022/02/russia-cracks-down-on-4-dark-web.html

En Inde :
Les autorités sont à l'offensive pour espionner plusieurs centaines d'organisations des droits de l'Homme, des journalistes, des universitaires, et leurs appuis juridiques. Ces surveillances ont entraîné de nombreuses arrestations.
https://www.zdnet.com/article/these-cybercriminals-plant-criminal-evidence-on-human-rights-activists-lawyer-pcs/#ftag=RSSbaffb68
Les autorités indiennes ont effectué depuis des années des modifications sur les ordinateurs et smartphones d'opposants politiques (dont des militants climatiques) et leurs avocats afin de "créer" des preuves d'infractions/crimes, conduisant à des incarcérations.
https://thehackernews.com/2022/02/hackers-planted-fake-digital-evidence.html
Un groupe pakistanais qui ciblait autrefois les groupes d'opposants politiques au Pakistan s'attaque désormais à des intérêts étatiques indiens.
https://thehackernews.com/2022/02/new-caprarat-android-malware-targets.html

En Chine :
La Chine, qui est sérieusement à l'offensive cyber contre Taïwan depuis 2011, passe à l'offensive sur le secteur financier depuis l'été 2020.
https://thehackernews.com/2022/02/chinese-hackers-target-taiwanese.html
Des chinois (ou du moins, l'un des attaquants l'était)) ont attaqué les jeux nationaux de Chine (sortes de JO intra-Chine) en septembre 2021.
https://thehackernews.com/2022/02/hackers-backdoored-systems-at-chinas.html

En Palestine :
Un groupe défenseur des Palestiniens s'est attaqué à des journalistes et activités des droits de l'Homme en Turquie et Palestine, et à divers intérêts occidentaux. Il semble peu probable qu'un pays du Golf en soit aux commandes.
https://thehackernews.com/2022/02/palestinian-hackers-using-new.html

En Iran :
Petit récap de l'activité d'un des principaux groupes étatiques iraniens qui opère depuis 2014.
https://thehackernews.com/2022/02/iranian-hackers-using-new-marlin.html

D'une manière générale, les groupes cybercriminels (à quelques exceptions d'affiliés près qui la jouent perso) cessent de cibler des cibles sensibles économiquement ou géopolitiquement (big game hunting) pour se concentrer sur des ETI, qui payent moins mais qui font moins parler d'elles. Ceci leur permet d'être moins recherchés par les autorités occidentales, les coups de filets s'étant multipliés en 2020 / 2021. Ces groupes criminels souhaitent bien clairement montrer leur différences avec les groupes étatiques dont les activités (espionnage, sabotage, ...) sont plus impactantes. Exception près pour les Nord Coréens qui ont toujours joué sur les deux tableaux.
https://thehackernews.com/2022/02/cisa-fbi-nsa-issue-advisory-on-severe.html

 

[collectionneur]

Un hacker américain n'a pas aimé être piraté et s'en prend au réseau informatique de la Corée du Nord

https://www.msn.com/fr-fr/actualite/monde/l-histoire-du-hacker-en-pyjama-qui-a-décidé-de-pirater-la-corée-du-nord-pour-se-venger/ar-AATQnII?ocid=winp1taskbar

 

[rogue0]

Attaques cyber pour accompagner l'invasion de l'Ukraine

il y a une heure, Arland a dit :

Rajoutez à ça une attaque par malware de type wiper sur l’Ukraine ce soir et l'évacuation mystérieuse d'une usine chimique Crimea TITAN à Armiansk proche de la frontière.

il y a une heure, Alexis a dit :

Les systèmes de guerre électronique russes auraient été mis en branle

 

https://www.cyberscoop.com/ukraine-wiper-malware-eset-sentinelone-whispergate/

https://www.thedailybeast.com/cyberattacks-hit-websites-and-psy-ops-sms-messages-targeting-ukrainians-ramp-up-as-russia-moves-into-ukraine?ref=home

L'invasion semble accompagnée des attaques de brouillage EW, et de malware informatique (au delà des attaques de déni de service intenses depuis le 15/02) (et en plus des SMS directement envoyés aux soldats ukrainiens et à leurs familles).
 

En particulier, un wiper assez efficace (destructeur de données) baptisé HermeticWiper aurait été signalé par de multiples éditeurs d'antivirus en Ukraine ... et aussi dans les pays baltes.
Le signalement est fiable (ESET éditeur slovaque, symantec, etc) ... et l'attaque était préparée depuis au moins 2 mois (ça colle avec l'ultimatum russe exigeant de repousser l'OTAN "aux frontières de 1997" ).
Pour l'instant,  les banques et institutions seraient les premiers visés

Plusieurs commentateurs cyber sur Twitter rappellent que les "contre-sanction" russes (contre les occidentaux) risquent d'être dans le domaine cyber...
Blindez moi vos réseaux, la tempête approche !

 

[Ciders]

Ce soir, ce sont certains sites gouvernementaux russes qui sont en rade :

 

 

[Ciders]

La cyberguerre se poursuit avec la Russie. Difficile d'y voir clair mais les Anonymous (@YourAnonTV) revendiquent jusqu'à maintenant la mise hors service de près de trois cents sites Web russes (gouvernement, médias, banques publiques), le piratage et la récupération de 200 GB de mails de l'entreprise biélorusse Tetraedr (armement) et une opération similaire menée contre la base de données du personnel du Mindef russe.

Toujours des ralentissements sur le Web russe, provoqués par les piratages et par les restrictions en interne (toujours sur les sites occidentaux comme Facebook et Twitter).

Modifié le 27 février 2022 par Ciders

[Boule75]

il y a une heure, Ciders a dit :

La cyberguerre se poursuit avec la Russie. Difficile d'y voir clair mais les Anonymous (@YourAnonTV) revendiquent jusqu'à maintenant la mise hors service de près de trois cents sites Web russes (gouvernement, médias, banques publiques), le piratage et la récupération de 200 GB de mails de l'entreprise biélorusse Tetraedr (armement) et une opération similaire menée contre la base de données du personnel du Mindef russe.

Toujours des ralentissements sur le Web russe, provoqués par les piratages et par les restrictions en interne (toujours sur les sites occidentaux comme Facebook et Twitter).

Hier, j'ai cru comprendre qu'ils avaient aussi affirmé avoir piraté la web-télé publique russe pour que ses contenus signalent qu'il y avait bien une guerre en Ukraine. Je le met en caché, je ne sais pas recouper ça ni ne comprend précisément de quoi il s'agit ; mais c'est la même source :

Révélation

 

@MoX @rendbo: ça vous dit qque chose ?

Modifié le 27 février 2022 par Boule75

[Ciders]

Oui. Je ne l'ai pas cité parce que je n'ai aucune idée si la possibilité d'une telle chose ou de la véracité de ce piratage.

A voir aussi comment ça se passe sur les RS russes et si ça discute ou non du conflit. Je n'ai hélas pas de russophone sous la main pour aller vérifier.

[rendbo]

Le 27/02/2022 à 10:17, Boule75 a dit :

Hier, j'ai cru comprendre qu'ils avaient aussi affirmé avoir piraté la web-télé publique russe pour que ses contenus signalent qu'il y avait bien une guerre en Ukraine. Je le met en caché, je ne sais pas recouper ça ni ne comprend précisément de quoi il s'agit ; mais c'est la même source :

  Révéler le contenu masqué

 

@MoX @rendbo: ça vous dit qque chose ?

honnêtement j'étais en congés sans vraiment le net ni réseau téléphonique pour recouper l'info, et n'ai pas encore fait la mise à jour des news. Durant ce temps j'ai toutefois eu des contacts avec des Ukrainiens / Russes en France, à Kiev, Moscou, Saint Petersbourg.

De ce que j'ai compris, c'est que tv russe dit qu'il y a la guerre pour les mêmes motifs rabâchés depuis des mois, mais que d'après la tv ukrainienne se sont les soldats russes qui ne sauraient pas que ce n'est plus l'exercice en arrivant sur le front car sans moyen de communication personnel.

 

[Boule75]

il y a 20 minutes, rendbo a dit :

honnêtement j'étais en congés sans vraiment le net ni réseau téléphonique pour recouper l'info, et n'ai pas encore fait la mise à jour des news. Durant ce temps j'ai toutefois eu des contacts avec des Ukrainiens / Russes en France, à Kiev, Moscou, Saint Petersbourg.

De ce que j'ai compris, c'est que tv russe dit qu'il y a la guerre pour les mêmes motifs rabâchés depuis des mois, mais que d'après la tv ukrainienne se sont les soldats russes qui ne sauraient pas que ce n'est plus l'exercice en arrivant sur le front car sans moyen de communication personnel.

Merci pour le retour.

Mais as-tu regardé l'espèce de vidéo diffusée par cette "Anonymous Tv" sur Twitter ? Qu'est-ce que c'est que ce truc ? Ca me fait penser à un service de vidéo à la demande. Le connais-tu ou est-ce totalement inventé ?

[MoX]

Le 27/02/2022 à 10:17, Boule75 a dit :

Hier, j'ai cru comprendre qu'ils avaient aussi affirmé avoir piraté la web-télé publique russe pour que ses contenus signalent qu'il y avait bien une guerre en Ukraine. Je le met en caché, je ne sais pas recouper ça ni ne comprend précisément de quoi il s'agit ; mais c'est la même source :

  Masquer le contenu

 

@MoX @rendbo: ça vous dit qque chose ?

Pas vu passer cela sur les réseaux que je surveille.
Si c'est avéré, cela doit être limité dans le temps / dans l'espace (un "provider" parmis ... ?)

[rendbo]

Il y a 12 heures, Boule75 a dit :

Merci pour le retour.

Mais as-tu regardé l'espèce de vidéo diffusée par cette "Anonymous Tv" sur Twitter ? Qu'est-ce que c'est que ce truc ? Ca me fait penser à un service de vidéo à la demande. Le connais-tu ou est-ce totalement inventé ?

Aucune idée, mais je trouve ça complètement con vu que les Russes ont accès aux satellites occidentaux (si ils souhaitent les regarder).

[rendbo]

@Boule75 : oh putain, ma femme regardait la tv russe (en russe) pour comprendre comment les médias russes parlaient de l'opération de "dénazification de l'Ukraine" et elle vient de partir en skreed total. Le pire c'est qu'avec l'effet de tribu, la contre information offerte par hacking et autres moyens ne fera même pas effet, chaque camps restera convaincu de sa propre histoire/propagande...

[Boule75]

il y a 37 minutes, rendbo a dit :

@Boule75 : oh putain, ma femme regardait la tv russe (en russe) pour comprendre comment les médias russes parlaient de l'opération de "dénazification de l'Ukraine" et elle vient de partir en skreed total. Le pire c'est qu'avec l'effet de tribu, la contre information offerte par hacking et autres moyens ne fera même pas effet, chaque camps restera convaincu de sa propre histoire/propagande...

skreed ? Tu veux dire que la télé russe est partie à lobotomiser la population russe ou que ton épouse a essayé de fermer ton compte sur AD ?

En Russie, de sources concordantes : adoption ces quelques derniers de mesures totalement liberticides contre la presse (interdiction de rapporter des faussetés sur l'armée, interdiction de parler de "guerre" en Ukraine, fermeture de la radio "Echos de Moscou", etc, etc... Bref : verrouillage et propagande dure d'après ces sources. Tu confirmes, n'est-ce pas ?

Ca va quand même se voir, non ? La population va bien se douter qu'un méfait lourd est en cours. Cela changera-t-il quelque chose, je ne sais.

[rendbo]

il y a 18 minutes, Boule75 a dit :

Ca va quand même se voir, non ? La population va bien se douter qu'un méfait lourd est en cours. Cela changera-t-il quelque chose, je ne sais.

honnêtement quand j'entends mon beau père, un mec franchement pas con mais branché toute la journée sur Russia2 (ou autre équivalent), je peux te dire qu'on pourrait y annoncer que "des dinosaures controlent l'ONU mais que les extraterrestres de Centauri IV viendront nous sauver" qu'il y croirait.

Je sais que toi et moi on n'est pas toujours d'accord, mais : 

1. si tu pars de bons gros faits bien réels (la reco d'une manif dans certaines grandes villes par des pays extérieurs -> révolution armée -> gouvernement avec du secteur droit dedans -> Bandera héros indiscutable de l'Ukraine + lois sur la langue russe + tentative "d'annexer" la Laure + discours de Porochenko sur l'Est du pays),
2. que tu construis un bon narratif (révolution pilotée en sous main par l'UE l'OTAN soutenant les troupes bandéristes nazies et anti russe anti...)
3. que tu le répètes assez longtemps et un peu partout
4. bah à la fin tu as un effet tunnel dont tu ne peux plus sortir...

Après chez nous on est un peu plus subtil dans la création de l'ennemi...

 

[rogue0]

La panne d'un satellite de communication Ka-Sat est confirmée comme une cyberattaque par le commandement cyber FR et les allemands.

Depuis le 24 février 2022, le satellite KA-SAT (géré par Viasat) a été fortement perturbé , avec des coupures d'accès internet satellite en France (10 000 abonnés à NordNet), 5000 éoliennes allemandes (pilotées par satellite) non pilotables, et des terminaux satellites UKR (souvent utilisés par les militaires) KO, etc.

poke @hadriel@Nemo123

Les autorités FR et DE ont confirmé que c'est une cyberattaque, mais comme très souvent, se refusent à attribuer l'attaque à un pays.

Vu le timing, c'est très probablement lié à l'invasion russe de l'Ukraine.
L'attaque aurait tenté une mise à jour du firmware des modems des terminaux Ka-SAT ... MAJ qui a échoué, et les terminaux sont désormais inutilisables (on dit "briqués" dans le milieux), et doivent être remplacés (y compris ceux des éoliennes)

2 hypothèses:

• La MAJ destructive était délibérée, et visait à attaquer les communications ukrainiennes.
  Les dégâts FR et allemands seraient "simplement" des dommages collatéraux.
   
• OU la MAJ était censé être invisible (installation de backdoor/mouchard pour espionner les communications ukrainiennes? ), et a échoué pour raisons inconnues, ce qui a grillé l'opération initiale ... mais aussi les comm' ukrainiennes.

(Perso je penche pour la 2ème hypothèse)

Bilan : avantage russe.
J'espère que Tesla/ Starlink a blindé leur cyberprotection pour leurs terminaux (envoyés en ukraine), les pentest russes sont sans doute déjà en cours
 

Sources:

https://www.lemonde.fr/pixels/article/2022/03/08/guerre-en-ukraine-les-utilisateurs-du-reseau-satellitaire-viasat-victiment-d-une-cyberattaque_6116600_4408996.html
https://www.numerama.com/cyberguerre/873005-la-france-confirme-une-cyberattaque-contre-un-satellite-qui-a-affecte-des-francais.html

Révélation

https://www-spiegel-de.translate.goog/netzwelt/web/viasat-satellitennetzwerk-offenbar-gezielt-in-osteuropa-gehackt-a-afd98117-5c32-4946-ab8a-619f1e7af024?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=fr&_x_tr_pto=wapp

https://idw--online-de.translate.goog/de/news789489?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=fr&_x_tr_pto=wapp

Modifié le 8 mars 2022 par rogue0

[J-B]

@rogue0 

https://spacenews.com/spacex-shifts-resources-to-cybersecurity-to-address-starlink-jamming/

Petit article sur la cyber sécurité et SpaceX....

Petit extrait qui montre qu'ils ont déjà subi des tentatives de brouillage:

Citant le brouillage de Starlink "près des zones de conflit", Elon Musk a déclaré le 5 mars que SpaceX sera "réorienté vers la cyberdéfense et la lutte contre le brouillage des signaux" au prix de "légers retards" dans Starship et Starlink V2.

Dans une série de tweets publiés dans la nuit, Musk, fondateur et directeur général de SpaceX, a déclaré que l'entreprise réorientait ses ressources en réponse au brouillage des terminaux, vraisemblablement en Ukraine. Une récente mise à jour du logiciel Starlink "contourne le brouillage", a-t-il ajouté, sans donner plus de détails.

 

Modifié le 8 mars 2022 par J-B

[J-B]

L'utilisation de Starlink pour le contrôle des drones ukrainiens est un développement intéressant de l'usage de Starlink!