La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

  • Selon un rapport de l’OAIC, les données de plus de 10 millions d’australiens auraient été compromises lors d’un seul incident
  • Une base de données non sécurisée aurait révélé les informations personnelles de 8 millions d’américains ayant participé à des sondages en ligne ou des tirages au sort
  • WhatsApp annonce avoir patché une vulnérabilité critique relative à la fonction Voice over Internet Protocol (VoIP)
  • Uniqlo révèle que 460 000 comptes en ligne auraient été piratés au Japon
  • Une base de données appartenant à Burger King France aurait exposé 37 900 informations appartenant à de jeunes français
  • Le district scolaire de Paterson aux Etats-Unis aurait vu 23 000 mots de passe compromis après une brèche de sécurité
  • Le site web officiel de l’Eurovision touché par une cyberattaque
  • Des câbles sous-marins acheminant des échanges diplomatiques européens attaqués par un groupe de pirates proche du gouvernement chinois   
  • Le groupe de pirate TA505 aurait intensifié son activité en ciblant le secteur bancaire
  • Des pirates nord-coréens utiliseraient le malware ELECTRICFISH pour voler des données

Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez Intrinsec ! Si vous ne l’êtes pas encore, abonnez-vous à leur newsletter

Menaces Sectorielles

Multisectorielle

Selon un rapport de l’OAIC, les données de plus de 10 millions d’australiens auraient été compromises lors d’un seul incident

Selon le dernier rapport de l’OIAC (Office of the Australian Information Commissioner), une seule et même violation de données aurait touché plus de 10 millions de personnes en Australie entre janvier et avril 2019. Cette fuite concernerait à ce jour presque la moitié de la population australienne. L’information serait parvenue à l’OIAC suite à la mise en place d’une obligation de déclaration en cas de violation de données. Le secteur touché n’est pas ouvertement annoncé par l’organisation, mais le rapport exclut les domaines de la santé et de la finance. Néanmoins, aucun autre détail sur cette fuite n’a été dévoilé par l’OIAC. Par ailleurs, le rapport dresse plusieurs conclusions à partir des 215 notifications de violation de données reçues par l’OAIC. Il met en avant les secteurs les plus exposés aux fuites de données, notamment celui de la finance et de la santé privé. Une étude statistique des causes fréquentes de violation de données et du type d’informations personnelles affectées appuie également le rapport. En savoir plus

Une base de données non sécurisée aurait révélé les informations personnelles de 8 millions d’américains ayant participé à des sondages en ligne ou des tirages au sort

Le chercheur en sécurité Sanyam Jain aurait découvert une base de données Elasticsearch non sécurisée dans laquelle se trouverait des informations personnelles appartenant à huit millions d’américains. D’après le chercheur, cette base de données appartiendrait à la société de marketing Ifficient. Les informations s’y trouvant proviendraient des formulaires d’inscription relatifs aux sondages en ligne, aux tirages au sort et aux demandes d’échantillons de produits gratuits. Le nom complet, l’adresse, l’adresse email, le numéro de téléphone, la date de naissance, le sexe ou encore l’adresse IP des internautes seraient ainsi exposés. Quelques heures après avoir été informées de l’exposition de la base de donnée, la société Ifficient aurait pris les mesures nécessaires pour corriger les vulnérabilités identifiées. Elle aurait notamment averti les personnes concernées par cette fuite. En savoir plus

Service de messagerie

WhatsApp annonce avoir patché une vulnérabilité critique relative à la fonction Voice over Internet Protocol (VoIP) 

Découverte début mai, la faille de sécurité permettait à tout acteur malveillant d’installer à distance des outils d’espionnage via la fonction d’appel audio de l’application. D’après les chercheurs, la charge utile se serait exécutée même si le destinataire de l’appel ne répondait pas. Dix jours auraient suffi aux équipes de WhatsApp pour corriger cette vulnérabilité, bien qu’ils ne puissent apparemment pas établir la durée d’exposition de la faille. Des individus malveillants auraient cependant eu le temps d’installer un nombre significatif de charges utiles malveillantes au sein du code source. La communication de WhatsApp à la suite de l’affaire relie l’exploitation de faille 0-day aux agissements d’une société privée développant des logiciels espions pour le compte d’entités étatiques. Le groupe israélien NSO qui développe le logiciel espion Pegasus semble directement visé par ces déclarations. Ce dernier continuerait notamment à détecter et exploiter des vulnérabilités zero-day pour rendre attractifs ses produits. En savoir plus

Prêt-à-porter

Uniqlo révèle que 460 000 comptes en ligne auraient été piratés au Japon

460 000 comptes clients en ligne d’Uniqlo, la marque de prêt-à-porter appartenant au groupe Fast Retailing auraient été compromis d’après une annonce révélée par la marque de vêtement le 13 mai dernier. Entre le 23 avril et le 10 mai 2019, des pirates auraient ainsi pu accéder aux informations personnelles des clients comprenant des historiques d’achat et des informations bancaires. Depuis le développement des sites d’e-commerce, la protection des données est devenue un enjeu majeur pour les sociétés et Fast Retailing n’est pas la première victime de ce type d’attaque. L’attaque n’a concerné que les données clients des magasins basés au Japon et la compagnie a déjà recommandé à ses clients de changer leurs identifiants. En savoir plus

Restauration

Une base de données appartenant à Burger King France aurait exposé 37900 informations appartenant à de jeunes français

D’après le site français spécialisée dans la cybersécurité Zataz, le chercheur Bob Diachenko aurait découvert une base de données appartenant à Burger King, la deuxième plus grande chaîne de restauration rapide dans le monde. En effet, le 9 mai 2019, Burger King annonçait avoir été victime d’une cyberattaque ciblant ses filiales brésiliennes, cyberattaque rendue possible via des failles de type injection SQL, Shellshock et Cross-Site Request Forgery. L’auteur du piratage semblerait être Pryzraky ou l’un de ses proches, un pirate bien connu pour son soutien au mouvement des Gilets Jaunes, qui a débuté en France en fin d’année 2018. Selon Burger King, l’incident serait clos et corrigé, et aucun mot de passe n’aurait été diffusé. Cependant, la base de données en question contiendrait certaines données personnelles, dont les numéros de téléphone, les adresses mails ainsi que les mots de passe associés, en hash. Sur les marchés noirs, des informations en vente concernant les clients de la société de fast-food seraient en vente, mais dont l’origine n’est, à l’heure actuelle, pas connue. En savoir plus

Enseignement

Le district scolaire de Paterson aux Etats-Unis aurait vu 23 000 mots de passe compromis après une brèche de sécurité

Le district scolaire américain de Paterson (New Jersey) se serait vu dérober plus de 23 000 identifiants de connexion aux postes de travail ainsi qu’aux comptes de messagerie de ses employés. Les informations d’identification compromises appartiendraient notamment au surintendant du district, ainsi qu’à des enseignants et des membres de l’administration. Le pirate à l’origine de cette attaque aurait contacté le journal régional Paterson Times avant même que le district de Paterson ait connaissance de l’incident. En effet, l’attaquant aurait indiqué aux journalistes avoir accès à « tous les systèmes d’information » du district depuis le mois d’octobre 2018, captures d’écran de boîtes de réception compromises à l’appui. Alors que le journal prévoyait d’utiliser ces informations dans le cadre d’un reportage, l’attaquant aurait supprimé le compte de messagerie grâce auquel il l’avait contacté. Le district scolaire de Paterson mène actuellement une enquête approfondie sur l’incident. En savoir plus

Politique

Le site web officiel de l’Eurovision touché par une cyberattaque

La retransmission web de la première demi-finale de l’Eurovision, qui s’est tenue le 14 mai à Tel-Aviv (Israël) a été la cible de perturbations par des pirates informatiques pendant quelques minutes. Les téléspectateurs visionnant l’évènement sur la page web de KAN, société de radiodiffusion israélienne, ont ainsi vu apparaître un avertissement reprenant l’emblème de Tsahal avec le message suivant « Risque d’attaque de missiles, Mettez-vous à l’abri ». Cet avertissement malveillant était accompagné d’une alarme sonore et montrait également des lieux proches de Tel-Aviv comme étant la cible de tirs de missiles. Un porte-parole de l’administration de la cybersécurité israélienne a notamment évoqué la responsabilité du Hamas dans cette cyberattaque, quelques jours après un regain de tension où l’armée israélienne a riposté à une attaque informatique du Hamas par un bombardement ciblé. Selon les organisateurs de l’Eurovision, la diffusion télévisée n’aura toutefois pas été affectée. En savoir plus ici et

Des câbles sous-marins acheminant des échanges diplomatiques européens attaqués par un groupe de pirates proche du gouvernement chinois Dans un rapport publié mardi dernier, les chercheurs en cybersécurité de la société BlackBerry Cylance Threat Intelligence expliquent avoir détecté un vaste réseau d’activités liées à des groupes de pirates chinois. Plus précisément, c’est l’analyse d’un serveur de commande et contrôle (C&C) qui aurait permis de lier les précédentes recherches d’une société à de récentes activités de piratage attribuées à l’équipe d’élite (Strategic Support Force, SSF) de la République Populaire de Chine. En effet, la société Area 1 Security avait alerté en décembre dernier sur le fait qu’un acteur soutenu par l’Etat chinois aurait obtenu l’accès au réseau de correspondance diplomatique de l’Union Européenne ; soit le réseau COREU/CORTESY (réseau par lequel les Etats-membres peuvent échanger des documents relatifs à la Politique étrangère et de sécurité commune ; PESC). Au total, plus de 100 organisations pourraient être ciblées (incluant des syndicats, des think tanks etc.). Par ailleurs, les chercheurs auraient mis en évidence des similitudes dans les outils d’attaques et les infrastructures utilisés par l’équipe de pirates liée au gouvernement chinois, et d’autres groupes d’acteurs chinois. Ces derniers, revendiquant parfois le soutien d’une cause (l’indépendance taïwanaise par exemple) formeraient les « Five Poisons » et seraient considérés comme « dangereux » par le gouvernement chinois. Pourtant, ces ressemblances laissent penser que le gouvernement chinois élargit sa force de frappe au-delà des structures traditionnellement utilisées pour lancer ses attaques. En savoir plus

Individus & Groupes

TA505

Au cours des mois d’avril et de mai 2019, les experts de la société Yoroi ont observé que le groupe TA505 aurait mené une vaste campagne d’attaques contre le secteur bancaire. Leur investigation a montré que les pirates auraient distribué le malware FlawedAmmy RAT via une campagne de spam contenant une pièce jointe malveillante afin de déployer un outil de collecte d’identifiants sur la machine de la victime. D’après leur analyse, TA505 se serait protégé contre les détections antivirus en signant son fichier avec le certificat d’une autorité de certification russe. L’outil de collecte déployé sur le poste compromis rechercherait ensuite les identifiants d’accès aux comptes de messagerie de la victime (Outlook et Thunderbird notamment) et enverrait les informations collectées (adresse email et mot de passe associé) au serveur de commande et contrôle (C&C) des attaquants. L’analyse des Top Level Domain (TLD) de ces adresses email dérobées a révélé que les pays les plus ciblés par l’attaque de TA505 seraient le Royaume-Uni, l’Italie, la Chine, la République de Corée, l’Allemagne, la Hongrie, Taiwan, le Japon, l’Inde et le Mexique. En savoir plus

Lazarus

Le FBI (Federal Bureau of Investigation) et le DHS (Department of Homeland Security) auraient découvert une variante du programme malveillant ElectricFish développé par le groupe de pirates nord-coréen Lazarus. Selon le MAR (Malware Analysis Report) AR19-129A publié sur le site web US-CERT du gouvernement américain, ce malware aurait été détecté en suivant les activités malveillantes de Lazarus. ElectricFish permettrait d’établir une connexion entre une adresse IP source et une adresse IP de destination et rendrait ainsi possible l’interception d’informations sur des ordinateurs compromis par le malware. Les données collectées seraient ensuite transmises à des serveurs contrôlés par Lazarus. Le groupe de pirates, soutenu par la Corée du Nord, aurait potentiellement détourné le trafic internet de ses cibles grâce à ElectricFish. En effet, les pirates du groupe Lazarus n’auraient besoin que d’un nom d’utilisateur et d’un mot de passe proxy serveur / port et proxy afin de se connecter à des systèmes d’information et contourner l’authentification des systèmes infectés. En savoir plus

Copyright 2019 Intrinsec Sécurité – Toute reproduction interdite