Le téléphone du ministre piraté : le hacker compromet l’appli de messagerie - Actus du 06/12/2024
Découvrez l'ascension et la chute d'Hydra, le roi du dark web russe, récemment condamné à perpétuité. Célébrez l'anniversaire de l'OFAC avec leur opération MATRIX, et suivez le parcours tumultueux d'un pirate français en pleine tourmente judiciaire. Plongée au cœur du cybercrime!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Hydra : Le Roi du Dark Web Russe condamné à perpétuité
Le marché noir Hydra, l'un des plus grands du dark web russe, a été démantelé en 2022, entraînant la condamnation à perpétuité de son chef, Stanislav Moiseev, et de lourdes peines pour ses complices, allant de 8 à 23 ans de prison. Cette opération policière internationale marque un tournant dans la lutte contre le cybercrime en Russie, où des sanctions exemplaires visent à dissuader d'autres activités illégales. Hydra, qui utilisait des méthodes sophistiquées comme les boîtes aux lettres mortes pour la livraison de produits illicites, a révélé la complexité croissante des réseaux criminels en ligne. Parmi les 15 condamnés figurent des membres clés de l'équipe logistique, mais l'administrateur technique, Dmitry Olegovich Pavlov, reste introuvable. L'affaire souligne également la mondialisation du darknet, avec des arrestations de suspects à l'étranger, notamment en Indonésie, où certains risquent la peine de mort. La justice russe semble renforcer ses actions contre les cybercriminels, après avoir longtemps été perçue comme tolérante envers ceux opérant à l'étranger. En parallèle, d'autres plateformes de cybercriminalité ont également été démantelées, témoignant d'une intensification des efforts des autorités.
Sources :
Joyeux anniversaire l’OFAC : pour sa 1ére année, les cyber policiers français soufflent MATRIX
L'Office anti-cybercriminalité (OFAC) français a célébré sa première année d'existence en orchestrant l'opération internationale "Passion Flower", qui a abouti au démantèlement de la messagerie MATRIX, utilisée par des criminels pour des communications chiffrées. Cette opération, réalisée en collaboration avec quatre polices européennes, a permis de surveiller les échanges de criminels pendant trois mois. MATRIX, conçue pour garantir anonymat et sécurité, était un outil clé pour des trafics mondiaux de drogue, d'armes et de blanchiment d'argent, et son utilisation s'étendait à un réseau international, avec des messages échangés en 33 langues. Les enquêteurs ont réussi à arrêter trois suspects, dont un en France, et à saisir plus de 500 000 € en cryptoactifs et 130 000 € en espèces. Bien que cette opération représente une victoire significative dans la lutte contre la cybercriminalité, l'OFAC souligne que les groupes criminels s'adaptent rapidement après chaque démantèlement. L'agence a réaffirmé son engagement à poursuivre ses efforts pour identifier et neutraliser de nouvelles plateformes émergentes, soulignant l'importance de la coopération internationale dans cette lutte technologique continue.
Sources :
Itinéraire d’un pirate français au cœur d’une nouvelle tourmente judiciaire
Sébastien Raoult, un jeune pirate informatique français de 22 ans, fait face à une nouvelle enquête judiciaire en France après avoir été condamné aux États-Unis pour escroquerie informatique. Originaire d'Épinal, il a été extradé du Maroc vers les États-Unis en 2023 et condamné en 2024 à trois ans de prison pour des activités malveillantes ayant causé des pertes financières de cinq millions de dollars. Raoult est suspecté d'avoir développé un logiciel permettant de contrôler des serveurs de messagerie liés à Amazon Web Services, et il a été arrêté à son retour en France dans le cadre d'une enquête ouverte par le parquet de Paris en 2022. Son parcours illustre les défis de la cybercriminalité dans un monde interconnecté, où les frontières nationales deviennent floues. La coopération entre les autorités marocaines, américaines et françaises souligne l'importance d'une réponse internationale face à ces crimes. Malgré ses tentatives de réhabilitation, son arrestation récente montre que la réintégration est complexe. L'affaire Raoult met en lumière la vulnérabilité des entreprises face à des hackers ingénieux et souligne la nécessité d'une justice adaptée aux enjeux numériques contemporains.
Sources :
Des chercheurs découvrent des failles dans les frameworks d'apprentissage automatique open source les plus populaires
Des chercheurs en cybersécurité ont révélé plusieurs vulnérabilités affectant des outils et frameworks de machine learning (ML) open-source tels que MLflow, H2O, PyTorch et MLeap, pouvant permettre l'exécution de code. Découvertes par JFrog, ces failles font partie d'un ensemble plus large de 22 problèmes de sécurité divulgués le mois dernier. Contrairement aux premières vulnérabilités, celles-ci touchent les clients ML et se trouvent dans des bibliothèques gérant des formats de modèles sûrs comme Safetensors. JFrog souligne que le détournement d'un client ML peut permettre aux attaquants de se déplacer latéralement au sein d'une organisation, accédant à des services ML critiques tels que les registres de modèles ou les pipelines MLOps. Cela pourrait exposer des informations sensibles, comme des identifiants de registre de modèles, permettant à un acteur malveillant d'injecter des portes dérobées dans des modèles ML stockés ou d'exécuter du code. Parmi les vulnérabilités, on trouve des problèmes de désérialisation et de traversée de chemin, entraînant des exécutions de code à distance. JFrog met en garde contre le chargement de modèles ML non vérifiés, même s'ils proviennent de dépôts réputés, car cela peut entraîner des dommages considérables.
Sources :
Le téléphone du ministre des Affaires étrangères piraté : « le hacker a compromis l’appli de messagerie »
Le téléphone portable de Jean-Noël Barrot, ministre français des Affaires étrangères, a été piraté le 25 novembre lors d'une réunion du G7. L'incident a été révélé par Médiapart le 5 décembre, indiquant que Barrot aurait cliqué sur un lien malveillant via l'application Signal. Son homologue bahreïni a alerté Barrot après avoir reçu des messages suspects de son téléphone. L'ANSSI a été saisie pour enquêter, mais l'analyse a été retardée par le refus du ministre de remettre son appareil, invoquant un emploi du temps chargé. Cet incident met en lumière la vulnérabilité des diplomates face aux campagnes de phishing, qui ciblent régulièrement ce groupe. Benoit Grunemwald, expert en cybersécurité, souligne que cliquer sur des liens malveillants peut arriver à tout le monde, même aux plus prudents. Il critique également le manque de séparation entre les communications professionnelles et personnelles de Barrot, suggérant que des mesures de sécurité adéquates n'ont pas été prises. La compromission du téléphone soulève des questions sur l'origine des attaquants et les implications pour la sécurité des données sensibles. L'enquête reste en cours, avec l'espoir de réponses avant un éventuel changement de ministre.
Sources :
Conquérir les complexités de la BCDR moderne
En 2024, le paysage de la cybersécurité a connu une évolution marquée, avec une augmentation de l'agressivité et de la sophistication des cybercriminels. Les attaques par ransomware demeurent les plus fréquentes, touchant près de 50 % des entreprises, selon le rapport Kaseya Cybersecurity Survey 2024. Les cybercriminels adaptent leurs stratégies, utilisant des attaques basées sur l'utilisateur, comme le détournement de session, pour contourner l'authentification multifactorielle (MFA) et déployer des malwares via des techniques d'ingénierie sociale. La complexité croissante des infrastructures informatiques modernes complique la protection des données. En cas d'incident, les temps de récupération lents et les pertes de données peuvent entraîner des conséquences coûteuses. Les méthodes de sauvegarde traditionnelles ne répondent souvent pas aux exigences des environnements IT modernes. Il est essentiel de passer à des solutions avancées de sauvegarde et de récupération après sinistre, axées sur l'automatisation et la résilience. Des systèmes intelligents peuvent identifier les vulnérabilités et anticiper les défaillances. L'intégration de solutions de sauvegarde et de détection des menaces permet de protéger efficacement les données. Pour prospérer, les organisations doivent adopter des approches proactives et intégrées, comme Unitrends UniView, qui facilite la gestion des solutions de sauvegarde et de récupération.
Sources :
Comment des récepteurs satellite ont été utilisés pour des cyberattaques mondiales
Entre 2019 et 2024, une entreprise sud-coréenne a modifié 240 000 récepteurs satellite pour les transformer en outils d'attaques par déni de service (DDoS). Ces modifications, dont 98 000 récepteurs étaient déjà configurés à la livraison, ont été réalisées à la demande d'une société cliente étrangère, dont l'identité reste inconnue. Les utilisateurs, ignorants de la double fonction de leurs appareils, ont été involontairement intégrés dans un réseau mondial de cyberattaques. L'affaire a été révélée par la police sud-coréenne avec l'aide d'Interpol, qui a permis d'arrêter six responsables de l'entreprise pour violations des lois sur la cybersécurité. Les autorités ont également confisqué 4,1 millions d'euros d'actifs illégaux générés par la vente de ces récepteurs modifiés. En plus d'être impliqués dans des activités criminelles, les utilisateurs ont subi des dysfonctionnements de leurs appareils. Cette situation souligne l'urgence de renforcer la sécurité des objets connectés et la nécessité d'une coopération internationale en matière de cybersécurité. L'ampleur des dommages causés par ces cyberattaques reste difficile à évaluer, mais elle met en lumière les risques associés à l'utilisation non sécurisée de technologies connectées.
Sources :
Prédictions 2025 : IA, usurpations d’identité et cybermenaces à surveiller
Les prédictions pour la cybersécurité en 2025 mettent en lumière l'importance croissante de l'Intelligence Artificielle (IA) dans la lutte contre les cybermenaces, tout en soulignant son utilisation par les cybercriminels. Les attaques ciblant les identités numériques deviendront plus fréquentes, les hackers exploitant des comptes non sécurisés et des vulnérabilités humaines pour accéder à des données sensibles. Les entreprises devront impérativement renforcer leurs politiques de gestion des identités, en supprimant les comptes inutilisés et en adoptant des mots de passe robustes ainsi que l'authentification multifactorielle.
Parallèlement, l'IA sera un outil clé pour détecter et prévenir les menaces, grâce à des systèmes avancés capables d'analyser des comportements suspects. Cependant, les cybercriminels utiliseront également l'IA générative pour perfectionner leurs attaques, rendant le phishing et les arnaques vocales plus convaincants grâce à des deepfakes et des contenus hyperréalistes. Ces méthodes d'ingénierie sociale sophistiquées nécessiteront des contre-mesures adaptées et une vigilance accrue. En somme, 2025 s'annonce comme une année où la cybersécurité devra s'adapter à des menaces de plus en plus complexes, nécessitant une vigilance collective.
Sources :
Systèmes d’exploitation visés, malwares les plus utilisés : le bilan d’Elastic sur les tendances de 2024 en matière de cyberattaques par malware
Dans son rapport annuel Global Threat Report 2024, Elastic et Elastic Security Labs analysent les tendances des cyberattaques par malware sur l'année écoulée. Windows demeure le système d'exploitation le plus ciblé, représentant 66,12 % des attaques, en raison de la prévalence des signatures YARA. Bien que Windows ne soit pas plus vulnérable, il attire davantage les cybercriminels. macOS, avec seulement 1,68 % des attaques, présente un risque notable à cause des applications piratées. Linux, quant à lui, subit 32,20 % des attaques, principalement en raison de son utilisation dans les serveurs, ce qui le rend attrayant pour les hackers. En ce qui concerne les types de malwares, les trojans dominent avec 82 % des détections, marquant une hausse de 21 % par rapport à l'année précédente. Les autres catégories incluent les Generic (8 %), les Cryptominer (4,39 %), les ransomwares (2,10 %) et les backdoors (1 %). Les outils de sécurité offensifs, tels que Cobalt Strike (27,2 %) et Metasploit (18,23 %), sont souvent détournés par les cybercriminels, soulignant leur efficacité malveillante. Ce rapport met en lumière l'évolution des menaces dans le paysage numérique actuel.
Sources :
More_eggs MaaS étend ses opérations avec RevC2 Backdoor et Venom Loader
Les acteurs de la menace derrière le malware More_eggs ont été associés à deux nouvelles familles de malwares, signalant une expansion de leur opération de malware-as-a-service (MaaS). Ces nouvelles menaces incluent un backdoor d'extraction d'informations nommé RevC2 et un loader appelé Venom Loader, tous deux déployés via VenomLNK, un outil essentiel pour l'accès initial aux charges utiles. RevC2 utilise des WebSockets pour communiquer avec son serveur de commande et de contrôle (C2), capable de voler des cookies et des mots de passe, de proxy le trafic réseau et d'exécuter du code à distance (RCE). Venom Loader, quant à lui, est personnalisé pour chaque victime, utilisant le nom de l'ordinateur pour encoder la charge utile. Les deux familles de malwares ont été observées dans des campagnes entre août et octobre 2024, orchestrées par un acteur de la cybercriminalité connu sous le nom de Venom Spider. Bien que les mécanismes de distribution exacts restent flous, VenomLNK joue un rôle clé dans l'exécution de RevC2 et Venom Loader. Ces découvertes montrent que les auteurs de malwares continuent d'affiner leur arsenal, malgré l'identification de deux individus l'an dernier comme opérateurs de la plateforme MaaS.
Sources :
Les pirates informatiques exploitent les tunnels Cloudflare et le DNS Fast-Flux pour masquer le malware GammaDrop
Le groupe de cybercriminalité connu sous le nom de Gamaredon utilise des tunnels Cloudflare pour dissimuler son infrastructure de staging hébergeant un malware appelé GammaDrop. Cette activité fait partie d'une campagne de spear-phishing ciblant des entités ukrainiennes depuis début 2024, visant à déployer un malware en Visual Basic Script. Suivi par Recorded Future sous le nom de BlueAlpha, ce groupe, actif depuis 2014 et lié au Service fédéral de sécurité de la Russie (FSB), utilise des techniques telles que le fast-flux DNS pour compliquer le suivi de ses communications. Les attaques récentes impliquent l'envoi d'e-mails de phishing avec des pièces jointes HTML, exploitant le "HTML smuggling" pour initier le processus d'infection via un code JavaScript intégré. Lorsqu'elles sont ouvertes, ces pièces jointes téléchargent un fichier LNK malveillant qui utilise mshta.exe pour livrer GammaDrop, un chargeur qui contacte un serveur C2 pour récupérer d'autres malwares. BlueAlpha continue d'affiner ses techniques d'évasion en utilisant des services légitimes, rendant la détection plus difficile pour les systèmes de sécurité traditionnels. Les défis évolutifs posés par ces techniques nécessiteront une vigilance accrue de la part des organisations.
Sources :
Un homme du Nebraska plaide coupable d'une fraude de cryptojacking de 3,5 millions de dollars
Un homme du Nebraska, Charles O. Parks III, a plaidé coupable jeudi d'avoir dirigé une opération de cryptojacking à grande échelle, après son arrestation en avril. Parks a admis ne pas avoir payé une facture de 3,5 millions de dollars pour avoir loué du temps de calcul dans le cloud, ce qui lui a permis de miner environ 970 000 dollars de cryptomonnaies. Bien que le ministère de la Justice n'ait pas nommé les deux fournisseurs de services cloud, l'acte d'accusation indique qu'ils sont basés à Seattle et Redmond, où se trouvent Amazon et Microsoft. Entre janvier et août 2021, Parks a utilisé plusieurs pseudonymes et entités, comme "MultiMillionaire LLC", pour créer de nombreux comptes et accéder à d'importantes ressources de calcul sans paiement. Il a exploité ces ressources pour miner des cryptomonnaies telles qu'Ether, Litecoin et Monero, tout en trompant les fournisseurs sur l'utilisation des données et les soldes impayés. Parks a blanchi ses gains illégaux via des échanges de cryptomonnaies et des services de paiement en ligne, avant de dépenser l'argent dans des achats extravagants. Il risque jusqu'à 20 ans de prison.
Sources :
Un homme du Nebraska plaide coupable d'une opération de cryptojacking stupide
Un homme du Nebraska, Charles O. Parks III, a plaidé coupable jeudi d'avoir dirigé une opération de cryptojacking à grande échelle, après son arrestation en avril. Parks a admis ne pas avoir payé une facture de 3,5 millions de dollars pour avoir loué du temps de calcul dans le cloud, ce qui lui a permis de miner environ 970 000 dollars de cryptomonnaies. Bien que le ministère de la Justice n'ait pas nommé les deux fournisseurs de services cloud, l'acte d'accusation indique que l'un est basé à Seattle et l'autre à Redmond, où se trouvent Amazon et Microsoft. Entre janvier et août 2021, Parks a utilisé plusieurs pseudonymes et entités, comme "MultiMillionaire LLC", pour créer de nombreux comptes et accéder à d'importantes ressources de calcul sans paiement. Il a exploité ces ressources pour miner des cryptomonnaies telles qu'Ether, Litecoin et Monero, tout en trompant les fournisseurs sur l'utilisation des données et les soldes impayés. Parks a blanchi ses gains illégaux via des échanges de cryptomonnaies et des services de paiement en ligne. Il risque jusqu'à 20 ans de prison lors de sa condamnation.
Sources :
Les systèmes électoraux roumains ciblés par plus de 85 000 cyberattaques
Un rapport déclassifié du Service de Renseignement de Roumanie (SRI) révèle que l'infrastructure électorale du pays a été ciblée par plus de 85 000 cyberattaques. Ces attaques, provenant de 33 pays, ont culminé le 19 novembre, lorsque des données de cartographie ont été compromises, entraînant la fuite de mots de passe pour des sites électoraux sur un forum de hackers russe. Les attaquants ont exploité des vulnérabilités, notamment des injections SQL et des scripts intersites, pour accéder aux systèmes électoraux. Le SRI avertit que des failles persistent dans l'infrastructure électorale roumaine. Parallèlement, une campagne d'influence a manipulé plus de 100 influenceurs TikTok, atteignant plus de 8 millions de followers, pour promouvoir le candidat présidentiel Calin Georgescu. Les vidéos ont connu une visibilité accrue à partir du 13 novembre, culminant avec des millions de vues. Bien que le SRI n'attribue pas directement ces attaques à un acteur spécifique, il suspecte un acteur étatique, tandis que le Service de Renseignement Étranger (SIE) souligne l'historique d'ingérence de la Russie dans d'autres élections. La Roumanie, perçue comme un ennemi par Moscou, est une cible de désinformation et de propagande.
Sources :
Une organisation américaine a été victime d'une intrusion de pirates informatiques chinois pendant quatre mois
Une organisation américaine de grande envergure, ayant une présence significative en Chine, a subi une intrusion de la part de hackers basés en Chine, qui a duré de avril à août 2024. Selon les chercheurs de Symantec, cette opération visait principalement la collecte de renseignements, en ciblant des serveurs Exchange pour l'exfiltration de données. Bien que l'organisation ciblée ne soit pas nommée, elle avait déjà été attaquée par le groupe de menaces ‘Daggerfly’ en 2023. L'intrusion a été détectée le 11 avril 2024, avec l'exécution de commandes WMI suspectes. Les hackers ont utilisé des techniques telles que le ‘Kerberoasting’ et ont pivoté vers d'autres machines pour exfiltrer des données via des outils renommés comme FileZilla. Ils ont également manipulé le registre pour assurer leur persistance et ont mené des activités de surveillance. L'attaque a été caractérisée par une approche structurée, avec des rôles distincts pour chaque machine compromise. Bien que l'attribution soit délicate, l'utilisation extensive d'outils courants et de techniques alignées sur celles des hackers chinois suggère une origine bien définie.
Sources :
Arrestation aux États-Unis d'un suspect de Scattered Spider lié à des piratages de télécommunications
Le 5 décembre 2024, les autorités américaines ont arrêté Remington Goy Ogletree, un adolescent de 19 ans, lié au groupe cybercriminel Scattered Spider. Il est accusé d'avoir piraté une institution financière américaine et deux entreprises de télécommunications en utilisant des identifiants volés via des messages de phishing. Ogletree a usurpé l'identité des départements informatiques des victimes pour inciter les employés à accéder à des sites de phishing où ils devaient entrer leurs identifiants. Entre octobre et novembre 2023, environ 149 employés de l'institution financière ont été ciblés par cette campagne. De plus, il a envoyé plus de 8,6 millions de messages de phishing visant à dérober des cryptomonnaies. Lors d'une perquisition à son domicile au Texas, le FBI a découvert des preuves de ses activités criminelles sur son iPhone, y compris des captures d'écran de messages de phishing et de portefeuilles de cryptomonnaies. Ogletree a déclaré connaître des membres clés de Scattered Spider, qui cible des entreprises de sous-traitance en raison de leur sécurité moindre. D'autres arrestations liées à ce groupe ont eu lieu récemment, impliquant des attaques notables contre des entreprises comme MGM Resorts et Caesars.
Sources :
La police ferme le marché de la cybercriminalité de Manson et arrête les principaux suspects
Les forces de l'ordre allemandes ont démantelé le marché de cybercriminalité Manson Market, en saisissant plus de 50 serveurs et en arrêtant deux suspects clés en Allemagne et en Autriche. Cette opération, menée par le bureau du procureur de Verden et la police de Hanovre, a été déclenchée à l'automne 2022 après des signalements de fraudes téléphoniques où des escrocs se faisaient passer pour des employés de banque. Les données volées ont été retracées jusqu'à un marché en ligne spécialisé dans la vente d'informations obtenues illégalement. Lors de perquisitions coordonnées à travers l'Europe, plus de 200 téraoctets de documents ont été saisis, contenant des preuves liées à des milliers d'utilisateurs et de vendeurs. Les enquêteurs ont découvert que les acheteurs pouvaient acquérir des paquets de données personnelles volées, entraînant des pertes de plus de 250 000 euros pour environ 57 victimes. Entre 2018 et 2024, les transactions sur la plateforme ont atteint plus de 93 millions d'euros. Parallèlement, les autorités allemandes ont également démantelé "Crimenetwork", le plus grand marché de cybercriminalité en ligne du pays, et arrêté son administrateur.
Sources :
Un nouveau logiciel espion Android découvert sur un téléphone saisi par le FSB russe
Un nouveau logiciel espion a été découvert sur le téléphone d'un programmeur russe, Kirill Parubets, après sa détention par le Service fédéral de sécurité de la Russie (FSB). Accusé d'avoir fait un don à l'Ukraine, son appareil a été restitué avec des comportements suspects, notamment une notification étrange. Après analyse par Citizen Lab, il a été confirmé qu'un logiciel espion, imitant l'application populaire 'Cube Call Recorder', avait été installé. Contrairement à l'application légitime, ce logiciel malveillant a un accès étendu aux permissions du téléphone, permettant aux attaquants de surveiller les activités de l'utilisateur. Ce malware semble être une nouvelle version de Monokle, découvert en 2019, développé par un centre technologique à Saint-Pétersbourg. Les capacités du logiciel espion incluent le suivi de localisation, l'accès aux SMS, l'enregistrement des appels, et l'extraction de mots de passe. Des références à iOS dans le code suggèrent également une variante pour iPhone. Citizen Lab recommande aux personnes dont les appareils ont été confisqués de les faire analyser par des experts ou d'utiliser des dispositifs temporaires pour éviter les risques d'espionnage.
Sources :
Les chercheurs de JFrog détaillent 10 nouvelles vulnérabilités les plus graves liées au Machine Learning (sur 22 découvertes)
JFrog a publié le deuxième volet de sa recherche sur les vulnérabilités logicielles dans 22 projets de Machine Learning (ML), mettant en lumière des failles critiques qui pourraient être exploitées par des attaquants. Ces vulnérabilités permettent de détourner des clients ML utilisés par les data scientists et les pipelines MLOps, entraînant l'exécution de code lors du chargement de données non approuvées. Parmi les vulnérabilités identifiées, on trouve une faille XSS dans MLflow, qui permet l'exécution de code JavaScript arbitraire, ainsi qu'une désérialisation malveillante dans H2O et un écrasement de fichiers dans PyTorch. Ces failles soulignent l'importance d'une approche sécurisée dans le développement de logiciels ML, car même une seule infection peut entraîner des mouvements latéraux au sein d'une organisation. Shachar Menashe, directeur de la recherche en sécurité chez JFrog, insiste sur la nécessité de ne jamais charger de modèles ML non vérifiés, malgré l'apparente sécurité de certains formats. Cette recherche met en évidence les risques associés à l'utilisation croissante des outils AI/ML et appelle à une vigilance accrue pour prévenir les attaques potentielles.
