• 1 Votes
    2 Messages
    80 Vues

    Alors eux des traîtres ils vont passer un sale moment

  • 1 Votes
    1 Messages
    45 Vues

    Le groupe de piratage Sandworm parrainé par l’État Russe, a compromis onze prestataires de services de télécommunications en Ukraine entre mai et septembre 2023.

    Cette information est basée sur un nouveau rapport de l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA - Computer Emergency Response Team) citant des «ressources publiques» et des informations récupérées auprès de certains fournisseurs victimes de Sandworm.

    L’agence déclare que les pirates russes “ont interféré” avec les systèmes de communication de 11 opérateurs de télécommunications dans le pays, ce qui a entraîné des interruptions de service et des potentielles vols de données.

    Sandworm est un groupe d’espionnage très actif lié au GRU russe (forces armées). Les assaillants se sont concentrés sur l’Ukraine tout au long de 2023, en utilisant le phishing, des malwares Android, et des data-wipers.

    Cibler les opérateurs télécoms

    Les attaques commencent quand Sandworm effectue des reconnaissances sur les réseaux des sociétés de télécommunications en utilisant l’outil masscan pour effectuer des analyses et scans sur le réseau de la cible.


    – Exemple du script masscan (CERT-UA)

    Sandworm recherche principalement des ports ouverts et des interfaces RDP ou SSH non protégées qu’ils peuvent exploiter pour pénétrer le réseau.

    De plus, les attaquants utilisent des outils tels que ffuf, dirbuster, gowitness et nmap pour trouver des vulnérabilités potentielles dans les services Web qui peuvent être exploitées pour y accéder.

    Des comptes VPN compromis qui n’étaient pas protégés par l’authentification multifactorielle (2FA) ont également été exploités pour accéder au réseau.

    Pour rendre leurs intrusions plus furtives, Sandworm utilise Dante, socks5 et d’autres serveurs proxy pour acheminer leurs activités malveillantes via d’autres serveurs dans la région Internet ukrainienne qu’ils ont compromis auparavant, ce qui le rend moins suspect.

    Le rapport détaillé du CERT-UA (très intéressant au passage) à repéré deux portes dérobées dans les systèmes ISP compromis, à savoir Poemgate et Poseidon.

    Poemgate capture les informations d’identification des administrateurs qui tentent de s’authentifier dans des accès compromis, offrant aux attaquants un accès à des comptes supplémentaires qu’ils peuvent utiliser pour une infiltration plus profonde du réseau.

    Poseidon est une porte dérobée Linux qui, selon l’agence ukrainienne, “comprend la gamme complète d’outils de contrôle informatique à distance.”
    La persistance de Poséidon est obtenue en modifiant Cron pour ajouter des jobs compromettant le système.


    – Modification binaire de CRON pour ajouter de la persistance à Poséidon (CERT-UA)

    Sandworm utilise l’outil Whitecat pour supprimer les traces de l’attaque et supprimer les journaux d’accès (log).

    Aux dernières étapes de l’attaque, les pirates ont été repérés en train de déployer des scripts qui provoqueraient une perturbation du service, en particulier en se concentrant sur des équipements Mikrotik, et en supprimant les backups pour rendre la récupération de données plus difficile.


    – Script pour altérer les appareils Mikrotik (CERT-UA)

    Le CERT-UA informe que tous les fournisseurs de services du pays doivent suivre les recommandations de leur guide pour rendre plus difficile pour les cyber-intrus d’infiltrer leurs systèmes.

    – Sources

    https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/

    https://cert.gov.ua/article/6123309

  • 1 Votes
    1 Messages
    129 Vues

    Les chercheurs en cybersécurité de Proofpoint viennent de publier de nouveaux renseignements montrant une activité cyber importante, soutenue par l’état Biélorusse, qui vise des membres de gouvernements Européens impliqués dans la gestion des flux de réfugiés fuyant les zones de conflits Russo-Ukrainien.

    Cette campagne de phishing ciblée, qui infecte les systèmes d’exploitation par le biais d’un logiciel malveillant appelé ‘SunSeed’, provient de la compromission du compte email d’un membre des forces armées Ukrainiennes.

    Proofpoint suppose que l’activité provient du groupe TA445 (Ghostwriter / UNC1151) qui semble opérer depuis la Biélorussie, et a longtemps été impliqué dans de larges campagnes de désinformation visant à manipuler le sentiment Européen face aux mouvements de réfugiés au sein de l’OTAN.

    Ces attaques par mail ont visé les individus impliqués dans la logistique du transport, l’allocation budgétaire et financière, l’administration, et les mouvements de population à travers l’Europe, avec l’intention de collecter des renseignements quant aux mouvements de fonds monétaires, d’équipement, d’aide alimentaire, et de population à travers les pays membres de l’OTAN.

    Dans ce contexte de guerre Russo-Ukrainienne, il faut s’attendre à ce que les menaces d’acteurs comme TA445, indirectement soutenus par certains états, continuent de proliférer et de s’attaquer aux gouvernements européens pour tenter d’obtenir des renseignements sur les mouvements de réfugiés en Ukraine ainsi que sur d’autres éléments du conflit qui auraient de l’importance pour la Russie.

    Cette activité démontre que les migrants et réfugiés de guerre peuvent devenir des armes de destruction massive dans un conflit hybride ou l’information et les attaques cybernétiques font partis du panel de tactiques martiales auxquelles les gouvernements peuvent désormais faire appel.

    Les chercheurs Proofpoint commentent :

    Cette campagne représente un effort déterminé de s’attaquer particulièrement aux entités de l’OTAN, par le biais du compte mail corrompu de membres des forces armées Ukrainiennes, en plein cœur d’un conflit armé entre la Russie, ses sympathisants, et l’Ukraine. Bien que les tactiques utilisées dans cette campagne ne soient pas totalement nouvelles en elles-mêmes, elles peuvent s’avérer dévastatrices lorsqu’elles sont utilisées ensembles, et pendant un conflit de cette envergure.

    Il faut s’attendre à de nouvelles attaques similaires visant les entités de l’OTAN. Par ailleurs, l’exploitation des renseignements autour des mouvements de réfugiés en Europe, à des fins de propagande et de campagnes de désinformation, sont des techniques bien connues de la part des services Russes et Biélorusses.

    Être conscient de cette menace, et en parler ouvertement sont d’une importance capitale pour une meilleure connaissance et appréhension de ces menaces. »

    Vous pourrez trouver de plus amples informations sur ces activités :

    https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

    SOURCE: Undernews.fr