Cloudflare déjoue la plus grande attaque DDoS de 3,8 Tbps jamais réalisée visant des secteurs mondiaux - Actus du 04/10/2024
Découvrez comment les États-Unis et Microsoft luttent contre la cyberfraude en saisissant 107 domaines russes. Plongez dans les défis de cybersécurité avec l'amende de Sellafield et pourquoi TikTok inquiète plus l'Ukraine que Telegram. Lisez notre article pour en savoir plus !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les États-Unis et Microsoft saisissent 107 domaines russes dans le cadre d'une vaste opération de répression contre la cyberfraude
Microsoft et le Département de la Justice des États-Unis ont annoncé la saisie de 107 domaines internet utilisés par des acteurs menaçants soutenus par l'État russe, impliqués dans des fraudes informatiques. Ces activités sont attribuées à un groupe connu sous le nom de COLDRIVER, lié au Service fédéral de sécurité de la Russie (FSB) et actif depuis 2012. Le groupe a été sanctionné par les gouvernements britannique et américain en décembre 2023 pour des campagnes de phishing et de collecte de données. Les 41 domaines récemment saisis ont été utilisés pour accéder illégalement à des informations gouvernementales américaines. Microsoft a également déposé une action civile pour saisir 66 autres domaines utilisés par COLDRIVER, ciblant des ONG et des organisations de la société civile, notamment celles soutenant l'Ukraine et les pays de l'OTAN. Les opérations de COLDRIVER exploitent la confiance des utilisateurs, ciblant des experts en affaires russes et des anciens responsables du renseignement. Microsoft a identifié 82 victimes depuis janvier 2023, soulignant la persistance du groupe dans l'évolution de ses tactiques de phishing et la sophistication de ses infrastructures de vol de données.
Sources :
Le site nucléaire britannique de Sellafield condamné à une amende de 440 000 dollars pour manquement à la cybersécurité
Le site nucléaire de Sellafield, au Royaume-Uni, a été condamné à une amende de 332 500 £ (440 000 $) par l'Office for Nuclear Regulation (ONR) pour des manquements aux normes de cybersécurité, mettant en péril des informations sensibles entre 2019 et 2023. L'ONR a constaté que Sellafield n'avait pas respecté ses propres protocoles de cybersécurité, laissant plusieurs vulnérabilités non corrigées dans ses systèmes informatiques, en violation des Nuclear Industries Security Regulations de 2003. Bien qu'aucune exploitation n'ait eu lieu, ces failles exposaient le site à des risques tels que le ransomware et le phishing, pouvant perturber des opérations à haut risque. Sellafield, l'une des plus grandes installations nucléaires d'Europe, joue un rôle crucial dans la gestion des déchets nucléaires. Des enquêtes antérieures avaient révélé des problèmes de sécurité, notamment un accès facile des sous-traitants à des systèmes critiques. Malgré ces lacunes, l'ONR a confirmé qu'aucune vulnérabilité n'avait été exploitée. En réponse, Sellafield a remplacé des dirigeants clés et a commencé à remédier aux risques de cybersécurité, avec des progrès notables selon l'ONR.
Sources :
TikTok serait plus dangereux pour l’Ukraine que Telegram, selon Kiev
Les autorités ukrainiennes, notamment Alina Aleksieeva du centre de lutte contre la désinformation, soulignent que TikTok représente une menace majeure pour l'Ukraine en raison de la propagation de la propagande russe, surpassant même Telegram. Lors d'une conférence à Kiev, elle a exprimé des inquiétudes concernant la vulnérabilité des jeunes utilisateurs de TikTok face aux fake news, qui circulent également sur d'autres plateformes comme Facebook et Instagram. En réponse à ces préoccupations, TikTok a récemment interdit plusieurs comptes liés aux médias d'État russes, notamment RT, en raison de la sécurité, surtout avant les élections américaines de novembre. L'Ukraine envisage également de bannir TikTok, à l'instar des discussions en cours aux États-Unis sur les liens de l'application avec le gouvernement chinois et ses contenus nuisibles. Andriy Kovalenko, chef du CPD, a noté que la fermeture de TikTok aux États-Unis pourrait inciter l'Ukraine à prendre des mesures similaires. Parallèlement, la Russie utilise des bots pour diffuser de la désinformation, rendant la situation encore plus préoccupante dans le contexte actuel de guerre informationnelle.
Sources :
Comment démarrer avec CTEM lorsque vous ne savez pas par où commencer
L'article présente un cadre en cinq étapes pour gérer les menaces de sécurité : Scoping, Discovery, Prioritization, Validation et Mobilization. Il souligne l'importance de rassembler les décideurs pour aligner les processus métier avec les technologies. Les outils de Data Security Posture Management (DSPM) offrent des analyses précieuses des actifs, en priorisant ceux nécessitant une protection accrue. Active Directory (AD) est essentiel pour la découverte, surtout dans les environnements avec des problèmes d'identité. Cependant, les scores de sécurité ne tiennent souvent pas compte du contexte commercial, rendant difficile la compréhension des menaces par les parties prenantes. Les solutions de cartographie des chemins d'attaque fournissent une vue d'ensemble des risques d'exposition, permettant une priorisation stratégique. Les technologies basées sur l'IA peuvent améliorer la détection des menaces, mais leur mise en œuvre doit être prudente pour éviter des erreurs. Les outils de simulation d'attaques, comme le Breach and Attack Simulation (BAS), permettent de valider les vulnérabilités sans perturber les systèmes de production. Enfin, XM Cyber offre une visibilité en temps réel sur les expositions, facilitant une réponse rapide et efficace aux menaces, tout en adaptant continuellement la posture de sécurité de l'organisation.
Sources :
Cloudflare déjoue la plus grande attaque DDoS de 3,8 Tbps jamais réalisée ciblant des secteurs mondiaux
Cloudflare a récemment annoncé avoir neutralisé une attaque par déni de service distribué (DDoS) record, atteignant un pic de 3,8 téraoctets par seconde (Tbps) pendant 65 secondes. Au cours du mois, l'entreprise a défendu plus d'une centaine d'attaques hyper-volumétriques L3/4, dont plusieurs dépassaient 2 milliards de paquets par seconde. Ces attaques, ciblant principalement des clients dans les secteurs financier, Internet et télécommunications, ont débuté début septembre 2024, sans attribution à un acteur spécifique. Le précédent record était de 3,47 Tbps en novembre 2021. Les attaques exploitent le protocole UDP, avec des paquets provenant de pays comme le Vietnam, la Russie et les États-Unis, souvent via des dispositifs compromis. Cloudflare a identifié une botnet importante exploitant des routeurs ASUS vulnérables. Les attaques visent à épuiser la bande passante et les ressources CPU des cibles, rendant difficile l'accès aux utilisateurs légitimes. Les secteurs bancaire et public ont connu une augmentation de 55 % des attaques DDoS ces quatre dernières années. Parallèlement, des vulnérabilités dans le système d'impression UNIX (CUPS) pourraient également servir de vecteurs pour des attaques DDoS amplifiées. Les organisations sont conseillées de sécuriser leurs services d'impression.
Sources :
Une faille de sécurité du plugin WordPress LiteSpeed Cache expose les sites aux attaques XSS
Une nouvelle vulnérabilité de sécurité grave a été révélée dans le plugin LiteSpeed Cache pour WordPress, permettant à des acteurs malveillants d'exécuter du code JavaScript arbitraire. Suivie sous le nom CVE-2024-47374 (score CVSS : 7.2), cette faille de type XSS stocké affecte toutes les versions jusqu'à 6.5.0.2 et a été corrigée dans la version 6.5.1 le 25 septembre 2024, suite à une divulgation responsable par le chercheur TaiYou de Patchstack. Cette vulnérabilité permet à un utilisateur non authentifié de voler des informations sensibles ou d'escalader ses privilèges sur le site WordPress via une simple requête HTTP. Elle résulte d'une mauvaise gestion de l'en-tête HTTP "X-LSCACHE-VARY-VALUE", qui permet l'injection de scripts web. Les attaques XSS persistantes peuvent avoir des conséquences graves, notamment le vol d'informations ou la prise de contrôle de sessions d'utilisateurs authentifiés, en particulier des administrateurs. Avec plus de six millions d'installations actives, les failles dans ce plugin représentent une cible lucrative pour les cybercriminels. Ce correctif intervient après la résolution d'autres vulnérabilités critiques dans des plugins WordPress, soulignant la nécessité d'une vigilance accrue en matière de sécurité.
Sources :
La faille CUPS récemment corrigée peut être utilisée pour amplifier les attaques DDoS
Une vulnérabilité récemment découverte dans le système d'impression open-source Common Unix Printing System (CUPS) permet aux cybercriminels de lancer des attaques par déni de service distribué (DDoS) avec un facteur d'amplification de 600x. Selon des chercheurs d'Akamai, la faille CVE-2024-47176 dans le démon cups-browsed peut être exploitée pour exécuter du code à distance sur des systèmes de type Unix via un seul paquet UDP. L'attaque commence lorsqu'un attaquant envoie un paquet spécialement conçu, trompant un serveur CUPS pour qu'il considère une cible comme une imprimante à ajouter. Chaque paquet envoyé à des serveurs CUPS vulnérables entraîne la génération de requêtes IPP/HTTP plus volumineuses, consommant ainsi la bande passante et les ressources CPU des deux parties. Environ 58 000 serveurs, parmi plus de 198 000 dispositifs exposés, pourraient être recrutés pour ces attaques. De plus, certains serveurs CUPS vulnérables montrent un comportement de "boucle infinie" de requêtes. Akamai recommande aux administrateurs de déployer des correctifs ou de désactiver le service cups-browsed pour éviter d'être intégrés à un botnet ou d'être utilisés dans des attaques DDoS.
Sources :
Kaspersky enregistre une augmentation de 25 % de la détection des APT grâce au Machine Learning au premier semestre 2024
Les analystes du GReAT de Kaspersky ont observé une augmentation de 25 % des détections d'APT au premier semestre 2024, grâce à l'utilisation de l'apprentissage automatique. Cette technologie permet d'analyser des volumes massifs de données issues du Kaspersky Security Network, ciblant principalement les secteurs de l'administration, de la finance, des entreprises et des télécommunications. Les modèles de machine learning, tels que Random Forest et TF-IDF, facilitent la détection rapide et précise des menaces avancées, en identifiant des indicateurs de compromission souvent négligés par les systèmes traditionnels. Kaspersky traite quotidiennement des millions de données, offrant ainsi des informations en temps réel sur les menaces émergentes, ce qui améliore considérablement les temps de réponse et réduit les cyber-risques. Amin Hasbini, responsable META du GReAT, souligne que ces avancées dépassent les attentes et renforcent les stratégies de défense proactives. Les modèles de ML sont régulièrement mis à jour pour s'adapter aux nouvelles menaces. Kaspersky présentera ces résultats lors du GITEX 2024, où l'impact de l'IA sur la cybersécurité sera discuté. Pour plus d'informations sur le machine learning dans la cybersécurité, consultez Securelist.com.
Sources :
Des applications de trading pour « abattage de porcs » trouvées sur Google Play et App Store
Des applications de trading frauduleuses, liées à des escroqueries de type "pig butchering", ont été découvertes sur Google Play et l'App Store d'Apple. Ces applications, qui ont été retirées après avoir accumulé des milliers de téléchargements, trompent les victimes en leur faisant croire qu'elles peuvent réaliser des investissements rentables sur des plateformes de trading fictives. Les escrocs utilisent des techniques de manipulation sociale pour inciter les victimes à déposer des fonds tout en les empêchant de retirer les "profits" affichés. La fraude se révèle lorsque les victimes tentent de récupérer leur argent, qui a déjà été transféré sur les comptes des escrocs. Les applications, identifiées comme appartenant à la famille de malwares "UniShadowTrade", ont été repérées pour la première fois en mai et se présentaient comme des outils de calcul mathématique ou des agrégateurs de nouvelles financières. Après leur suppression, les escrocs ont déplacé leurs opérations vers des sites de phishing. Pour éviter de telles arnaques, il est conseillé de vérifier la légitimité des plateformes d'investissement et de rester vigilant face aux messages non sollicités promettant des rendements élevés.
Sources :
Police néerlandaise : « Un acteur étatique » est probablement à l’origine de la récente violation de données
La police nationale néerlandaise (Politie) a déclaré qu'un acteur étatique était probablement à l'origine d'une récente violation de données. Cette attaque a compromis des informations sensibles, notamment les coordonnées de contact, noms, adresses e-mail et numéros de téléphone de plusieurs agents. Selon les premiers rapports, un compte de police a été piraté, permettant le vol de ces informations professionnelles. L'enquête est en cours, et la police a choisi de ne pas divulguer l'identité des responsables ni les méthodes utilisées jusqu'à ce que tous les détails soient analysés. La Polizei examine actuellement la nature, l'ampleur et les conséquences de cette fuite de données. En réponse à l'attaque, des mesures de sécurité renforcées ont été mises en place, y compris l'obligation pour les employés d'utiliser l'authentification à deux facteurs plus fréquemment. Tous les systèmes sont surveillés en continu pour détecter toute activité anormale. Bien que le nombre de personnes touchées n'ait pas été précisé, une lettre du ministre de la Justice et de la Sécurité, David van Weel, a indiqué que les coordonnées de tous les agents de police avaient été volées. Des informations supplémentaires seront publiées dès que possible, en tenant compte de l'enquête en cours.
Sources :
Microsoft et le DOJ perturbent l'infrastructure d'attaque des pirates informatiques du FSB russe
Microsoft et le ministère de la Justice des États-Unis ont saisi plus de 100 domaines utilisés par le groupe de hackers russes ColdRiver, lié au Service fédéral de sécurité (FSB) de Russie, pour cibler des employés du gouvernement américain et des organisations à but non lucratif à travers le monde via des attaques de phishing. Entre janvier 2023 et août 2024, ColdRiver a visé plus de 30 organisations de la société civile, y compris des journalistes et des ONG, pour exfiltrer des informations sensibles. La saisie de 107 domaines, dont 66 par Microsoft et 41 par le DOJ, a permis de démanteler l'infrastructure d'attaque de ce groupe. Les attaques de ColdRiver, qui utilisent des techniques d'ingénierie sociale et des informations en source ouverte, sont actives depuis au moins 2017 et se sont intensifiées après l'invasion de l'Ukraine par la Russie, ciblant des installations de défense et des organismes gouvernementaux. En décembre 2023, le département d'État américain a sanctionné deux opérateurs de ColdRiver et propose jusqu'à 10 millions de dollars pour des informations sur d'autres membres du groupe. Cette action s'inscrit dans une réponse coordonnée pour contrer l'espionnage cybernétique.
Sources :
Plus de 4 000 boutiques Adobe Commerce et Magento piratées par des attaques CosmicSting
Plus de 4 000 boutiques en ligne utilisant Adobe Commerce et Magento ont été piratées dans le cadre des attaques "CosmicSting", représentant environ 5 % de toutes les boutiques. La vulnérabilité critique (CVE-2024-34102) permet aux attaquants d'exploiter une faille d'information et, lorsqu'elle est combinée avec une autre vulnérabilité dans la fonction iconv de glibc (CVE-2024-2961), elle permet une exécution de code à distance. Les produits touchés incluent plusieurs versions d'Adobe Commerce et de Magento Open Source. La société de sécurité Sansec a observé ces attaques depuis juin 2024, avec des victimes notables comme Whirlpool et Ray-Ban. Sansec met en garde que 75 % des installations n'avaient pas été mises à jour au moment où des scans automatisés ont commencé, ce qui pourrait entraîner davantage de piratages. Sept groupes de menaces, motivés financièrement, exploitent cette vulnérabilité pour voler des informations de carte de crédit et des données clients. Les administrateurs de sites sont fortement conseillés de mettre à jour vers les dernières versions pour se protéger. Sansec a également fourni un outil pour vérifier la vulnérabilité des sites et a publié un correctif d'urgence pour bloquer la plupart des attaques CosmicSting.
Sources :
Google ajoute de nouvelles fonctionnalités de sécurité Pixel pour bloquer les exploits 2G et les attaques en bande de base
Google a récemment annoncé les nouvelles mesures de sécurité intégrées dans ses derniers appareils Pixel pour contrer les attaques de sécurité liées au baseband. Le baseband, ou modem, gère la connectivité des appareils via des réseaux LTE, 4G et 5G, mais il est vulnérable aux attaques, notamment par des stations de base falsifiées qui peuvent injecter des paquets réseau manipulés. Des chercheurs ont mis en évidence des menaces réelles, comme l'utilisation d'outils tels que Triton pour exploiter des vulnérabilités dans le logiciel baseband d'Exynos, permettant des attaques ciblées. En réponse, Google a introduit une fonctionnalité dans Android 14 permettant de désactiver le support des réseaux 2G, et a renforcé la sécurité du baseband avec des outils comme Clang sanitizers. De plus, la société collabore avec des partenaires pour alerter les utilisateurs sur les connexions cellulaires non chiffrées et les stations de base frauduleuses. Parmi les autres défenses ajoutées aux nouveaux Pixel 9 figurent des canaris de pile et l'intégrité du flux de contrôle, qui protègent contre les tentatives d'exploitation des vulnérabilités en garantissant que le code s'exécute dans un ordre prévu.
Sources :
Des fraudeurs emprisonnés pour avoir escroqué Apple en lui arrachant 6 000 iPhones
Deux ressortissants chinois, Haotian Sun et Pengfei Xue, ont été condamnés à des peines de prison pour avoir escroqué Apple de plus de 2,5 millions de dollars en échangeant plus de 6 000 iPhones contrefaits contre des appareils authentiques. Entre juillet 2017 et décembre 2019, eux et leurs complices ont abusé de la politique de remplacement des appareils d'Apple en soumettant de faux iPhones défectueux pour obtenir des remplacements authentiques. Les iPhones contrefaits, expédiés de Hong Kong vers des boîtes aux lettres aux États-Unis, ont été soumis à Apple avec des IMEI et numéros de série falsifiés. Apple a expédié des iPhones de remplacement via des transporteurs privés, qui ont ensuite été renvoyés à Hong Kong pour être revendus. Le stratagème a causé une perte de plus de 2,5 millions de dollars à Apple. Sun a été condamné à 57 mois de prison, tandis que Xue a reçu une peine de 54 mois, tous deux avec trois ans de libération surveillée. Le tribunal a également ordonné le remboursement de 1 072 200 dollars et 397 800 dollars à Apple, respectivement. Les deux hommes avaient été arrêtés en décembre 2019 et reconnus coupables de fraude postale.
Sources :
Cloudflare bloque la plus grande attaque DDoS jamais enregistrée, culminant à 3,8 Tbit/s
Cloudflare a récemment bloqué la plus grande attaque DDoS jamais enregistrée, atteignant un pic de 3,8 tébits par seconde (Tbps), ciblant principalement des organisations dans les secteurs financier, internet et télécommunications. Cette campagne, qui a duré un mois, a consisté en plus de 100 attaques hyper-volumétriques, inondant l'infrastructure réseau de données inutiles. Les attaques ont dépassé deux milliards de paquets par seconde, utilisant principalement le protocole User Datagram Protocol (UDP), connu pour ses transferts rapides sans connexion formelle. Les dispositifs compromis, notamment des routeurs Asus, des systèmes MikroTik, des DVR et des serveurs web, étaient dispersés à travers le monde, avec une forte concentration en Russie, au Vietnam, aux États-Unis, au Brésil et en Espagne. Cloudflare a réussi à atténuer toutes les attaques de manière autonome, la plus importante durant 65 secondes. Avant cela, Microsoft détenait le record d'une attaque DDoS de 3,47 Tbps. Par ailleurs, une étude d'Akamai a révélé que des vulnérabilités dans le système CUPS de Linux pourraient également être exploitées pour des attaques DDoS, avec plus de 58 000 systèmes exposés.
Sources :
Deux étudiants de Harvard hackent les lunettes de Meta pour reconnaitre les personnes dans la rue
Deux étudiants de Harvard, AnhPhu Nguyen et Caine Ardayfio, ont développé un projet nommé I-XRAY, qui associe des lunettes connectées Ray-Ban de Meta à des technologies de reconnaissance faciale. Leur but est d'identifier des individus dans des lieux publics et de récupérer leurs données personnelles en temps réel. En parcourant leur campus et Boston, ils ont filmé des passants, créant une vidéo qui laisse entendre que les lunettes fournissent directement des informations. En réalité, elles sont reliées à un programme d'intelligence artificielle qui traite les images capturées. Grâce à PimEyes, une plateforme de reconnaissance faciale, les visages détectés sont analysés pour retrouver des informations disponibles en ligne. Les étudiants ont approché des personnes pour leur donner des détails sur leur vie professionnelle ou sportive, après les avoir photographiées. Bien qu'ils ne prévoient pas de rendre public le code de leur dispositif, leur objectif est de sensibiliser aux dangers de la reconnaissance faciale et d'encourager la suppression des données personnelles sur ces plateformes. Leur initiative soulève des questions sur l'éthique de l'utilisation de telles technologies, surtout dans un contexte où Mark Zuckerberg envisage également des lunettes connectées.
