.:[ d4 n3wS ]:.

A l’origine, seul un fichier semblait avoir fuité du code du logiciel de virtualisation VMware dixit la société éditrice.

Mais il n’aura pas fallu longtemps avant que le pirate Hardcore Charlie se revendiquant d’Anonymous poste un screenshot laissant supposer que la totalité du code a été volée (environ 300Mo).
Le hacker ajoute qu’il n’a pas trouvé le code source sur les serveurs de VMware… mais sur les réseaux de sociétés chinoise, en particulier la CEIEC (China Electronics Import & Export Corporation). De quoi mettre le feu aux poudres.

La réponse de VMware sur ce leak ?

The fact that the source code may have been publicly shared does not necessarily mean that there is any increased risk to VMware customers

Comme d’habitude, on prétend qu’il n’y a rien de grave… jusqu’à ce que le drame arrive, loi de Murphy oblige.

Finalement, ce sont des mails internes à la société et datant de 2005 qui ont fait sur apparition sur la toile, toujours à l’initiative de l’énigmatique Hardcore Charlie.

Sur ce même pastebin on trouve aussi des notes de synthèse faites par le gouvernement chinois sur les opérations US en Afghanistan.

source : TheHackerNews
Edit: TheInquirer a eu un entretien avec Hardcore Charlie et a quelques infos supplémentaires sur l’affaire.

Leacked Leacke Vmware is massive

Avec un peu de retard on vous relaye la sortie d’un whitepaper pdf de Command Five qui s’est penché sur les attaques APT qui ont ciblé la Corée du Sud, RSA ainsi que les opérations baptisées NightDragon…
L’analyse montre d’intéressantes similarités dans les protocoles, malwares ou domaines utilisés par les attaquants…

En fouillant un peu on parvient à retrouver sur hackchina le code source de l’un des RAT utilisé lors des attaques.

Via TheInquirer :

Des entreprises norvégiennes du milieu du pétrole, de l’énergie et de la défense ont été la cible de cyber-attaques visant à récupérer des documents confidentiels.
Les noms des entreprises concernées ne sont pas indiqué dans l’article.

Sur securelist, on en apprend un peu plus sur le trojan/rootkit Duqu.

Il utilise un shellcode dissimulé dans un emplacement sensé contenir une police de caractère baptisée “Dexter Regular” dans les auteurs seraient “Showtime Inc” (la boite qui diffuse la série TV).

Additionnellement on apprend que les auteurs de Duqu attaquent vraiment au cas par cas en utilisant des binaires, documents, mails différents pour chaque victime.

Enfin la date de compilation de certaines versions du driver remonte à aout 2007… Le projet Duqu ne serait donc pas si récent.

Via TheRegister et Norman :

Une nouvelle série d’attaques ciblées a été révélées. Baptisées “Nitro”, ces attaques cibles les entreprises spécialisées dans la production de produits chimiques à travers le monde.

La technique utilisée est très basique, requiert une action de la victime et n’exploite aucune vulnérabilité connue (si ce n’est la vulnérabilité humaine).
Il s’agit en effet de mails semblant venir des ITs de la boîte avertissant d’une faille dans Adobe Reader et invitant à lancer un exécutable présent dans l’archive en pièce jointe.

L’exécutable en question est une version customisée du très connu trojan Poison Ivy.
L’opération a permis de voler des documents sensibles.

Via PCINpact et L’Expension.com :

Il n’y a pas que les entreprises US et japonaises, le gov sud-coréen & co qui sont victimes de hack et d’espionnage.

Ainsi que groupe Areva (du nucléaire) a fait les frais d’intrusions qui seraient d’origine asiatique.
Les intrusions qui auraient été découvertes il y a 10 jours dureraient d’après certains depuis 2 ans !

Ce week-end, une “maintenance exceptionnelle” avait lieu pour sécuriser le SI.

Mais est-ce qu’on aura droit aux billets des boites anti-virales, à l’analyse des malwares utilisés… ou tout cela passera discrétos sans provoquer de vagues, boudé par les médias ?
Car c’est aussi ça la french-touch :p

Le boîte CommandFive a publié un document PDF décrivant en détails la méthodologie utilisée par les pirates qui ont volé 35 millions d’accounts chez SK Telecom (CyWorld, le plus gros réseau social de Corée du Sud et Nate, un autre gros site national).
Du hack de haut vol.

Trend Micro affirme avoir été le témoin d’attaques de type APT visant des pays de l’ex URSS, en particulier la Russie, le Kazakhstan et le Vietnam.

Ces attaques qui utilisent toujours la même méthodologie (envoi d’un mail de SE avec pièce jointe déclenchant l’installation d’un cheval de troie) ont ciblés les ministères, agences spatiales et autres centres de recherche.

Pour une fois ce ne sont donc pas les USA ou l’Europe de l’Ouest qui sont visés et il semblerait même que les serveurs de C&C d’où les malwares sont commandés ne se situent pas en Chine… mais aux USA et en Angleterre.

Trend Micro se refuse tout de même de pointer d’une doigt une origine pour ces attaques rappelant que les attaquants cherchent peut être à dissimuler leur vrai origine

Mitsubishi Heavy Industries, la filiale spécialisée dans l’armement et premier fournisseur du gouvernement japonais, a été victime d’une attaque informatique qui a touché différents sites de la société.
Pour le moment très peu d’information sur cette attaque car son analyse est toujours en cours mais il semble des malwares (chevaux de troie etc) auraient permis de récupérer des documents sensibles…

Sources :
ElReg
ZDNet
Reuters

F-Secure a retrouvé le fichier XLS qui a permis à des pirates de pénétrer le réseau de la société RSA.

En fait, le message Outlook comprenant le xls attaché a été envoyé au site VirusTotal… ce qui fait que de nombreuses boîtes AV avaient le fameux fichier sans le savoir…

Comme quoi l’employé de RSA qui a ouvert le fichier a du s’apercevoir qu’il y avait quelque chose de louche pour l’envoyer sur VirusTotal.
L’article ne dit pas si à ce moment là le fichier était détecté comme dangereux…

Comme cadeau F-Secure nous donne une vidéo de reconstitution du hack de RSA. Sortez le pop-corn ! :p