Vente de données compromises : plongée dans le cybercrime organisé - Actus du 16/12/2024
Découvrez les dessous du cybercrime organisé avec « Appel de la Lune », les révélations sur la surveillance FSB via Monokle, et l'analyse d'Elastic Security Labs sur le dangereux malware Linux PUMAKIT. Plongée inédite dans l'univers de la cybersécurité!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
« Appel de la Lune » et la vente de données compromises : une plongée dans le cybercrime organisé
Le cybercrime évolue rapidement, intégrant ingénierie sociale et exploitation de données volées. La vente de « Fullz », qui regroupe des informations personnelles compromises, prospère sur les forums du darknet, illustrant la professionnalisation de ce secteur. Des services comme Lock-UP, disponibles 24/7 et en plusieurs langues, offrent des solutions pour les criminels, facilitant des activités telles que l'usurpation d'identité et la fraude bancaire. Ces services utilisent des bots Telegram pour atteindre les acheteurs, attirés par des remises et une disponibilité constante, renforçant ainsi un cycle criminel nuisible aux individus et aux institutions. Pour contrer ces menaces, le Service veille ZATAZ recommande plusieurs mesures pour 2025 : une surveillance proactive pour détecter les accès suspects, une sensibilisation sur les techniques de social engineering, et l'établissement de protocoles internes pour prévenir les transferts non vérifiés. Il est également crucial de signaler les activités suspectes aux autorités et de renforcer la coopération internationale entre gouvernements et entreprises technologiques. Face à l'ampleur de la cybercriminalité, il est essentiel de rester vigilant et de prendre des mesures préventives pour protéger les données personnelles et professionnelles.
Sources :
Surveillance numérique Monokle : un programmeur russe dénonce des pratiques du FSB
Kirill Parubets, un programmeur russe d'origine ukrainienne, accuse le FSB d'avoir espionné son smartphone avec le malware Monokle avant de fuir la Russie. En avril 2024, son domicile a été perquisitionné par les autorités russes, qui l'ont accusé de liens avec l'Ukraine. Après avoir été détenu avec sa femme et soumis à des pressions pour révéler le mot de passe de son smartphone, il découvre, à sa libération, un logiciel espion installé sur son appareil, identifié par Citizen Lab comme une version trojanisée de Cube Call Recorder. Cette situation met en lumière les méthodes de surveillance numérique du FSB dans un contexte de tensions géopolitiques croissantes. Bien que Parubets ait réussi à quitter la Russie, les détails de son évasion restent flous, suscitant des doutes sur la véracité de son récit sur des forums spécialisés. Malgré les critiques, l'implication du malware Monokle a été confirmée par des experts, renforçant la crédibilité de son expérience. Cette affaire illustre l'utilisation croissante de technologies intrusives par les services de renseignement et soulève des questions sur les droits des citoyens face à la surveillance numérique dans un monde interconnecté.
Sources :
Elastic Security Labs découvre le logiciel malveillant Linux avancé PUMAKIT
Elastic Security Labs a identifié PUMAKIT, un malware Linux sophistiqué, qui utilise des techniques de furtivité avancées pour se cacher et maintenir la communication avec ses serveurs de commande et de contrôle, rendant sa détection complexe. Ce logiciel malveillant présente une architecture en plusieurs étapes, intégrant un dropper, deux exécutables en mémoire, ainsi qu'un rootkit LKM et un rootkit SO userland, qui ne s'activent que sous des conditions spécifiques. PUMAKIT se distingue par ses mécanismes de furtivité, accrochant 18 appels syscall et diverses fonctions du noyau via ftrace(), permettant de dissimuler des fichiers, des répertoires et le rootkit lui-même, tout en évitant les tentatives de débogage. Il utilise également des méthodes de crochetage non conventionnelles, comme l'appel de système rmdir(), pour élever ses privilèges et interagir avec le rootkit. Parmi ses fonctionnalités critiques, on trouve l'escalade des privilèges, la communication avec le C2, des mesures anti-débogage et la manipulation du système, assurant ainsi sa persistance et son contrôle. Pour une analyse plus approfondie, les recherches et découvertes d'Elastic Security Labs sont disponibles en ligne.
Sources :
Lancement d’un nouveau blackmarket… avec vos données !
Un nouveau blackmarket, récemment découvert par le service Veille ZATAZ, émerge sur le darknet, proposant la vente de données personnelles piratées. Ce site répond aux préoccupations croissantes concernant la confidentialité sur Telegram, surtout après l'arrestation de son patron en France en août 2024. Les hackers derrière ce projet cherchent à s'adapter à un environnement en mutation, en offrant une synchronisation avec Telegram pour faciliter la transition entre les plateformes. Ils annoncent également le développement d'un site sur le réseau TOR, visant à maximiser la confidentialité des utilisateurs tout en élargissant les services proposés. Ce lancement témoigne d'une stratégie d'expansion et de résilience des acteurs du darknet face à une surveillance accrue et à des contraintes légales. Cependant, cette évolution soulève des questions sur les défis futurs pour les forces de l'ordre, qui semblent de mieux en mieux équipées pour lutter contre ces activités illégales. En somme, ce blackmarket illustre une tendance vers des infrastructures plus autonomes et diversifiées sur le darknet, tout en mettant en lumière la capacité d'adaptation des cybercriminels face aux pressions extérieures.
Sources :
Le logiciel espion NoviSpy a été installé sur le téléphone d'un journaliste après l'avoir déverrouillé avec l'outil Cellebrite
Un journaliste serbe, Slaviša Milanov, a vu son téléphone déverrouillé par un outil de Cellebrite, puis compromis par un logiciel espion inédit nommé NoviSpy, selon un rapport d'Amnesty International. NoviSpy permet de capturer des données sensibles et d'activer à distance le microphone ou la caméra du téléphone. L'analyse des preuves indique que l'installation du logiciel espion a eu lieu pendant la détention de Milanov par la police serbe début 2024. D'autres cibles incluent des militants, tels que Nikola Ristić et Ivan Milosavljević Buki. Ce cas illustre l'utilisation conjointe de technologies intrusives pour espionner et exfiltrer des données sensibles. NoviSpy, installé via l'outil Android Debug Bridge, se manifeste sous deux applications, demandant des permissions étendues pour collecter des journaux d'appels, des messages et des fichiers. Amnesty souligne que l'Agence de sécurité serbe est liée à l'acquisition de logiciels espions depuis 2014. En réponse, la police serbe a qualifié le rapport d'« incorrect ». Cellebrite a annoncé enquêter sur les allégations d'utilisation abusive de ses outils. Parallèlement, une vulnérabilité a été découverte dans le système de Cellebrite, soulignant les failles de sécurité des pilotes de chipset Android.
Sources :
Saisie record : 6 tonnes de méthamphétamine et l’implication de Starlink
Les forces indiennes ont réalisé une saisie record de 6 tonnes de méthamphétamine, révélant l'utilisation illégale de la technologie Starlink par des réseaux de contrebande. La première opération a intercepté 5,5 tonnes de drogue à bord d'un bateau de pêche en provenance du Myanmar, tandis qu'une collaboration avec le Sri Lanka a permis de saisir 500 kilogrammes supplémentaires. Ces cargaisons, d'une valeur estimée à 4,5 milliards de dollars, illustrent la sophistication des réseaux criminels exploitant des routes maritimes peu surveillées. Les contrebandiers utilisaient un dispositif Starlink Mini pour accéder à un Wi-Fi satellite, contournant ainsi les systèmes de surveillance maritime. Cette situation soulève des questions sur la disponibilité de ces appareils non autorisés en Inde et sur le contrôle exercé par Starlink sur leur utilisation. Les autorités indiennes ont demandé des informations à la société, qui n'a pas encore répondu. Cet incident met en lumière le défi croissant de l'utilisation de technologies avancées dans des activités criminelles, incitant l'Inde à envisager une régulation plus stricte des technologies importées. Ce cas pourrait également servir de précédent pour d'autres pays confrontés à des problèmes similaires.
Sources :
A-t-on une explication convaincante pour les mystérieux drones du New Jersey ?
Depuis près d'un mois, des drones suscitent des théories du complot aux États-Unis, notamment dans six États, dont New York et le New Jersey. Lors d'une conférence de presse, le secrétaire à la sécurité intérieure, Alejandro Mayorkas, a tenté d'apporter des éclaircissements, sans fournir d'explications concrètes. Les spéculations vont des craintes d'une bombe nucléaire « sale » à des hypothèses d'aliens. Malgré l'inquiétude croissante, les autorités n'ont trouvé aucune preuve de menace pour la sécurité publique, un responsable du FBI évoquant une « légère réaction excessive ». Mayorkas a également démenti toute implication étrangère, notamment des rumeurs d'espionnage iranien. En septembre 2023, la Federal Aviation Administration (FAA) a modifié les règles pour permettre aux drones de voler la nuit, bien que la plupart d'entre eux doivent être équipés de feux anti-collision. Deux hommes ont été arrêtés pour avoir fait voler un drone près de l'aéroport international Logan de Boston. Donald Trump a proposé d'abattre ces drones, mais les autorités jugent cette option trop risquée en raison des dangers potentiels liés à leur chute. Des mesures supplémentaires pourraient être mises en place prochainement.
Sources :
⚡ Récapitulatif hebdomadaire THN : principales menaces, outils et conseils en matière de cybersécurité
L'article met en lumière plusieurs menaces récentes en matière de cybersécurité, notamment des attaques ciblant des outils commerciaux populaires et des dispositifs IoT. Depuis le 3 décembre 2024, des cybercriminels exploitent des commandes PowerShell et des outils Java pour compromettre plus de 1 300 systèmes dans divers secteurs. Des dispositifs comme les caméras IP et les routeurs sont particulièrement vulnérables, avec des attaques utilisant IOCONTROL. Parallèlement, les autorités allemandes ont interrompu une opération de malware, BADBOX, préinstallé sur 30 000 appareils connectés. Une nouvelle technique d'attaque exploitant l'automatisation de l'interface utilisateur de Windows a également été identifiée, permettant aux malwares de passer inaperçus. En Corée du Sud, des acteurs malveillants exploitent une vulnérabilité d'Apache ActiveMQ pour déployer divers malwares. De plus, des chercheurs ont développé une méthode, BadRAM, utilisant un équipement bon marché pour contourner les protections de virtualisation sécurisée d'AMD. Enfin, l'article souligne l'importance de renforcer la sécurité des dispositifs personnels et d'adopter des stratégies de cybersécurité alignées sur les objectifs commerciaux pour contrer ces menaces croissantes.
Sources :
Pannes informatiques et risques pour la chaîne d’approvisionnement : Kaspersky envisage quelques scénarios probables en 2025
Dans le Kaspersky Security Bulletin, les experts de Kaspersky anticipent les cybermenaces de 2025 en analysant les attaques de la chaîne d'approvisionnement et les pannes informatiques de 2024. Ils soulignent les risques associés à la dépendance croissante des entreprises envers les fournisseurs d'IA comme OpenAI et Meta. Une violation chez un grand fournisseur d'IA pourrait entraîner des fuites de données sensibles, tandis que l'intégration de l'IA dans des appareils quotidiens augmente le risque de piratage. L'opération Triangulation a révélé comment des failles de sécurité peuvent être exploitées pour déployer des logiciels espions, mettant en lumière l'utilisation abusive de l'apprentissage automatique pour l'extraction de données. Les menaces ne se limitent pas aux cyberattaques, car la connectivité par satellite et les infrastructures Internet sont également vulnérables à des attaques physiques. De plus, des failles dans les noyaux Windows et Linux pourraient exposer de nombreux systèmes à des attaques, perturbant ainsi les chaînes d'approvisionnement mondiales. Kaspersky recommande de tester rigoureusement les mises à jour, d'utiliser la détection des anomalies par IA et de diversifier les fournisseurs pour renforcer la résilience face à ces menaces croissantes.
Sources :
Drogues, darknet et dérives : tour d’horizon des récents scandales
À Moscou, la mannequin Viktoria Semenyuk a été arrêtée avec 53 paquets de méphédrone, tandis qu'au Mexique, l'ex-policière Nydia Garcia a été interpellée pour possession de méthamphétamine. Ces incidents illustrent l'augmentation des problèmes liés au trafic de drogues, exacerbés par un darknet en constante évolution. Les célébrités ne sont pas épargnées par ces scandales, mettant en lumière les dangers associés à la consommation de substances illicites. Parallèlement, une étude a révélé que 24 des 89 échantillons de dauphins analysés contenaient du fentanyl, soulignant l'impact alarmant du trafic de drogues sur les écosystèmes marins. Cette situation appelle à une collaboration urgente entre les politiques de santé publique et la protection de l'environnement. En Russie, une nouvelle drogue, la kléphédrone, a émergé sur le marché noir, suscitant des inquiétudes en raison de sa toxicité potentiellement élevée. Ce phénomène met en évidence les conséquences des restrictions d'approvisionnement et la capacité d'adaptation des laboratoires clandestins face à la demande croissante de substances synthétiques. Ces événements soulignent l'importance d'une vigilance accrue face à la cybercriminalité et aux dangers associés aux drogues.
Sources :
Gouvernance des données dans DevOps : garantir la conformité à l'ère de l'IA
Avec l'évolution du développement logiciel moderne, la gouvernance des pipelines CI/CD est devenue essentielle pour maintenir agilité et conformité, surtout à l'ère de l'intelligence artificielle (IA). Cette gouvernance englobe un cadre de politiques et de contrôles qui régissent le processus de livraison logicielle, garantissant que chaque étape respecte les normes organisationnelles et les exigences réglementaires. Dans un environnement DevOps, elle permet aux équipes d'avancer rapidement sans compromettre la qualité ou la sécurité. La gouvernance des pipelines inclut des aspects tels que le contrôle d'accès, la gestion des changements et les vérifications de sécurité, tout en assurant une traçabilité complète. Elle est cruciale pour gérer des données sensibles, en veillant à ce que les pratiques de traitement respectent des réglementations comme le RGPD. De plus, avec les systèmes d'IA, la gouvernance doit s'adapter aux mises à jour fréquentes tout en maintenant la conformité. Cela nécessite des politiques claires, une surveillance des activités et des audits réguliers pour identifier les améliorations nécessaires. Les organisations qui mettent en œuvre une gouvernance efficace seront mieux placées pour exploiter le potentiel de l'IA tout en gérant les risques associés. Cet ebook propose des conseils pour innover rapidement tout en respectant les exigences réglementaires.
Sources :
Départ marquant : le fondateur du blackmarket Emirates quitte le darknet
Sheikh, le fondateur du blackmarket Emirates, a annoncé son retrait du darknet, provoquant une onde de choc dans les marchés illégaux. Dans un message partagé sur un chat surveillé, il a exprimé ses inquiétudes concernant l’érosion de l’anonymat et les risques croissants liés aux avancées technologiques et à la surveillance des autorités. Sheikh a souligné que l’anonymat à long terme est illusoire et que les cybercriminels ne bénéficient plus de la même avance qu’auparavant. Il a également appelé la communauté du darknet à adopter une approche plus éthique, en réduisant l’exposition aux substances toxiques et en informant les consommateurs des dangers. Ce discours, rare dans cet univers, pourrait refléter une prise de conscience des conséquences des activités illicites. Le départ de Sheikh, figure influente du darknet, pourrait inciter d'autres acteurs à reconsidérer leur engagement dans ces activités, surtout à une époque où les forces de l’ordre intensifient leurs efforts pour démanteler les réseaux criminels. En somme, son retrait met en lumière la fragilité croissante du darknet face à une surveillance technologique et juridique de plus en plus sophistiquée.
Sources :
Les États-Unis en débat : la fermeture de l’agence de cybersécurité CISA en question
La proposition du sénateur Rand Paul de réduire les pouvoirs ou de fermer l'Agence pour la cybersécurité et la protection des infrastructures (CISA) suscite un vif débat aux États-Unis. Paul, représentant une vision libertarienne, accuse la CISA d'avoir outrepassé ses missions, notamment en influençant la liberté d'expression lors de l'élection présidentielle de 2020. Cette initiative s'inscrit dans un contexte de méfiance croissante envers les institutions fédérales, particulièrement parmi les partisans de Donald Trump. Bien que certains républicains reconnaissent l'importance de la CISA face aux cybermenaces, notamment celles provenant de la Chine et de la Russie, la proposition de Paul soulève des questions sur l'équilibre entre sécurité nationale et libertés individuelles. Les démocrates s'opposent fermement à toute réduction des pouvoirs de l'agence, la considérant essentielle pour la défense nationale. Malgré les critiques, la fermeture de la CISA semble peu réaliste, compte tenu des menaces persistantes et des désaccords politiques. Ce débat met en lumière les défis auxquels font face les agences fédérales dans une démocratie, alors que la cybersécurité demeure un enjeu crucial pour les États-Unis et le monde entier.
Sources :
Une nouvelle arnaque à l'investissement utilise l'IA et les publicités sur les réseaux sociaux pour cibler les victimes dans le monde entier
Des chercheurs en cybersécurité mettent en garde contre une nouvelle escroquerie d'investissement, nommée Nomani, qui utilise des publicités malveillantes sur les réseaux sociaux, des publications de marques et des témoignages vidéo générés par l'intelligence artificielle. Cette fraude vise à diriger les victimes vers des sites de phishing pour collecter leurs informations personnelles. Selon le rapport de menace H2 2024 d'ESET, cette escroquerie a augmenté de 335 % entre le premier et le deuxième semestre 2024, avec plus de 100 nouvelles URL détectées quotidiennement. Les publicités frauduleuses ciblent souvent des personnes ayant déjà été escroquées, en utilisant des leurres liés à Europol et INTERPOL. Les escrocs exploitent des profils falsifiés ou volés, ainsi que des comptes récemment créés avec peu de publications. Les sites de phishing imitent des médias locaux et prétendent offrir des solutions de gestion de cryptomonnaie. Les cybercriminels manipulent ensuite les victimes pour qu'elles investissent dans des produits fictifs, les incitant à fournir des informations personnelles et à payer des frais supplémentaires. Des liens avec des acteurs malveillants russophones ont été identifiés. Parallèlement, les autorités sud-coréennes ont démantelé un réseau frauduleux ayant escroqué près de 6,3 millions de dollars via de fausses plateformes de trading.
Sources :
Le gouvernement américain transfère 20 000 bitcoins à Coinbase : vers une vente imminente ?
Début décembre, le gouvernement américain a transféré 20 000 bitcoins, issus de saisies liées à Silk Road, à la plateforme Coinbase, suscitant des spéculations sur une vente imminente. Ce mouvement soulève des questions sur la stratégie du gouvernement concernant la gestion de ses actifs numériques. Une vente massive pourrait augmenter l'offre de bitcoins sur le marché, entraînant une pression à la baisse sur les prix, ce qui inquiète les investisseurs. Les bitcoins proviennent de Silk Road, un marché noir du dark web fermé en 2013, qui a joué un rôle clé dans l'essor du bitcoin. James Zhong, lié à Silk Road, a été condamné en 2022 pour avoir volé 50 676 bitcoins en 2012. Ce transfert met en lumière une approche plus structurée du gouvernement dans la gestion des cryptomonnaies confisquées. Silk Road, fondé par Ross Ulbricht, visait à créer un marché libre, mais est rapidement devenu un centre de commerce illicite, notamment de drogues. Les autorités, après une enquête approfondie, ont saisi 144 000 bitcoins, dont la valeur actuelle dépasse plusieurs milliards de dollars. L'incertitude entourant ce transfert maintient une nervosité palpable sur le marché des cryptomonnaies.
Sources :
Un nouveau malware Glutton exploite les frameworks PHP populaires comme Laravel et ThinkPHP
Des chercheurs en cybersécurité ont découvert un nouveau logiciel malveillant basé sur PHP, nommé Glutton, utilisé dans des cyberattaques visant la Chine, les États-Unis, le Cambodge, le Pakistan et l'Afrique du Sud. Identifié par QiAnXin XLab en avril 2024, Glutton est attribué avec modération au groupe étatique chinois Winnti (ou APT41). Ce malware a pour but de récolter des informations sensibles, d'installer un composant ELF et d'injecter du code dans des frameworks PHP populaires. Bien que des similitudes avec un outil connu de Winnti aient été observées, XLab souligne que Glutton présente des lacunes atypiques, telles que l'absence de techniques de furtivité et l'utilisation de communications non chiffrées. Glutton est un cadre modulaire capable d'infecter des fichiers PHP et d'exploiter des vulnérabilités. Il utilise des forums de cybercriminalité pour cibler des hôtes compromis, retournant les outils des cybercriminels contre eux. Le malware inclut des modules pour évaluer l'environnement d'exécution et établir une persistance. En parallèle, XLab a récemment détaillé une version mise à jour d'un autre malware, Mélofée, qui améliore les mécanismes de persistance et offre des capacités de furtivité avancées.
Sources :
Des mineurs ukrainiens recrutés pour des opérations cybernétiques et de reconnaissance lors des frappes aériennes russes
Le Service de sécurité d'Ukraine (SBU) a révélé une nouvelle campagne d'espionnage présumée orchestrée par le Service fédéral de sécurité de Russie (FSB), impliquant le recrutement de mineurs ukrainiens pour des activités criminelles sous le prétexte de "jeux de quête". Deux groupes d'agents du FSB, composés exclusivement d'enfants de 15 et 16 ans, ont été arrêtés lors d'une opération spéciale à Kharkiv. Selon le SBU, ces mineurs exécutaient des missions hostiles telles que la reconnaissance, la correction de frappes et des actes d'incendie. Les enfants recevaient des coordonnées géographiques et devaient photographier et décrire des cibles, puis transmettre ces informations via des chats anonymes à l'agence de renseignement russe, utilisées pour des frappes aériennes à Kharkiv. Tous les membres des groupes ennemis ont été appréhendés, et l'un des organisateurs risque la réclusion à perpétuité. Un policier de la région de Krasnodar, agissant comme intermédiaire, a également été inculpé par contumace pour sabotage en temps de guerre. Parallèlement, le CERT-UA a averti d'une nouvelle série de cyberattaques visant des entreprises de défense et des forces de sécurité ukrainiennes, attribuées à un acteur lié à la Russie, identifié comme UAC-0185.
Sources :
Le ransomware Clop revendique la responsabilité des attaques de vol de données de Cleo
Le groupe de ransomware Clop a revendiqué les récentes attaques de vol de données ciblant Cleo, un développeur de plateformes de transfert de fichiers. En utilisant des exploits de type zero-day, Clop a réussi à pénétrer les réseaux d'entreprises et à dérober des données. En octobre 2024, Cleo avait corrigé une vulnérabilité (CVE-2024-50623) permettant des téléchargements et des uploads de fichiers non restreints, mais une analyse ultérieure par Huntress a révélé que le correctif était incomplet. Les cybercriminels ont exploité une nouvelle faille (CVE-2024-55956) pour mener leurs attaques, en téléchargeant un backdoor JAVA qui leur a permis d'accéder aux réseaux compromis. La CISA a confirmé l'exploitation de ces vulnérabilités dans des attaques par ransomware, mais Cleo n'a pas divulgué publiquement l'exploitation de la faille initiale. Clop a annoncé qu'il supprimait les données des attaques passées et ne collaborerait qu'avec de nouvelles entreprises touchées. Ce groupe, actif depuis 2020, a ciblé plusieurs plateformes de transfert de fichiers, causant des dommages à des centaines d'organisations. Le département d'État américain offre une récompense de 10 millions de dollars pour des informations liant Clop à un gouvernement étranger.
