• 1 Votes
    1 Messages
    74 Vues

    Les chercheurs en sécurité de Google sont tombé sur une vulnérabilité qui avait déjà été signalée en 2016 sans être corrigée. Quelques années plus tard, elle s’est retrouvée dans l’arsenal d’un éditeur de logiciels espion pour pirater des smartphones Android.

    La chasse aux failles zero-day n’est pas un long fleuve tranquille. Parfois, il y a des choses qui se perdent dans les méandres. Le dernier exemple en date vient d’être livré par les chercheurs en sécurité de Google. À l’occasion de la conférence Black Hat 2022, ces derniers ont présenté une palanquée de failles zero-day utilisées par des éditeurs de logiciels de surveillance dans le but de pirater des terminaux Android.

    L’une de ces failles (CVE-2021-0920) est particulièrement remarquable, car elle a fait partie d’un enchaînement de vulnérabilités très sophistiqué qui permettait d’avoir un contrôle à distance du terminal avec les privilèges d’administrateur. Cette faille se trouvait dans le module « kernel garbage collection » et été patchée en septembre 2021. Mais des recherches presque archéologiques ont montré qu’elle était déjà connue depuis au moins 2016.

    Une occasion manquée

    Comme le relate Gizmodo, Google a pu retrouver des échanges à ce sujet dans la liste de diffusion Linux Kernel Mailing List. Un patch avait même été proposé, mais il a été refusé faute d’accord général sur la question. L’un des développeurs du noyau de Linux écrivait ainsi :

    « Pourquoi est-ce que je devrais appliquer un patch qui n’est qu’un RFC [Request For Comment, un document qui décrit une technologie en vue d’une adoption future, ndlr], qui ne dispose pas d’un message de commit convenable, où il manque une véritable signature, et qui ne bénéficie pas de validations ou de retours de la part de développeurs connus ?».

    Après cela, tout le monde a oublié, sauf un éditeur de logiciels espions qui l’a intégré ni vu ni connu dans son produit. Il a fallu attendre que les attaques qui en ont découlé soient analysées par les chercheurs de Google pour que cette faille revienne sur le tapis et soit enfin colmatée. Un processus finalement assez tortueux qui laisse aux pirates trop de marges de manœuvre.

    Une trentaine d’acteurs suivis à la culotte

    Chez Google, le risque provenant de ces éditeurs est devenu majeur. « Auparavant, nous n’avions qu’à nous concentrer sur des menaces comme celles venant de la Chine, de la Russie ou de la Corée du Nord. Désormais, notre groupe d’analyse de la menace (Threat Analysis Group, TAG) dispose d’une équipe dédiée aux fournisseurs et aux opérateurs commerciaux (…) TAG suit activement plus de 30 fournisseurs avec différents niveaux de sophistication et d’exposition publique, vendant des exploits ou des capacités de surveillance à des acteurs étatiques », a déclaré il y a quelques semaines Shane Huntley, directrice du TAG, auprès de la Chambre des représentants des États-Unis. Et ce suivi est d’autant plus difficile que les techniques utilisées par ces acteurs sont de haut niveau, comparable à celles utilisées par les États.

    Source : Gizmodo - 01.net

  • 6 Votes
    1 Messages
    109 Vues

    Le projet No More Ransom propose des outils gratuits permettant de déchiffrer 165 familles de rançongiciel

    La lutte contre les rançongiciels est un véritable défi, car non seulement les attaques par rançongiciel sont extrêmement perturbatrices, mais dans de nombreux cas, les victimes choisissent de payer la demande de rançon pour obtenir une clé de déchiffrement, ce qui alimente de nouvelles attaques par rançongiciel, car les criminels savent qu’ils peuvent gagner de l’argent facilement. Un rançongiciel est un logiciel malveillant qui verrouille l’ordinateur et les appareils mobiles ou chiffre les fichiers électroniques. Lorsque cela se produit, l’utilisateur ne peut pas accéder aux données à moins de payer une rançon.

    Toutefois, un système continue de lutter contre les gangs de rançongiciel et a maintenant aidé plus de 1,5 million de victimes à déchiffrer leurs machines sans céder aux demandes de rançon, empêchant ainsi qu’un montant estimé à 1,5 milliard de dollars ne finisse dans les mains des cybercriminels.
    Ces chiffres ont été communiqués par Europol à l’occasion du sixième anniversaire de No More Ransom, l’initiative de lutte contre les rançongiciels lancée par les services répressifs de l’Union européenne.

    Lancé pour la première fois en 2016 par Europol, la police nationale néerlandaise (Politie) et une poignée d’entreprises de cybersécurité et d’informatique avec quatre outils de déchiffrement disponibles, No More Ransom s’est développé pour offrir 136 outils de déchiffrement gratuits pour 165 variantes de rançongiciel, notamment GandCrab, REvil, Maze, et plus encore.

    Les entreprises ne sont pas préparées à faire face aux rançongiciels, 35 % des victimes indiquent que leur entreprise a dû payer plus de 100 000 dollars de rançon et 20 % ont dû payer entre 1 et 10 millions dollars. Les nouvelles données d’Arcserve montrent que la moitié des décideurs informatiques interrogés par Dimensional Research ont été ciblés par des rançongiciels, 35 % indiquent que leur entreprise a dû payer plus de 100 000 dollars de rançon, et 20 % ont dû payer entre 1 et 10 millions de dollars.

    Interrogées sur le niveau de confiance dans la capacité de leur équipe informatique à récupérer les données perdues lors d’une attaque par rançongiciel, moins d’un quart (23 %) des personnes interrogées se disent très confiantes dans leur capacité à récupérer les données perdues. Les petites entreprises sont encore moins confiantes : moins de 20 % d’entre elles sont très confiantes dans leur capacité à récupérer les données perdues lors d’une attaque par rançongiciel.

    Les entreprises reconnaissent l’importance d’un investissement continu pour accroître la résilience des données. 92 % d’entre elles déclarent qu’elles réalisent des investissements supplémentaires pour se protéger contre les attaques par rançongiciel. Les principaux domaines d’investissement sont les suivants : logiciels de sécurité (64 %), formation et certification (50 %) et services gérés (43 %).

    Plus de 188 partenaires du secteur privé, du secteur public, des forces de l’ordre, du monde universitaire et autres sont désormais impliqués dans le programme, qui continue à fournir de nouveaux outils de décryptage, avec un portail disponible en 37 langues pour aider les victimes d’attaques par Rançongiciel dans le monde entier.
    Selon Europol, le système a aidé plus de 1,5 million de victimes à décrypter leurs appareils sans avoir à payer de rançon pour obtenir une clé de décryptage.

    Toutefois, l’agence ne se fait pas d’illusions sur le fait que la bataille est gagnée, d’autant plus que les rançongiciels continuent non seulement d’être un problème, mais aussi de devenir plus dangereux et plus efficaces.

    « Il nous appartient, en tant qu’Europol et autres organismes d’application de la loi, de continuer à évoluer nous aussi, de repenser nos stratégies au-delà de No More Ransom. La plateforme No More Ransom est en place et nous espérons qu’elle le restera longtemps, car elle constitue une réponse à bon nombre de ces escroqueries », a déclaré Marijn Schuurbiers, chef des opérations du Centre européen de lutte contre la cybercriminalité (EC3) d’Europol.

    Les services répressifs cherchent également de nouveaux moyens de mettre fin aux attaques, notamment en perturbant les infrastructures utilisées par les cybercriminels. Europol a déjà pris des mesures contre la cybercriminalité de cette manière.

    Il existe également des mesures que chacun peut prendre pour éviter d’être victime d’un rançongiciel. Europol recommande de sauvegarder régulièrement les données sur les appareils, afin de pouvoir les récupérer sans payer de rançon, de s’assurer que les logiciels de sécurité et les systèmes d’exploitation sont à jour avec les derniers correctifs de sécurité, et d’utiliser l’authentification multifactorielle pour éviter que les comptes soient piratés et utilisés pour lancer des attaques de rançongiciel.

    Si elles sont victimes d’une attaque par rançongiciel, Europol leur conseille vivement de ne pas payer de rançon, mais de consulter le portail No More Ransom pour obtenir de l’aide et de signaler l’incident à la police, car chaque signalement d’une attaque par rançongiciel peut aider à mieux comprendre le fonctionnement de ce type de logiciel.

    Les attaques par rançongiciel se multiplient et s’aggravent depuis des années, les demandes de rançon ont atteint des montants autrefois impensables. Si les données sont alarmantes, cela ne signifie pas que les internautes sont sans défense face aux extorqueurs de haute technologie qui orchestrent ces attaques. L’initiative No More Ransom propose plus d’une centaine d’outils de déchiffrement gratuits pour sauver les fichiers chiffrés.

    Toutefois, le meilleur remède contre les rançongiciels reste la prévention diligente. Il est recommandé de :

    sauvegarder régulièrement les données stockées sur les appareils électroniques ; faire attention à ses clics ; éviter d’ouvrir les pièces jointes des e-mails provenant d’expéditeurs inconnus, même s’ils semblent importants et crédibles. s’assurer que le logiciel de sécurité et le système d’exploitation sont à jour ; utiliser l’authentification à deux facteurs (2FA) pour protéger les comptes d’utilisateur ; limiter la possibilité d’exporter de grandes quantités de données d’entreprise vers des portails d’échange de fichiers externes.

    Veeam Software révèle qu’en moyenne 12 % des données d’entreprise détenues par les entreprises françaises ne sont pas protégées contre les pannes imprévues, notamment les cyberattaques et les incidents techniques.

    Ce constat issu du Veeam Data Protection Trends Report 2022, met en évidence le risque d’exposition des données critiques des entreprises aux acteurs malveillants, aux pannes d’infrastructure et aux erreurs humaines. Sur les 88 % de données qui sont protégées, les responsables informatiques doivent encore relever des défis pour concilier la protection dont ils disposent avec les exigences plus larges de l’entreprise.

    Selon le rapport, la nécessité d’une protection moderne des données pour la continuité d’activités reste plus que jamais essentielle, les entreprises françaises devant consacrer 6 % de budget supplémentaire à l’atténuation des risques et au renforcement de la résilience en 2022.

    Si vous êtes victime, ne payez pas ! Signalez le délit et consultez No More Ransom pour obtenir des outils de déchiffrement.

    Sources : Europol, securite.developpez.com

  • 1 Votes
    6 Messages
    262 Vues

    @violence

    J’ai failli le dire lol.
    Comme Sony qui pond ce genre de procédé pour appâter les dev indépendants.
    Quand ils trouvent des failles software dans les firmware des machines Sony, ils divulguent tous ça à la firme moyennant backchich au lieu de sortir la faille en public (et par la suite Sony bouche la faille avec une maj firmware)

  • 1 Votes
    1 Messages
    156 Vues

    Les failles ne nécessitent qu’un “très faible niveau de compétences pour être exploitées”

    Les chercheurs en cybersécurité spécialisés dans les systèmes IoT de santé ont découvert cinq vulnérabilités graves qui peuvent être exploitées pour pirater à distance les robots mobiles autonomes TUG d’Aethon. Les robots TUG sont utilisés par des centaines d’hôpitaux en Amérique du Nord, en Europe et en Asie pour transporter des marchandises, du matériel et des fournitures cliniques. Leur rôle est de donner au personnel plus de temps pour se concentrer sur les soins aux patients. Cependant, pour pouvoir accomplir leurs tâches, les robots ont besoin d’une certaine liberté de mouvement et d’un accès aux données sensibles, ce qui peut en faire une cible intéressante pour les pirates. La société Cynerio, spécialisée dans la cybersécurité des soins de santé, a déclaré avoir découvert les bogues dans les robots TUG d’Aethon en décembre dernier, puis avoir « travaillé en étroite collaboration » avec le fabricant à partir de janvier, dans le cadre du processus de divulgation des vulnérabilités critiques de l’Agence fédérale de cybersécurité et de sécurité des infrastructures. Aethon a déclaré avoir pris des « mesures immédiates » après avoir reçu les informations de la CISA.


    Les robots mobiles sont largement utilisés dans les hôpitaux pour livrer des médicaments et des fournitures d’entretien hospitalier. Ils sont également capables d’exécuter des tâches manuelles simples. Ils sont censés être conviviaux et capables de transporter du linge de lit, de la nourriture, des échantillons de laboratoire et des médicaments dans tout l’établissement hospitalier. Ces robots, cependant, ont été jugés vulnérables à une série de problèmes qui pourrait permettre aux pirates d’accéder aux informations d’identification des utilisateurs et aux dossiers médicaux, entre autres tâches malveillantes. Toutes les vulnérabilités des robots hospitaliers menacent les patients médicaux, matériel et personnel, car ils traitent beaucoup de détails sensibles, et exigent la liberté de mouvement pour effectuer leur travail.

    Les cinq vulnérabilités de sécurité, appelé JekyllBot:5 (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, et CVE-2022-1059) ont été corrigés dans les robots mobiles autonomes intelligents Aethon TUG. Heureusement, les vulnérabilités n’ont pas été exploitées à l’état sauvage. Les vulnérabilités ont été découverts par les chercheurs de Cynerio, une startup spécialisée dans la cybersécurité et la sécurisation des systèmes hospitaliers et de santé.

    Les cinq vulnérabilités, que Cynerio appelle JekyllBot:5, ne concernent pas les robots eux-mêmes, mais les serveurs de base utilisés pour communiquer avec les robots qui traversent les couloirs des hôpitaux et des hôtels et les contrôler. Les bogues permettent aux pirates de créer de nouveaux utilisateurs disposant d’un accès de haut niveau afin de se connecter et de contrôler à distance les robots, d’accéder aux zones d’accès restreint, d’espionner les patients ou les invités à l’aide des caméras intégrées au robot ou de semer la pagaille. Asher Brass, le chercheur principal sur les vulnérabilités d’Aethon, a prévenu que l’exploitation de ces failles nécessitait « un ensemble de compétences très faible ».

    Selon Cynerio, les serveurs de base sont dotés d’une interface web accessible depuis le réseau de l’hôpital, ce qui permet aux utilisateurs “invités” de visualiser en temps réel les images des caméras des robots, ainsi que leurs programmes et tâches de la journée, sans avoir besoin d’un mot de passe. Mais bien que la fonctionnalité des robots soit protégée par un compte “admin”, les chercheurs ont déclaré que les vulnérabilités de l’interface web auraient pu permettre à un pirate d’interagir avec les robots sans avoir besoin d’un mot de passe d’administrateur pour se connecter. Selon les chercheurs, l’un des cinq bogues permettait de contrôler les robots à distance à l’aide d’un contrôleur de type joystick dans l’interface Web, tandis qu’un autre bogue permettait d’interagir avec les serrures de porte, d’appeler et de prendre l’ascenseur, et d’ouvrir et de fermer les tiroirs à médicaments.

    Dans la plupart des cas, le risque potentiel est limité si l’accès aux serveurs de base des robots est confiné au réseau local, limitant l’accès aux seuls employés connectés. Les chercheurs ont déclaré que le risque était bien plus grand pour les hôpitaux, les hôtels ou tout autre lieu utilisant ces robots dont le serveur de base est connecté à Internet, puisque les vulnérabilités peuvent être déclenchées de n’importe où sur Internet.

    Le JekyllBot:5 les vulnérabilités pourraient permettre aux attaquants d’effectuer l’une des activités malveillantes suivantes :

    voir des images en temps réel via la caméra du robot ; accéder aux dossiers médicaux des patients ; prendre des vidéos et des photos des patients et de l’intérieur de l’hôpital ; interférer avec les soins aux patients et obstruer les ascenseurs et les systèmes de verrouillage des portes de l’hôpital ; prendre le contrôle du robot et le planter ; interrompre les tâches de maintenance régulières ; perturber (ou voler) livraison robotisée de médicaments aux patients ; détourner des sessions d’utilisateurs administratifs légitimes dans le portail en ligne des robots pour injecter des logiciels malveillants via leur navigateur, et mener d’autres cyberattaques contre les membres de l’équipe informatique et de sécurité dans les établissements de santé.

    JekyllBot: 5 Vulnérabilités: Description technique (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, et CVE-2022-1059)

    CVE-2022-1066 a été évalué 8.2 de 10 à l’échelle CVSS (Common Vulnerability Scoring System). La vulnérabilité interfère avec la capacité du logiciel à effectuer une vérification d’autorisation. Par conséquent, un attaquant non authentifié peut arbitrairement ajouter de nouveaux utilisateurs avec des privilèges administratifs et supprimer ou modifier des utilisateurs existants. CVE-2022-26423, aussi noté 8.2 de 10 à l’échelle CVSS, pourrait permettre à un auteur de menace non authentifié d’accéder librement aux informations d’identification d’utilisateur hachées. CVE-2022-1070 a une note très critique de 9.8 de 10 à l’échelle CVSS. La faille permet à un attaquant non authentifié de se connecter au websocket TUG Home Base Server et de prendre le contrôle des robots vulnérables. CVE-2022-27494, avec une note de 7.6, est une vulnérabilité XSS. Selon la description officielle, "l’onglet “Rapports” de la console de gestion de flotte est vulnérable aux scripts inter-sites stockés (XSS) attaques lors de la création ou de la modification de nouveaux rapports. Enfin, CVE-2022-1059, encore avec un 7.6 évaluation, est une vulnérabilité XSS reflétée. Plus précisement, l’onglet de chargement de la console de gestion de flotte est sujet aux attaques XSS réfléchies.

    Cynerio a déclaré avoir trouvé des preuves de robots exposés à Internet dans des hôpitaux ainsi que dans des établissements fournissant des soins aux anciens combattants.Les bogues ont été corrigés dans une série de mises à jour du logiciel et du micrologiciel publiées par Aethon, après que Cynerio ait alerté l’entreprise sur ces problèmes. Aethon aurait limité les serveurs exposés à Internet afin d’isoler les robots d’éventuelles attaques à distance, et corrigé d’autres vulnérabilités liées au Web qui affectaient la station de base.

    Source : Cynerio, developpez.com

  • 1 Votes
    3 Messages
    173 Vues

    Ou “faut pas faire chier gérard Lambert quand y répare sa mobylette”
    A la niche!

  • 1 Votes
    1 Messages
    117 Vues

    Qui a piraté Microsoft, Nvidia, Samsung, LG Electronics et d’autres entreprises en quelques mois

    Des chercheurs en cybersécurité enquêtant sur une série de piratages contre des entreprises technologiques, dont Microsoft Corp. et Nvidia Corp., ont retracé les attaques jusqu’à un jeune de 16 ans vivant dans la maison de sa mère près d’Oxford, en Angleterre. Quatre chercheurs enquêtant sur le groupe de piratage Lapsus$, au nom des entreprises qui ont été attaquées, ont déclaré qu’ils pensaient que l’adolescent était le cerveau derrière la récente série d’attaques contre les entreprises technologiques. Lapsus$ a dérouté les experts en cybersécurité alors qu’il s’est lancé dans une vague de piratages de haut niveau. La motivation derrière les attaques n’est toujours pas claire, mais certains chercheurs en cybersécurité disent croire que le groupe est motivé par l’argent et la notoriété.

    Lapsus$ est un nom qui a gagné en visibilité du fait des cibles de haute valeur qu’il a pris pour cible : parmi les noms les plus significatifs figurent Samsung, Nvidia, Ubisoft, LG Electronics (deux fois) et Vodafone; il s’agit donc principalement des entreprises évoluant dans le secteur de la tech, au sens large. Et dernièrement, Lapsus$ a attaqué Microsoft, en lui dérobant des portions de code source.

    Microsoft a expliqué que le groupe de cybercriminels a concentré ses efforts d’ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible. Ces informations comprennent des connaissances intimes sur les employés, les structures d’équipe, les services d’assistance, les flux de travail de réponse aux crises et les relations de la chaîne d’approvisionnement. Des exemples de ces tactiques d’ingénierie sociale incluent le spam d’un utilisateur cible avec des invites d’authentification multifacteur (MFA) et l’appel du service d’assistance de l’organisation pour réinitialiser les informations d’identification d’une cible.

    Microsoft Threat Intelligence Center (MSTIC) évalue que l’objectif de Lapsus$ est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu’il s’agit d’un acteur cybercriminel motivé par le vol et la destruction.

    Les actions de Lapsus$ n’ont pas été anodines pour les entreprises touchées. Le code source de plusieurs applications clés de Microsoft (son moteur de recherche Bing, son assistant virtuel Cortana, son outil cartographique Bing Maps) a été diffusé. Pour Nvidia, ce sont des informations sur ses cartes graphiques actuelles et futures et certaines technologies qui ont été exposées.

    Sans doute pour empêcher les hackers de les faire chanter en s’appuyant sur ces données, Nvidia aurait riposté en se faufilant dans le système du pirate et en chiffrant les données volées. C’est ce qu’affirme une publication sur le compte twitter de Vx-underground (qui évolue dans la Threat Intelligence - une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l’organisation de toutes les informations liées aux menaces du cyberespace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances), captures d’écran à l’appui :

    « Le groupe d’extorsion LAPSU$, un groupe opérant en Amérique du Sud, affirme avoir pénétré par effraction les systèmes de NVIDIA et exfiltré plus de 1 To de données propriétaires. LAPSU$ affirme que NVIDIA a effectué un piratage et déclare que NVIDIA a réussi à attaquer ses machines à l’aide d’un ransomware ».

    Mais les hackers ont déclaré disposer d’une sauvegarde des données, rendant ainsi vains les efforts de Nvidia : « Heureusement, nous disposions d’une sauvegarde. Mais pourquoi pensaient-ils qu’ils pouvaient se connecter à notre machine privée et installer un ransomware ? »

    L’un des cerveaux de l’affaire pourrait avoir 16 ans

    La police de la ville de Londres a arrêté sept adolescents en raison de leurs liens présumés avec un groupe de piratage qui serait le groupe récemment prolifique Lapsus$ : « La police de la ville de Londres a mené une enquête avec ses partenaires sur les membres d’un groupe de piratage. Sept personnes âgées de 16 à 21 ans ont été arrêtées dans le cadre de cette enquête et ont toutes été libérées sous enquête. Nos enquêtes restent en cours », a déclaré l’inspecteur-détective Michael O’Sullivan de la police de la ville de Londres dans un communiqué.

    Un jeune de 16 ans d’Oxford est soupçonné d’être l’un des chefs du gang de cybercriminalité Lapsus$. Avec son surnom en ligne, “Breachbase” ou “White”, l’adolescent a gagné l’équivalent de 14 millions de dollars en Bitcoin à ce jour. Il n’a pas été précisé si celui qui est décrit comme la tête pensante du groupe figure parmi les sept interpellés.

    “Breachbase” ou “White” a été victime de doxxing (une pratique consistant à rechercher les informations sensibles de quelqu’un pour les publier sur Internet. Les pirates y ont recours pour se venger d’internautes, les harceler ou les faire chanter) sur un site Web pirate par son partenaire commercial après un différend entre eux. Les pirates ont révélé son nom, son adresse, des photos sur les réseaux sociaux et ont également publié une biographie de sa carrière de pirate.

    L’administrateur de LAPSUS$, “Breachbase” ou “White”, était supposé verser à l’administrateur de Doxbin “KT” plus de 25 000*$ pour retirer son dox de son site et diffuser de la désinformation sur sa véritable identité. Voici la conversation et le motif de la publication.

    4e56a5c4-cffa-407c-9747-ae68c5eb66ee-image.png

    066efe43-cdbc-47d1-8997-78682dd1674c-image.png

    Les chercheurs soupçonnent l’adolescent d’être à l’origine de certains des principaux piratages effectués par Lapsus$, mais ils n’ont pas été en mesure de le lier de manière concluante à tous les piratages revendiqués par Lapsus$. Les cyber-chercheurs ont utilisé des preuves médico-légales provenant des hacks ainsi que des informations accessibles au public pour lier l’adolescent au groupe de piratage.

    Les chercheurs en cybersécurité suivent “White” depuis près d’un an et l’ont lié à Lapsus$ et à d’autres incidents de piratage. L’adolescent a commis de multiples erreurs qui ont aidé les chercheurs à suivre son activité sur les comptes en ligne.

    Allison Nixon, responsable de la recherche à la société d’enquête sur la cybersécurité Unit 221B, a déclaré: « Nous avons son nom depuis le milieu de l’année dernière et nous l’avons identifié avant le doxxing ». Et d’ajouter : « Nous l’avons observé sur ses exploits tout au long de 2021 ».

    BBC News indique avoir parlé au père de l’adolescent, qui n’était apparemment pas au courant de son implication dans le groupe : « Je n’avais jamais entendu parler de tout cela jusqu’à récemment. Il n’a jamais parlé de piratage, mais il est très doué en informatique et passe beaucoup de temps sur l’ordinateur », a déclaré le père, selon les informations de la BBC. « J’ai toujours pensé qu’il jouait. Nous essaierons de l’empêcher d’utiliser des ordinateurs ».

    Le récit livré par le média anglophone surprend du fait de l’âge de celui que l’on présente comme la tête pensante de l’un des groupes les plus médiatisés ces dernières semaines. Mais cette particularité n’est pas forcément rare : au sein du collectif LulzSec, qui s’était fait connaître en 2011 avec diverses intrusions informatiques, certains membres n’avaient pas 20 ans.

    Un autre membre de Lapsus$ est soupçonné d’être un adolescent résidant au Brésil, selon les enquêteurs. Une personne enquêtant sur le groupe a déclaré que les chercheurs en sécurité avaient identifié sept comptes uniques associés au groupe de piratage, ce qui indique qu’il y a probablement d’autres personnes impliquées dans les opérations du groupe.

    L’adolescent est si doué pour le piratage (et si rapide) que les chercheurs ont d’abord pensé que l’activité qu’ils observaient était automatisée, a déclaré une autre personne impliquée dans la recherche.

    Lapsus$ a publiquement nargué ses victimes, en divulguant son code source et ses documents internes. Lorsque Lapsus$ a révélé qu’il avait réussi à entrer par effraction dans Okta Inc., il a plongé l’entreprise dans une crise de relations publiques.

    Pour mémoire, Okta est une entreprise américaine propose des solutions de gestion d’accès sécurisé (authentification) à des serveurs en ligne à ses clients. Son activité relève donc de la cybersécurité et de la protection. Parmi ses clients, on retrouve les français Engie, Foncia, ou encore La Croix Rouge française. Un piratage de ses systèmes, qui sont eux-mêmes chargés d’en sécuriser des centaines d’autres, pourrait donc avoir des répercutions majeures.

    Okta a échangé avec Lapsus$ par communiqués de presse interposés, entre le 20 et le 22 mars. Tentant dans un premier temps d’éteindre l’incendie, l’entreprise a reconnu, dans son plus récent communiqué qu’une partie de ses clients avait bien été affectée.

    « Après une enquête approfondie, nous en avons conclu qu’un petit pourcentage de clients, approximativement 2,5%, ont potentiellement été affectés, et dont les données ont été vues ou manipulées. Nous avons identifié ces clients et les avons contactés », a déclaré David Bradbury, directeur des ventes d’Okta, dans un communiqué publié le 22 mars. Cela représente, sur les 15 000 clients revendiqués par l’entreprise, au moins 375 d’entre eux.

    17f45af7-6922-4581-b9a2-b805926ed17c-image.png

    Lapsus$ est même allé jusqu’à rejoindre les appels Zoom des entreprises dont ils ont forcé l’accès, où ils ont provoqué des employés et des consultants qui ont tenté de colmater les brèches de leur piratage.

    Quoiqu’il en soit, sur sa page Telegram, Lapsus$ a déclaré le 23 mars : « Certains de nos membres ont des vacances jusqu’au 30/3/2022. Nous pourrions être silencieux pendant quelques temps. Merci pour votre compréhension - nous essaierons de divulguer des trucs dès que possible ». Le 25 mars, Lapsus$ a annoncé l’arrivée d’un nouveau modérateur de chat.

    23c6c54c-4317-4e79-bec4-bf2d216aa9a7-image.png

    Source : securite.developpez.com

  • 1 Votes
    1 Messages
    129 Vues

    Les chercheurs en cybersécurité de Proofpoint viennent de publier de nouveaux renseignements montrant une activité cyber importante, soutenue par l’état Biélorusse, qui vise des membres de gouvernements Européens impliqués dans la gestion des flux de réfugiés fuyant les zones de conflits Russo-Ukrainien.

    Cette campagne de phishing ciblée, qui infecte les systèmes d’exploitation par le biais d’un logiciel malveillant appelé ‘SunSeed’, provient de la compromission du compte email d’un membre des forces armées Ukrainiennes.

    Proofpoint suppose que l’activité provient du groupe TA445 (Ghostwriter / UNC1151) qui semble opérer depuis la Biélorussie, et a longtemps été impliqué dans de larges campagnes de désinformation visant à manipuler le sentiment Européen face aux mouvements de réfugiés au sein de l’OTAN.

    Ces attaques par mail ont visé les individus impliqués dans la logistique du transport, l’allocation budgétaire et financière, l’administration, et les mouvements de population à travers l’Europe, avec l’intention de collecter des renseignements quant aux mouvements de fonds monétaires, d’équipement, d’aide alimentaire, et de population à travers les pays membres de l’OTAN.

    Dans ce contexte de guerre Russo-Ukrainienne, il faut s’attendre à ce que les menaces d’acteurs comme TA445, indirectement soutenus par certains états, continuent de proliférer et de s’attaquer aux gouvernements européens pour tenter d’obtenir des renseignements sur les mouvements de réfugiés en Ukraine ainsi que sur d’autres éléments du conflit qui auraient de l’importance pour la Russie.

    Cette activité démontre que les migrants et réfugiés de guerre peuvent devenir des armes de destruction massive dans un conflit hybride ou l’information et les attaques cybernétiques font partis du panel de tactiques martiales auxquelles les gouvernements peuvent désormais faire appel.

    Les chercheurs Proofpoint commentent :

    Cette campagne représente un effort déterminé de s’attaquer particulièrement aux entités de l’OTAN, par le biais du compte mail corrompu de membres des forces armées Ukrainiennes, en plein cœur d’un conflit armé entre la Russie, ses sympathisants, et l’Ukraine. Bien que les tactiques utilisées dans cette campagne ne soient pas totalement nouvelles en elles-mêmes, elles peuvent s’avérer dévastatrices lorsqu’elles sont utilisées ensembles, et pendant un conflit de cette envergure.

    Il faut s’attendre à de nouvelles attaques similaires visant les entités de l’OTAN. Par ailleurs, l’exploitation des renseignements autour des mouvements de réfugiés en Europe, à des fins de propagande et de campagnes de désinformation, sont des techniques bien connues de la part des services Russes et Biélorusses.

    Être conscient de cette menace, et en parler ouvertement sont d’une importance capitale pour une meilleure connaissance et appréhension de ces menaces. »

    Vous pourrez trouver de plus amples informations sur ces activités :

    https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

    SOURCE: Undernews.fr

  • 5 Votes
    3 Messages
    189 Vues

    ouf y’a pas le cloud MEGA , je suis safe :ange:

  • 0 Votes
    1 Messages
    113 Vues

    Si vous avez envie de vivre une expérience digne des meilleurs films d’espionnage, ne manquez pas de répondre à l’appel de l’Agence spatiale européenne qui invite les informaticiens à pirater un satellite réel au nom de la cybersécurité.

    La cybersécurité a toujours été une faible priorité pour l’industrie spatiale, davantage axée sur la fiabilisation des satellites. Maintenant que les satellites sont de plus en plus petits, connectés et nombreux, il est urgent, pour l’Agence spatiale européenne de prendre conscience, de leur vulnérabilité face aux cybermenaces.

    Les candidats à ce hackathon prestigieux, doivent soumettre des idées sur la façon dont quelqu’un s’y prendrait pour pirater les charges utiles et/ou le cœur de traitement expérimental du satellite OPS-SAT, ainsi que sur la façon de détecter et d’atténuer une attaque.

    Il s’agit donc bien d’attaquer un satellite réel. OPS-SAT est un cube d’environ la taille d’une boîte à chaussures appartenant à l’Agence spatiale européenne (ESA). Lancé le 18 décembre 2019, OPS-SAT vole à une altitude de 515 km. Son objectif est de servir de « laboratoire volant » dans le seul but de tester et de valider de nouvelles techniques de contrôle de mission et de systèmes satellitaires embarqués.

    174ab741-2762-49bf-b56b-8f6fd077c734-image.png

    Dave Evans, le responsable d’OPS-SAT explique : “La robustesse intégrée d’OPS-SAT en fait la plate-forme de vol idéale pour les pirates informatiques éthiques qui souhaitent démontrer leurs compétences dans un environnement sûr mais suffisamment réaliste. Nous demandons aux gens de faire, dans un environnement contrôlé, exactement ce que nous ne voulons pas qu’il se produise dans la vie réelle.”

    Dave Evans ajoute : “C’est une opportunité passionnante de s’engager avec et d’apprendre des meilleurs esprits de la cybersécurité à travers l’Europe, en utilisant une plate-forme spécialement développée pour apprendre des leçons afin d’améliorer nos missions actuelles et futures.”

    L’agence spatiale européenne souligne que l’OPS-SAT est le vaisseau spatial idéal pour une expérience de ce type, car il dispose d’un ordinateur de vol 10 fois plus puissant que tout autre vaisseau spatial de l’Agence.

    Les candidatures sont ouvertes jusqu’au 18 février. L’agence spatiale européenne recherche des idées avec un scénario créatif et réaliste, une faisabilité technique et une puissance pédagogique.

    En avril, les trois premiers finalistes seront invités à assister à la conférence CYSAT à Paris pour réaliser leur démo de hacking en direct.

    Site : hack.cysat.eu, programmez.com

  • 3 Votes
    3 Messages
    205 Vues

    Encore un truc qui se fera pas, beaucoup trop gros a mettre en place

  • 1 Votes
    1 Messages
    107 Vues

    Le câble OMG est un accessoire qui permet aux hackers de voler des mots de passe et autres données. Il en est à sa deuxième version, radicalement améliorée.

    607b0e1f-4734-414b-b285-2a88203861d4-image.png

    Il ressemble à un câble Apple Lightning, fonctionne comme un câble Apple Lightning, et je peux l’utiliser pour connecter mon clavier à mon Mac. Mais ce câble malveillant enregistre en réalité tout ce que je tape, y compris mes mots de passe, puis envoie mes données à un hacker qui pourrait se trouver à quelques kilomètres de moi.

    Il s’agit de la nouvelle version d’une série d’outils de tests de pénétration créés par un chercheur en cybersécurité qui se fait appeler MG. En 2019, MG avait créé une première version de ce câble et nous en avait fait la démonstration lors de la DEF CON, l’une des plus importantes conventions de hackers au monde, qui se tient chaque année à Las Vegas. Peu après, MG a pu passer à la production de masse et vend désormais ses câbles par l’intermédiaire de la boutique pour hackers Hak5.

    Mais les câbles les plus récents se déclinent en différentes versions, dont un Lightning-USB-C, et comportent davantage de fonctionnalités.

    « Certaines personnes disaient que les câbles USB de type C ne risquaient pas d’être piratés avec ce type d’installation car ils n’ont pas assez d’espace. Clairement, je me suis senti obligé de prouver le contraire », nous dit MG.

    Les câbles OMG, comme on les appelle, fonctionnent de la manière suivante : ils créent un hotspot Wi-Fi auquel un hacker peut se connecter depuis son propre appareil ; à partir de là, une interface ouverte dans un navigateur ordinaire permet au hacker d’enregistrer les frappes au clavier de la victime. L’implant malveillant est minuscule et impossible à remarquer : il occupe la moitié de la longueur de la coque en plastique.

    Le chercheur explique également que les nouveaux câbles ont des fonctions de geofencing, grâce auxquelles un utilisateur peut déclencher ou bloquer la charge utile (c’est-à-dire le code que le hacker utilise, dans ce cas, pour déplacer les données) vers l’appareil, en fonction de l’emplacement physique du câble.

    « Cela va de pair avec la fonction d’autodestruction, au cas où un câble OMG s’écarterait de la portée de réception et que vous préféreriez qu’il ne laisse pas échapper des charges utiles ou n’entre pas en contact avec un ordinateur qui n’est pas celui qui est visé », explique-t-il.

    Nous n’avons testé les câbles qu’à une proximité relativement faible, mais MG affirme avoir amélioré leur portée par rapport à la version précédente.

    « Nous l’avons testé dans le centre-ville d’Oakland et avons pu déclencher des charges utiles à une distance d’environ deux kilomètres », ajoute-t-il.

    bf089319-0512-485e-aa9f-f6aed8515679-image.png

    Il explique que les câbles USB-C permettent de mener la même sorte d’attaques contre les smartphones et les tablettes. Parmi les autres améliorations, citons la possibilité de modifier le mappage du clavier ou de falsifier l’identité de périphériques USB spécifiques, par exemple en prétendant être un périphérique qui exploite une vulnérabilité particulière sur un système.

    Apple n’a pas répondu à notre demande de commentaire. Le jeu de câbles que MG nous a fourni à des fins de test comprenait également un câble noir USB-C vers USB-C, qui est conçu pour imiter les câbles liés à différents produits non-Apple.

    b499ac51-93b1-4823-b192-4b3bd7820740-image.png
    L’UN DE CES DEUX CÂBLES EST UN CÂBLE OMG MALVEILLANT. IMAGE : MOTHERBOARD.

    https://www.vice.com/fr/article/k789me/ce-faux-cable-lightning-espionne-tout-ce-que-vous-tapez

  • 2 Votes
    3 Messages
    226 Vues

    Un petit coup de OSarmor qui tourne en fond ca en bloquera déjà pas mal