Piratage et IPTV : comment les enquêteurs traquent les fraudeurs - Actus du 28/12/2024
Découvrez comment les enquêteurs traquent les fraudeurs IPTV, l'exposition de 15 000 routeurs Four-Faith à un nouvel exploit, et l'attribution par la Maison Blanche d'une faille télécom critique à des hackers chinois. Plongez dans les coulisses de la cybersécurité !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Piratage et IPTV : les méthodes des enquêteurs pour identifier les fraudeurs
Une entreprise spécialisée dans les recherches en source ouverte (Osint) a rencontré des difficultés pour infiltrer une cible ayant une « hygiène numérique très forte ». Après un an d'efforts, ses experts ont identifié une faille via le compte Instagram de la conjointe de la cible, permettant de reconstituer des informations. En 2024, le piratage a atteint des niveaux records en France, exacerbés par des prix jugés prohibitifs. Julien Jacquemin, coordinateur des partenariats stratégiques, explique que les pirates se mettent dans la peau d'utilisateurs cherchant à accéder à des chaînes gratuitement. Leakid, l'entreprise, a signalé 700 millions d'URL en un an et demande leur déréférencement à Google, bien que le taux de réponse soit faible. La loi pour la confiance dans l’économie numérique (LCEN) et le Digital Service Act (DSA) encadrent ces suppressions, mais certaines plateformes comme Telegram compliquent la tâche. Les enquêtes peuvent mener à des impasses, comme l'absence d'images sur Google Street View. Malgré des prix très bas pour des offres illégales, les diffuseurs misent sur la légalité pour attirer les consommateurs vers des options payantes.
Sources :
Plus de 15 000 routeurs Four-Faith exposés à un nouvel exploit en raison d'informations d'identification par défaut
Une vulnérabilité critique affectant certains routeurs Four-Faith, identifiée sous le code CVE-2024-12856 (score CVSS : 7,2), a été exploitée activement, selon VulnCheck. Ce défaut, un bug d'injection de commandes du système d'exploitation, concerne les modèles F3x24 et F3x36. Bien que la gravité soit atténuée par la nécessité d'une authentification réussie de l'attaquant, l'utilisation des identifiants par défaut non modifiés pourrait permettre une exécution de commandes non authentifiée. Les attaquants exploitent cette vulnérabilité en utilisant les identifiants par défaut pour établir un accès à distance persistant via un shell inversé. L'attaque a été observée à partir de l'adresse IP 178.215.238[.]91, précédemment associée à des tentatives d'exploitation d'une autre faille, CVE-2019-12168. Selon GreyNoise, des tentatives d'exploitation de cette dernière ont été enregistrées jusqu'au 19 décembre 2024. Les systèmes sont vulnérables lors de la modification de l'heure système via l'endpoint /apply.cgi. Plus de 15 000 dispositifs exposés à Internet pourraient être concernés. Actuellement, aucune information sur des correctifs n'est disponible, bien que VulnCheck ait signalé la faille à l'entreprise chinoise le 20 décembre 2024.
Sources :
La Maison Blanche attribue la neuvième faille de sécurité des télécommunications à des pirates informatiques chinois
Le 27 décembre 2024, un responsable de la Maison Blanche a annoncé qu'une neuvième entreprise de télécommunications américaine avait été victime d'une campagne de piratage orchestrée par des hackers chinois, connue sous le nom de groupe Salt Typhoon. Ce groupe, actif depuis 2019, a ciblé des entités gouvernementales et des entreprises de télécommunications en Asie du Sud-Est et dans d'autres régions. Anne Neuberger, conseillère adjointe à la sécurité nationale pour le cyberespace, a souligné que la Chine s'attaquait aux infrastructures critiques aux États-Unis, incitant les entreprises à renforcer leur sécurité. Bien qu'aucune communication classifiée ne semble avoir été compromise, des responsables de la CISA ont averti que la menace persistait. En réponse à ces violations, l'administration Biden envisage de bannir les opérations de China Telecom aux États-Unis et d'interdire les routeurs TP-Link si des risques pour la sécurité nationale sont confirmés. De plus, un projet de loi a été proposé pour sécuriser les réseaux des télécommunications américaines, et la présidente de la FCC a promis une action rapide pour garantir la protection des infrastructures. Ces mesures visent à contrer les cybermenaces croissantes et à responsabiliser la Chine.
Sources :
Des pirates informatiques nord-coréens déploient le malware OtterCookie dans le cadre d'une campagne d'interviews contagieuse
Des acteurs menaçants nord-coréens, impliqués dans la campagne Contagious Interview, ont été observés en train de déployer un nouveau malware JavaScript nommé OtterCookie. Cette campagne, également connue sous le nom de DeceptiveDevelopment, utilise des leurres de recrutement pour inciter les chercheurs d'emploi à télécharger des logiciels malveillants sous prétexte d'un processus d'entretien. Les hackers distribuent des applications de vidéoconférence infectées ou des paquets npm, facilitant ainsi l'infection par des malwares comme BeaverTail et InvisibleFerret. En septembre 2024, Group-IB a documenté une révision majeure de la chaîne d'attaque, mettant en lumière une version mise à jour de BeaverTail qui utilise des scripts Python pour le vol de données. OtterCookie, introduit en septembre 2024, communique avec un serveur de commande et contrôle et exécute des commandes shell pour voler des fichiers et des clés de portefeuille de cryptomonnaie. Parallèlement, la Corée du Sud a sanctionné 15 individus liés à un stratagème frauduleux d'ouvriers informatiques, qui finance les activités nucléaires de la Corée du Nord. Ces actions soulignent la menace persistante que représentent les cyberactivités illégales nord-coréennes pour la sécurité internationale.
Sources :
Des pirates exploitent une faille DoS pour désactiver les pare-feu de Palo Alto Networks
Palo Alto Networks a averti que des hackers exploitent une vulnérabilité de déni de service (DoS), identifiée comme CVE-2024-3393, pour désactiver les protections de leurs pare-feu en provoquant un redémarrage. Cette faille permet à un attaquant non authentifié d'envoyer un paquet malveillant à travers le pare-feu, entraînant un redémarrage de l'appareil. Si l'exploitation est répétée, le dispositif entre en mode maintenance, nécessitant une intervention manuelle pour le rétablir. La vulnérabilité affecte uniquement les appareils où la journalisation de la sécurité DNS est activée. Palo Alto Networks a confirmé que cette faille est activement exploitée, causant des interruptions de service lorsque les pare-feu bloquent les paquets DNS malveillants. Des correctifs ont été publiés dans plusieurs versions de PAN-OS, mais la version 11.0, touchée par cette vulnérabilité, ne recevra pas de patch en raison de son statut de fin de vie. Des solutions de contournement ont été fournies pour les utilisateurs qui ne peuvent pas mettre à jour immédiatement, incluant des modifications des paramètres de journalisation de la sécurité DNS.
