Le nouveau logiciel malveillant ICS « FrostyGoop » cible les infrastructures critiques - Actus du 23/07/2024
Découvrez comment des pirates chinois utilisent le malveillant MgBot contre Taïwan et des ONG américaines, l'impact du logiciel malveillant ICS « FrostyGoop » sur les infrastructures critiques, et nos conseils pour intégrer en sécurité de nouveaux employés sans partager de mots de passe temporaires.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des pirates chinois ciblent Taïwan et des ONG américaines avec le logiciel malveillant MgBot
Un groupe de hackers soutenu par l'État chinois, connu sous le nom de Daggerfly, a récemment ciblé des organisations à Taïwan et une ONG américaine basée en Chine, utilisant un ensemble de nouveaux outils de malware. Selon un rapport de l'équipe de chasse aux menaces de Symantec, cette campagne indique que Daggerfly s'engage également dans l'espionnage interne. Les attaquants ont exploité une vulnérabilité dans un serveur HTTP Apache pour déployer leur malware MgBot. Daggerfly, actif depuis 2012, a déjà été observé utilisant MgBot dans des missions de collecte de renseignements en Afrique. Les nouvelles attaques se distinguent par l'utilisation d'une famille de malwares améliorée basée sur MgBot et d'une version mise à jour d'un malware macOS connu sous le nom de MACMA. Ce dernier a été lié à Daggerfly en raison de similitudes dans le code et de l'utilisation d'un serveur de commande et de contrôle commun. Un autre malware, Nightdoor, a également été identifié, ciblant des utilisateurs tibétains. Parallèlement, le Centre national de réponse aux virus informatiques de Chine a accusé les agences de renseignement américaines d'être derrière le groupe Volt Typhoon, qualifiant cela de campagne de désinformation.
Sources :
Le nouveau logiciel malveillant ICS « FrostyGoop » cible les infrastructures critiques
Des chercheurs en cybersécurité ont identifié un nouveau malware, nommé FrostyGoop, ciblant les systèmes de contrôle industriel (ICS), utilisé lors d'une cyberattaque contre une entreprise énergétique à Lviv, en Ukraine, en janvier. Développé en Golang, FrostyGoop est le premier malware à exploiter directement les communications Modbus TCP pour compromettre les réseaux de technologie opérationnelle (OT). Découvert par Dragos en avril 2024, il cible principalement les systèmes Windows et les contrôleurs ENCO exposés sur le port TCP 502. Le malware permet de lire et d'écrire des données sur les dispositifs ICS, entraînant des dysfonctionnements et des mesures inexactes. L'attaque a causé une interruption de chauffage pour plus de 600 bâtiments pendant près de 48 heures, suite à une exploitation d'une vulnérabilité dans des routeurs Mikrotik. FrostyGoop est le neuvième malware ICS identifié, après des menaces notables comme Stuxnet et Industroyer. Les chercheurs soulignent que la capacité de ce malware à interagir avec des dispositifs ICS via Modbus représente un risque majeur pour les infrastructures critiques. Ils appellent les organisations à renforcer leurs cadres de cybersécurité pour se protéger contre de telles menaces à l'avenir.
Sources :
Comment intégrer en toute sécurité de nouveaux employés sans partager de mots de passe temporaires
Le partage de mots de passe temporaires lors de l'intégration des employés expose les organisations à des risques de sécurité importants. Les départements informatiques se retrouvent souvent à partager des mots de passe en texte clair par email ou SMS, ou à organiser des réunions en personne pour les communiquer verbalement. Ces méthodes présentent des vulnérabilités, comme les attaques de type "man-in-the-middle" et les erreurs humaines, ouvrant la voie aux hackers. Les mots de passe temporaires, souvent simples et prévisibles, sont particulièrement à risque, comme l'a révélé une recherche de Specops, qui a trouvé des milliers de mots de passe volés. Un exemple marquant est l'attaque de SolarWinds, où un mot de passe temporaire n'a jamais été mis à jour, entraînant une cyberattaque massive. Les méthodes traditionnelles de partage de mots de passe, bien que courantes, ne garantissent pas la sécurité des informations sensibles. Pour remédier à ces lacunes, Specops propose la fonctionnalité "First Day Password" dans Specops uReset, permettant aux nouveaux employés de confirmer leur identité via leur email ou numéro de mobile. Cela assure des mots de passe sécurisés dès le premier jour, réduisant ainsi considérablement les risques de cybermenaces.
Sources :
Sites Magento ciblés avec un écumeur de carte de crédit sournois via des fichiers d'échange
Des acteurs malveillants ont été observés utilisant des fichiers de swap sur des sites web compromis pour dissimuler un skimmer de carte de crédit persistant et collecter des informations de paiement. Cette technique, détectée par Sucuri sur la page de paiement d'un site e-commerce Magento, permet au malware de survivre à plusieurs tentatives de nettoyage. Le skimmer capture les données du formulaire de carte de crédit et les exfiltre vers un domaine contrôlé par l'attaquant, "amazon-analytic[.]com", enregistré en février 2024. Les chercheurs en sécurité soulignent que l'utilisation de noms de marque dans les domaines est une tactique courante pour échapper à la détection. Les attaquants exploitent également des fichiers de swap pour charger le code malveillant tout en maintenant le fichier original intact. Bien que l'origine de l'accès initial reste floue, il est suspecté d'impliquer SSH ou une autre session terminale. Parallèlement, des comptes administrateurs compromis sur des sites WordPress sont utilisés pour installer un plugin malveillant se faisant passer pour le plugin légitime Wordfence. Les propriétaires de sites sont conseillés de restreindre l'accès aux protocoles courants et de maintenir leurs systèmes à jour, tout en activant l'authentification à deux facteurs et en utilisant des pare-feu.
Sources :
Des hackers russes profondément anti-Occident se font arrêter en Espagne
Le 20 juillet, la police espagnole a annoncé l'arrestation de trois membres du collectif hacktiviste NoName057, basé à Majorque et Séville. Ces hackers, connus pour leurs cyberattaques, sont accusés d'avoir ciblé des institutions publiques et des secteurs stratégiques en Espagne et dans d'autres pays de l'OTAN. Une vidéo publiée sur le réseau social X montre le raid sur l'un des suspects, dont la maison affichait un drapeau de l'URSS. NoName057, un groupe ultra-nationaliste russe, est particulièrement actif dans les attaques DDoS, qui inondent un site de requêtes pour le rendre inaccessible. Ces opérations, bien que médiatiques, causent peu de dommages réels. Le collectif a déjà visé des pays européens, notamment la France, et a récemment annoncé une série d'attaques contre des institutions espagnoles, entraînant des pannes temporaires de certains sites. Les membres arrêtés risquent des peines de prison allant de quelques mois à plusieurs années. Cette situation met en lumière les tensions croissantes entre les hacktivistes et les pays soutenant l'Ukraine face à l'agression russe.
Sources :
Meta a donné un délai pour s'adresser à l'UE. Préoccupations concernant le modèle « paiement ou consentement »
Meta a jusqu'au 1er septembre 2024 pour répondre aux préoccupations de la Commission européenne concernant son modèle publicitaire "payer ou consentir", sous peine de sanctions. La Commission a averti que ce modèle, utilisé sur Facebook et Instagram, pourrait enfreindre les lois sur la protection des consommateurs, le qualifiant de trompeur et déroutant. Les autorités craignent que les utilisateurs soient contraints de choisir rapidement entre un abonnement payant et le consentement à l'utilisation de leurs données personnelles pour la publicité ciblée, de peur de perdre l'accès à leurs comptes. Meta, qui a lancé un plan d'abonnement pour les utilisateurs de l'UE fin 2023, est accusé d'imposer un "frais de confidentialité" pour exercer leurs droits de protection des données. Selon le Digital Markets Act (DMA), les entreprises en position de "gatekeeper" doivent obtenir le consentement explicite des utilisateurs avant d'utiliser leurs données pour des services au-delà de leur fonctionnalité de base. La Commission a également critiqué Meta pour son utilisation de termes vagues et pour avoir présenté son service comme "gratuit", alors qu'il oblige les utilisateurs à consentir à l'utilisation de leurs données. Meta défend son modèle comme légitime, citant un jugement de la Cour de justice de l'UE, mais les critiques persistent.
Sources :
Institutions ukrainiennes ciblées par les logiciels malveillants HATVIBE et CHERRYSPY
Le Computer Emergency Response Team d'Ukraine (CERT-UA) a signalé une campagne de spear-phishing visant une institution de recherche scientifique, utilisant des malwares nommés HATVIBE et CHERRYSPY. L'attaque a été attribuée à un acteur malveillant identifié comme UAC-0063, qui a précédemment ciblé des entités gouvernementales pour collecter des informations sensibles via des keyloggers et des portes dérobées. Le mode opératoire implique l'utilisation d'un compte email compromis d'un employé pour envoyer des messages de phishing contenant une pièce jointe Microsoft Word (DOCX) avec des macros. L'ouverture du document et l'activation des macros déclenchent l'exécution d'une application HTML encodée (HTA) nommée HATVIBE, qui établit une persistance sur l'hôte et ouvre la voie à une porte dérobée Python, CHERRYSPY. CERT-UA a observé de nombreux cas d'infections HATVIBE exploitant une vulnérabilité connue (CVE-2024-23692). UAC-0063 est associé à un groupe étatique lié à la Russie, APT28, également connu sous divers noms. Parallèlement, CERT-UA a rapporté une autre campagne de phishing ciblant des entreprises de défense ukrainiennes, utilisant des fichiers PDF piégés pour télécharger un exécutable malveillant.
Sources :
Comment améliorer la sécurité de votre système grâce à la gouvernance des données de référence
L'essor de l'intelligence artificielle (IA) et de l'apprentissage automatique pose des défis majeurs en matière de cybersécurité, notamment en facilitant la falsification d'identités. Environ 94 % des entreprises ont signalé des incidents de sécurité, souvent liés à des attaques par email. Pour contrer ces menaces, la gouvernance des données maîtresses (MDG) émerge comme une solution efficace. Elle permet de centraliser les données, facilitant ainsi la gestion des accès utilisateurs et limitant les dégâts en cas de compromission des identifiants. En cas de fuite, la MDG permet de retracer l'origine des données, ce qui aide à identifier et corriger les failles de sécurité. De plus, la mise en œuvre de la MDG favorise une meilleure formation des employés sur les mesures de cybersécurité, comme l'authentification à deux facteurs. L'organisation des données sous un cadre MDG permet également d'améliorer le chiffrement des informations, tant en transit qu'en stockage. En somme, la MDG représente une approche stratégique pour renforcer la sécurité des systèmes d'information des entreprises face à des menaces de plus en plus sophistiquées.
Sources :
Google abandonne son projet de supprimer progressivement les cookies tiers dans Chrome
Google a annoncé qu'il renonce à supprimer les cookies tiers de son navigateur Chrome, après plus de quatre ans de discussions autour de l'initiative Privacy Sandbox. Anthony Chavez, vice-président du projet, a déclaré que la nouvelle approche permettra aux utilisateurs de faire un choix éclairé concernant les cookies, qu'ils pourront ajuster à tout moment. Cette décision intervient après plusieurs retards dans la mise en œuvre de l'élimination des cookies tiers, alors que des navigateurs comme Safari et Firefox ont déjà pris cette mesure. Google, en tant que fournisseur de navigateur et plateforme publicitaire, a rencontré des difficultés pour se conformer aux attentes en matière de confidentialité en ligne. Les critiques se sont intensifiées, notamment de la part d'Apple, qui a souligné que la technologie Privacy Sandbox pourrait permettre à Google de suivre les utilisateurs sans leur consentement éclairé. De plus, des préoccupations ont été soulevées concernant un éventuel avantage concurrentiel pour Google sur le marché de la publicité numérique. La Competition and Markets Authority (CMA) du Royaume-Uni surveille de près ces changements et évaluera l'impact de cette nouvelle approche sur l'industrie.
Sources :
L’agence grecque du cadastre a été victime d’une vague de 400 cyberattaques
L'agence du Cadastre en Grèce a récemment annoncé avoir subi une violation de données limitée suite à une vague de 400 cyberattaques sur son infrastructure informatique. Les hackers ont réussi à compromettre des terminaux d'employés et à voler 1,2 Go de données, représentant environ 0,0006 % des données totales de l'agence. Les informations dérobées ne contiennent pas de données personnelles des citoyens, mais se composent principalement de documents administratifs, dont l'exposition ne devrait pas affecter les opérations du registre. Bien que les hackers aient tenté de créer un utilisateur malveillant pour infiltrer la base de données centrale, cette tentative a échoué. Un des backups de la base de données a été accédé, mais la tentative d'exfiltration a été bloquée. L'enquête interne, assistée par la Direction de la cybersécurité, n'a pas révélé de déploiement de ransomware. Des mesures d'urgence ont été mises en place, comme la résiliation de l'accès VPN et la réinitialisation des mots de passe des employés. Malgré ces attaques, les services numériques de l'agence continuent de fonctionner normalement, sans interruption des transactions avec les citoyens.
Sources :
Google revient sur sa décision de supprimer les cookies tiers dans Chrome
Le 22 juillet 2024, Google a annoncé qu'il renonçait à sa décision de supprimer les cookies tiers dans Chrome, une mesure initialement prévue pour 2025. Ces cookies, souvent perçus comme une menace pour la vie privée, nécessitent le consentement des utilisateurs selon le RGPD de l'Union européenne. Mozilla Firefox et Apple Safari ont déjà bloqué ces cookies par défaut, ce qui a eu un impact significatif sur l'industrie publicitaire. Google avait introduit le Privacy Sandbox comme alternative pour un suivi plus anonyme des intérêts des utilisateurs, mais a reconnu que la transition nécessitait un travail considérable et affecterait de nombreux acteurs du secteur. Au lieu de supprimer les cookies tiers, Google propose désormais une nouvelle expérience dans Chrome permettant aux utilisateurs de restreindre leur utilisation tout en conservant la possibilité de faire des choix éclairés. Cette décision a suscité des critiques, soulignant que Google privilégie ses profits au détriment de la vie privée des utilisateurs. Des experts recommandent d'utiliser des extensions comme Privacy Badger pour bloquer ces cookies. La réponse de Google à ces préoccupations n'était pas immédiatement disponible.
Sources :
Les États-Unis sanctionnent les hacktivistes russes qui ont violé des installations d'approvisionnement en eau
Le gouvernement américain a imposé des sanctions à deux cybercriminels russes, Yuliya Pankratova et Denis Degtyarenko, membres du groupe hacktiviste pro-russe Cyber Army of Russia Reborn (CARR). Pankratova, surnommée 'YuliYA', est considérée comme la leader du groupe, tandis que Degtyarenko, connu sous le nom de 'Dena', est le principal hacker, responsable des attaques et de la création de matériel de formation. CARR, actif depuis 2022, a d'abord ciblé l'Ukraine avec des attaques par déni de service distribué (DDoS) avant d'intensifier ses opérations en 2023, visant des infrastructures critiques, notamment des installations de traitement d'eau et d'énergie aux États-Unis et en Europe. En janvier 2024, CARR a revendiqué l'intrusion dans le système SCADA d'une entreprise énergétique américaine, manipulant une unité de stockage d'eau au Texas. Bien que ces attaques n'aient pas causé de dommages majeurs, elles représentent une menace significative. Les sanctions bloquent les biens des deux individus aux États-Unis et interdisent les transactions avec eux, visant à isoler et à dissuader d'autres hackers. Le Trésor américain souligne l'importance de protéger les infrastructures critiques contre de telles menaces.
Sources :
Plusieurs vulnérabilités trouvées dans la solution de forum Internet XenForo
XenForo, une solution de forum Internet, a récemment corrigé plusieurs vulnérabilités de sécurité, dont certaines pourraient permettre des attaques par exécution de code à distance (RCE). Dans une mise à jour de sécurité, XenForo a signalé des failles, notamment une vulnérabilité de falsification de requête intersite (CSRF) et une injection de code, qui pourraient être exploitées par des attaquants non authentifiés. Ces problèmes ont été principalement rapportés par le chercheur en sécurité Egidio Romano via SSD Secure Disclosure. Les vulnérabilités identifiées incluent CVE-2024-38457 (CSRF) et CVE-2024-38458 (RCE). Selon l'analyse, un utilisateur pourrait déclencher une RCE en raison d'un traitement incorrect des modèles fournis par les utilisateurs, permettant ainsi à des attaquants d'exécuter du code arbitraire lorsque des administrateurs visitent des pages malveillantes. Les versions de XenForo antérieures à 2.1.14 et 2.1.15 sont concernées, et une mise à jour supplémentaire, 2.1.16, a été publiée pour corriger toutes les vulnérabilités identifiées. Les utilisateurs de XenForo Cloud ont reçu automatiquement les correctifs, tandis que ceux utilisant des versions plus anciennes doivent mettre à jour manuellement. Des correctifs ont également été fournis pour les pré-releases de XenForo 2.3.
Sources :
La nouvelle version Linux du ransomware Play cible les machines virtuelles VMware ESXi
Le ransomware Play a récemment développé une version dédiée pour Linux, ciblant spécifiquement les machines virtuelles VMware ESXi. Selon Trend Micro, qui a détecté cette nouvelle variante, le ransomware vérifie d'abord s'il s'exécute dans un environnement ESXi avant de se déployer, tout en évitant la détection sur les systèmes Linux. C'est la première fois que Play ransomware cible les environnements ESXi, ce qui indique une expansion potentielle de ses attaques sur la plateforme Linux, augmentant ainsi le nombre de victimes possibles. Les groupes de ransomware se tournent de plus en plus vers les machines virtuelles, car leur compromission entraîne des interruptions majeures des opérations commerciales. Une fois lancé, le ransomware éteint toutes les machines virtuelles trouvées et commence à chiffrer les fichiers, ajoutant l'extension .PLAY. Il cible spécifiquement le système de fichiers VMFS utilisé par VMware. En plus de chiffrer les données, il laisse une note de rançon dans le répertoire racine de la VM. Play ransomware, actif depuis juin 2022, a déjà touché des organisations notables comme Rackspace et la ville d'Oakland. Les agences gouvernementales recommandent des mesures de sécurité renforcées pour se protéger contre ces attaques.
Sources :
La police s'infiltre et supprime le service DDoS à louer DigitalStress
Le 2 juillet 2024, le service de DDoS à la demande DigitalStress a été démantelé lors d'une opération conjointe dirigée par la National Crime Agency (NCA) du Royaume-Uni, avec l'arrestation de son propriétaire présumé, Skiop, par la Police Service of Northern Ireland. Les agents de la NCA ont infiltré les services de communication utilisés pour planifier des attaques DDoS, collectant des données sur les "clients" de DigitalStress. Ces informations seront partagées avec d'autres agences de la loi pour cibler les administrateurs et utilisateurs de ce marché criminel. La NCA a averti que ceux qui ont utilisé le site seront contactés par les forces de l'ordre. Les membres du service ont confirmé que Skiop était injoignable depuis le 2 juillet et ont mis en garde contre l'accès à un site potentiellement piégé. Paul Foster, responsable de l'unité nationale de cybercriminalité de la NCA, a souligné que ces services attirent des individus peu expérimentés dans la cybercriminalité. Cette opération s'inscrit dans le cadre de l'Opération PowerOFF, qui vise à lutter contre les plateformes de DDoS-as-a-service depuis 2018, avec plusieurs saisies et arrestations précédentes.
