Accueil > Actualités Cyber > Actualités du 12 février 2018

Actualités du 12 février 2018

I) À NOTER       

MONDE - Des milliers de sites Internet sensibles exploitent clandestinement un mineur de cryptomonnaie

Dans le monde entier, des milliers de site Internet tels que le celui du système de santé britannique (NHS) et celui du système judiciaire américain exploitent aujourd'hui secrètement des cryptomineurs sur les navigateurs des internautes. Les sites concernés utilisent tous le module d'extension populaire Browsealoud, développé par Brit biz Texthelp utilisé pour lire les pages Internet aux aveugles et malvoyants. Cet outil a été compromis suite à la modification de son code source par des acteurs malveillants dans le but d'injecter silencieusement une macrocommande Coinhive, pour le minage de cryptomonnaie Monero. Selon The Register, ce mineur aurait été ajouté au code de Browsealoud entre 03:00 et 11:45 UTC. La liste des sites concernés par cette compromission sont disponibles sur le site Internet Publicwww. Premièrement repéré par Scott Helme, consultant en sécurité informatique puis confirmé par The Register, il est conseillé aux webmaistres d'utiliser une technique nommée SRI (Subresource INtegrity) afin de capter et bloquer les tentatives d'injection du code malveillant. The Register , Twitter de Scott Helme , publicwww

MONDE - Point sur les cybermenaces : DDoS, ransomwares, mineurs clandestins...

Plusieurs études publiées récemment font un point les principales cybermenaces par type d'attaque. Chaque fournisseur de solution de cyber-sécurité identifie des menaces en rapport avec les typologies contre lesquelles il protège. Passer en revue les différentes études permet de faire un point sur l'état des cyber-menaces dans les différentes catégories. cio-online

MONDE - Le réseau cybecriminel InFraud démantelé

Les Etats-Unis aidés par six autres pays dont la France ont mis à terre un réseau de cybercriminel sévissant sur le dark web et responsable d'avoir causé à des entreprises, des institutions financières et des personnes individuelles plus de 430 millions d'euros de pertes. Parmi les 36 pirates mis en cause, un français a été arrêté. lemondeinformatique

CORÉE DU SUD - Les Jeux Olympiques ont été la cible d'une attaque peu avant leur ouverture

Des serveurs dédiés à l'organisation des Jeux ont été attaqués peu avant la cérémonie d'ouverture, vendredi dernier. Si les infrastructures critiques n'ont pas été touchées, il en a résulté une indisponibilité du service des réservations empêchant les clients d'imprimer leurs billets. De même, la connexion sans fil du stade principal ne fonctionnait plus. Le rétablissement des services est intervenu samedi à 8 heure, heure locale. L'attaque se serait concentrée sur le système de nom de domaine. Son origine n'est pas encore définie mais les investigations sont en cours. Yonhap News , HackRead , Reuters , Mashable

MONDE - Google décide d'indiquer dans son navigateur tous les sites n'employant toujours pas le protocole HTTPS

En plus d'avoir déjà intégré un filigrane numérique sur ces sites indiquant à l'Internaute par un cadenas vert qu'il se trouve sur un site employant du https, l'entreprise de Moutain View a décidé d'indiquer en plus lorsqu'un site n'emploie pas du https. Ces derniers seront désormais marqués comme non sécurisés. Ce marquage sera effectif à compter de la version 68 de Chrome déployée en juillet de cette année. Google , ZDNet

II) ATTAQUES

VATICAN/BELGIQUE - Un attaquant belge usurpe l'identité du site Internet d'informations du Vatican par typosquattage

L'attaquant, Inti De Ceukelaire, originaire d'Alost en Flandre orientale, a créé le domaine "vaticane.ws", usurpant le site légitime des informations du Saint-Siège "vatican.news". Il aurait prévenu le Vatican en amont de son acte afin d'attirer l'attention des responsables de la cité État sur leur manque de vigilance. Ces derniers n'ayant pas réagi à ses courriels, il a décidé de publier des fausses informations irrévérencieuses sur le site falsifié. Radio Télévision Belge Francophone , Corriere della Serra (en italien)

ÉTATS-UNIS - Un journal quotidien disposant d'une base de données de votants de l'État de Californie aurait été victime d'une exfiltration de données

Le journal californien Sacramento Bee aurait été victime d'un siphonnage de données résultant d'un oubli accidentel de remise en service d'un pare-feu durant une maintenance de routine. Les informations compromises concerneraient les enregistrements de plus de dix-neuf millions de votants ainsi que les noms, adresses postales, adresses courriel et numéros de téléphone de 52 000 lecteurs du journal. L'incident a été découvert le 31 janvier dernier par la société de sécurité Kromtech. Les données auraient été compromises lors d'une attaque par rançongiciel qu'aurait subi l'entreprise. Cette dernière n'aurait pas payé la rançon demandée consécutive à cette cyberattaque. Gizmodo , Mac Keeper Security

PÉNINSULE CORÉENNE/MONDE - Une nouvelle campagne d'hameçonnage visant à distribuer le maliciel Loki a été découverte

Les chercheurs en sécurité de Trend Micro ont découvert une nouvelle campagne d'hameçonnage exploitant une vulnérabilité d'exécution de code arbitraire à distance dans Microsoft Office dans le but d'installer la maliciel LokiBot à travers le service Windows Installer (msiexec.exe). Référencée CVE-2017-11882, la vulnérabilité permet une compromission de la mémoire dans l'éditeur d'équation d'Office. En pratique, la campagne prendrait la forme de pourriels contenant une pièce jointe nommé Payment copy.doc qui, une fois ouverte, permettrait in fine l'installation de la charge utile Loki. Enfin, le contenu des pourriels serait écrit en anglais et en coréen, ce qui laisse à penser aux chercheurs que les personnes parlant coréen seraient la cible de cette campagne. SC Magazine , Trend Micro

III) LOGICIELS MALVEILLANTS

MONDE - Un nouveau réseau de machines zombies baptisé DarkSky cible les systèmes Windows

Les chercheurs en sécurité de la société Radware ont découvert un nouveau réseau de machines zombies baptisé DarkSky qui disposerait de plusieurs fonctionnalités tels que des mécanismes d'évasion, la possibilité de télécharger des maliciels et de détecter les environnements bac-a-sable. Il disposerait de plusieurs vecteurs pour mener des attaques en déni de service distribué (DDoS). Disponible pour un montant d'environ vingt dollars (soit seize euros), il fonctionne sur les systèmes d'exploitation Windows XP, 7, 8, 10 en version 32 et 64 bits. Undernews , Radware  

IV) VULNÉRABILITÉS

MONDE - La vulnérabilité récemment identifiée dans le produit Cisco ASA serait "activement" exploitée

[Complément à la revue de presse des 31/01/2018 et 07/02/2018] La faille jugée critique (CVE-2018-0101) impactant Cisco Adaptive Security Appliance (ASA) et permettant d'obtenir un contrôle complet du système serait activement exploitée. Une preuve de concept (PoC) présentée par Cedric Halbronn, baptisée Robin Hood, et analysée par le Centre de cybersécurité australien (Australian Cyber Security Center) permettrait ainsi la réalisation d'une attaque par déni de service (DoS). Si Cisco n'a pas commenté l'éventuelle exploitation de ce PoC, l'agence australienne craint qu'elle ne serve de base au développement d'un code d'exécution à distance. L'entreprise réaffirme auprès de ses clients la nécessité d'installer les correctifs au plus vite. NCC Group , ITNews

MONDE - De nombreuses vulnérabilités affectant des routeurs Netgear très répandus ont été découvertes

La société de cybersécurité Trustwave a divulgué les détails de nombreuses vulnérabilités affectant les routeurs de la marque Netgear. Les failles auraient été découvertes en mars 2017 puis corrigées par le fabricant entre août et octobre de la même année. La vulnérabilité jugée la plus sévère affecterait dix-sept routeurs, dont les modèles R6400, R7000 (Nighthawk), R8000 (Nighthawk X6), R7300DST (Nighthawk DST) et permettrait à un attaquant distant non authentifié d'obtenir in fine le contrôle de l'appareil. Une autre vulnérabilité, aisément exploitable selon la société de sécurité, pourrait permettre à un attaquant de contourner l'authentification par le biais d'une requête spécialement conçue. Par ailleurs, une vulnérabilité permettant l'exécution de code arbitraire à distance avec les privilèges racine sans authentification a également été découverte. Enfin, deux vulnérabilités permettant une injection de commande affectent six modèles de routeurs et ont été jugées de sévérité modéré. Netgear , Trustwave , Security Week

MONDE - Une vulnérabilité au sein de la suite bureautique LibreOffice a été découverte

Référencée CVE-2018-6871, cette vulnérabilité permettrait à un attaquant distant de lire arbitrairement des fichiers. Son exploitation consiste en l'utilisation de la fonction=WEBSERVICE au sein d'un document qui utilise elle-même la fonction COM.MICROSOFT.WEBSERVICE. La vulnérabilité affecterait les versions antérieures à 5.4.5 et 6.0.1 sur les systèmes d'exploitation Linux, Windows et MacOs. Enfin, une démonstration de faisabilité a été publiée sur GitHub. Mitre , GitHub

MONDE - VMware publie des correctifs ou propose des solutions de contournement pour corriger les vulnérabilités Spectre et Meltdown

VMware a publié des correctifs ainsi que des solutions de contournement pour ses produits Virtual Appliance affectés par les vulnérabilités Spectre et Meltdown. Ces mesures de remédiation peuvent être appliquées à vCloud Usage Meter, Identity Manager (vIDM), vCenter Server, vSphere Data Protection, vSphere Integrated Containers et vRealize Automation (vRA). Elles restent temporaires, jusqu'à ce qu'un correctif permanent soit disponible. Security Affairs , VMware

MONDE - Deux vulnérabilités jugées critiques ont été corrigées dans le produit Lenovo ThinkPad

Les deux vulnérabilités ont été découvertes par Google et affectent les composants électroniques Broadcom (chipset) des appareils Lenovo. La première, nommée CVE-2017-11120, concerne une corruption de mémoire qui pourrait être exploitée par des attaquants pour exécuter du code et établir une porte dérobée sur un périphérique ciblé. La seconde, nommée CVE-2017-11121, représente une vulnérabilité de débordement de tampon causée par une mauvaise validation des signaux Wi-Fi. Les deux failles de sécurité sont exploitables par à distance pour l'exécution de code arbitraire sur l'adaptateur du système ciblé. Security Affairs

V) SOCIÉTÉS

MONDE - Google a distribué 2,9 millions de dollars américains en 2017 dans le cadre de ses programmes de chasse aux bogues

[Complément à la revue de presse du 09/02/2018] Cette somme est en léger retrait par rapport aux trois millions versés en 2016. La plus grosse prime ayant été versée un chercheur a été de 112 500 dollars pour une cascade d'exploitations sur l'ordiphone Pixel menant à une exécution de code à distance échappant à l'environnement en bac à sable de Chrome. Certaines des technologies comprises dans le programme de chasse aux bogues n'ayant pas fait l'objet de découvertes de vulnérabilités récentes, la filiale d'Alphabet a décidé de réhausser les primes de découvertes sur celles-ci à 200 000 dollars. De même pour des vulnérabilités exploitables à distance sur les noyaux avec des montants compris entre 30 000 et 150 000 dollars. Google , eWeek

MONDE - Zerodium rehausse sa prime sur la déclaration de vulnérabilité 0-day sur Linux à 45 000 dollars américains

L'entreprise, spécialisée dans l'agrégation de vulnérabilités, a annoncé la revue à la hausse de ses primes pour toute déclaration de vulnérabilité 0-day sur Linux permettant des élévations de privilèges en local. Cette offre court jusqu'au 31 mars et concerne les distributions Linux, Ubuntu, Debian, CentOS, Red Hat Enterprise Linux (RHEL), et Fedora. Security Week , ZDNet

VI) INFORMATIONS

BELGIQUE - La police fédérale distribue via la plateforme NoMoreRansom la clef de déchiffrement du rançongiciel Cryakl

Les clefs ont été identifiées par les forces de l'ordre d'outre-Quievrain lors d'une enquête encore en cours qui a mené à la saisie d'un serveur de commande et contrôle se trouvant dans un pays limitrophe. L'Unité fédérale belge de lutte contre les crimes informatiques devient ainsi la seconde force de police européenne à participer au programme NoMoreRansom d'Europol. ZDNet , Europol

ÉTATS-UNIS - Identification d'un serveur de stockage en réseau mal configuré et exposant 60Gb de données de compagnies d'assurance

Le chercheur Chris Vickery d'Upguard a réalisé cette découverte en réalisant un balayage de port 873. Ce port sert à réaliser des synchronisations de données sur des serveurs de sauvegarde. Si le serveur en question était bien paramétré sur le port 873, son port 9000 était resté ouvert. Il y a découvert plus de 175 000 fichiers remontant à 2010. On y trouve des noms, adresses, numéros de téléphones, dates de naissance ainsi que des numéros de sécurité sociale. Il y a par ailleurs trouvé des mots de passe permettant d'accéder à une base de données nationale des assureurs. Threat Post , UpGuard

ÉTATS-UNIS/RUSSIE - La CIA a été victime d'une escroquerie menée par un individu de nationalité russe

La CIA aurait été victime d'une escroquerie montée par un individu de nationalité russe qui aurait proposé des informations compromettantes sur le président américain ainsi que certains des programmes informatiques dérobés à la NSA par le groupe d'attaquants Shadow Brokers. Bien que non identifié, l'individu aurait des liens avec le monde de la cybercriminalité et du renseignement russe. Il en aurait exigé un million de dollars mais n'aurait finalement obtenu que 100 000 dollars en espèces, remis dans une valise dans une chambre d'hôtel à Berlin. En effet, les documents remis lors de la première livraison étaient des programmes ou informations déjà connus ou bien très douteux. Le Figaro , New York Times , The Intercept

SINGAPOUR - Adoption par le parlement de la première loi cadre sur la cybersécurité

[Complément à la revue de presse du 14/11/2017] Le Cybersecurity Act représente le premier corpus de lois dédié à cette thématique dans la cité-État. Elle concerne avant tout les opérateurs d'importance vitale (OIV) sur les secteurs de l'énergie, des télécommunications, du traitement de l'eau, de la santé, de la finance, des transports ainsi que des médias. Le corpus prévoit la nomination d'un secrétaire d'État qui sera chargé de définir cette liste d'entités. Ces OIV auront l'obligation de déclarer certains incidents au secrétaire et lui faire parvenir les informations concernant les architectures, la configuration et la sécurité de leurs systèmes d'informations. Ils seront par ailleurs sujets à des audits réguliers de cybersécurité et pourront faire l'objet d'enquêtes dans le cadre de certaines menaces ou incidents de cybersécurité. Out Law , Cybersecurity Bill

AUSTRALIE - Le pays signale sa volonté de coopération internationale afin de lutter contre les cyberattaques

L'ambassadeur à la lutte contre le cybercrime, Tobias Feakin, a indiqué lors d'une audition parlementaire que son pays constatait une porosité grandissante entre la cybercriminalité et le cyberespionnage étatique. Il indique en effet que son pays a constaté une exploitation grandissante de pays exploitant la cybercriminalité comme couverture à leurs opérations de cyberespionnage. Il a à ce titre évoqué la mise en place d'une dissuasion cyber et précisé que celle-ci serait plus efficace si elle était mise en œuvre par un groupe de pays. ZDNet

INDE - Le réseau de machines zombies Hide'N Seek pourrait viser le pays selon Bitdefender

[Complément à la revue de presse du 26/01/2018] Selon Bitdefender, le pays pourrait être visé par le réseau de machines zombies Hide'N Seek (HNS) qui rassemblerait pour l'heure 32 312 objets connectés sous son contrôle. Ce réseau a été identifié le 10 janvier dernier avant de disparaître puis refaire surface dix jours plus tard dans une nouvelle version significativement améliorée. La société note cependant qu'un simple redémarrage peut permettre de supprimer le programme malveillant, HNS ne disposant pas de capacités de persistance sur les terminaux ciblés. Bitdefender , Indian Express

VII) ÉTUDES ET RAPPORTS

INDE - Le pays a été victime de plus de 53 000 incidents de cybersécurité en 2017

Lors d'une présentation au Parlement indien, le ministre de l'Électronique et des Technologies de l'information, Ravi Shankar Prasad, a indiqué que le pays avait enregistré plus de 53 081 incidents de cybersécurité en 2017 dont des tentatives d'hameçonnage, des intrusions sur des sites Internet, des défigurations ainsi que des attaques en déni de service distribué (DDoS) ou bien par le biais de virus et de rançongiciels. En 2014, 2015 et 2016, ce chiffre atteignait respectivement 44 679, 49 455 et 50 362 incidents. Enfin, il a également indiqué qu'entre 2014 et 2016, respectivement 9 622, 11 592 et 12 317 délits liés à la cybercriminalité ont été dénombrés dans le pays. Big News Network

VIII) PRODUITS

 

IX) ATTAQUES ET DÉFIGURATIONS LOCALES

 

X) INSOLITE

RUSSIE - Des chercheurs arrêtés pour avoir tenté de miner de la cryptomonnaie dans un centre nucléaire

Des scientifiques du centre nucléaire militaire de Sarov ont été arrêtés pour avoir tenté de miner une monnaie virtuelle. Ces derniers auraient été démasqués lorsque le supercalculateur des installations a tenté d'établir une connexion avec Internet. Une enquête a été ouverte et les auteurs sont entre les mains du FSB. British Broadcasting , Interfax (russe) , Ars Technica

Ce message est destiné à l'attention exclusive de ses destinataires et ne peut être considéré au regard de son contenu comme une publication ou position officielle de l'AMSN. Toute utilisation de ce message non conforme à sa destination, toute diffusion, toute citation, toute publication, totale ou partielle, est interdite, sauf autorisation expresse de l'AMSN.

 

Téléchargement

Actualités du 23 février 2018

23 février 2018
actualite

I) À NOTER ESPAGNE - Les systèmes d'information du service municipal des transports de Madrid ont été victimes d'une compromissionLe 26 janvier der... Lire la suite[+]

Actualités du 22 février 2018

22 février 2018
actualite

I) À NOTER RUSSIE - Le Kremlin s'inquiète d'éventuelles tentatives de cyber manipulation des élections russesSelon le responsable du conseil de sé... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
Toutes les actualités
https://amsn.gouv.mc/Actualites-Cyber2/Actualites-du-12-fevrier-2018