.:[ d4 n3wS ]:.

Via International Business Times :

Des hackers chinois sont parvenus à accéder aux à certains serveurs de l’armée US et ont pu récupérer des données confidentielles concernant les barrages dans le pays (il y a environ 8100 barrages d’importance dans le pays).

L’exploitation de ces données dans une situation de guerre pourrait se révéler catastrophique.

En 2009, en Russie, un problème sur une turbine dans une station hydro-électrique avait provoqué la mort de 75 personnes.

Vu sur Full-Disclosure :

La team Malware.lu s’est penchée sur les C&C de APT1, les hackers chinois décrits dans le whitepaper de Mandiant.

Grâce à une vulnérabilité dans le C&C de PoisonIvy, ils ont pu récupérer un accès sur les systèmes (virtualisés, le contraire aurait été trop beau) depuis lesquels sont effectués les attaques.
Le rapport PDF de leurs découvertes est lisible à cette adresse.

Récemment les tensions ont monté d’un bon cran entre la Corée du Nord et la Corée du Sud et font rappeler une situation déjà existante en aout 2011 quand le Nord a lancé des cyber-attaques contre les établissements bancaires du Sud.

Récemment la Corée du Nord s’est plainte d’être la victime d’attaques informatiques provenant des USA et de la Corée du Sud.

Du coup quand le Sud a récemment subit le même type d’attaques que par le passé le Nord a été rapidement montré du doigt.

Il semble que les pirates soient parvenus à faire propager un virus effaceur de données sur les réseaux informatiques de chaines de TV et de banques Sud-Coréennes.

Symantec qui a mis la main sur la bestiole utilisée indique que cette dernière se sert des identifiants du logiciel mRemote (logiciel de contrôle à distance) qui sont stockés sur le disque pour trouver d’autres machines à infecter.

Récemment une information vient de voir le jour : les auteurs de ces attaques ne seraient pas la Corée du Nord… mais la Chine !

Avast a de son côté analysé un des malwares planté dans un site Sud-Coréen qui ont été victime de ces attaques.

 
Comme on s’y attendait après le piratage du NY Times, la société Mandiant qui a analysé les attaques sur le journal a finalement publié un document de 76 pages (pdf)… sauf qu’il ne traite pas des attaquants du NY Times.

Mandiant s’est penché en effet sur les attaques venant du groupe Comment Crew, aussi appelé Shanghai Group qui correspondent en fait à l’unité 61398 de l’armée chinoise (PLA) où l’on retrouve des profils du type de xxgchappy.

L’article du NY Times, excellent comme à son habitude, indique que Mandiant a retracé plus de 140 intrusions depuis 2006 à ce groupe et que la réalité et sans doute bien au delà ce cela.
Les principaux coups d’éclat de cette unité correspondent aux attaques ayant ciblé RSA, Coca-Cola (lors de la tentative de rachat du groupe chinois Huiyuan Juice) ou encore Lockheed Martin.

Même si le nom des victimes n’est pas toujours révélé, une victime française est recensée dans le rapport de Mandiant. Un rapprochement à faire avec Bercy ?

Des pseudos supplémentaires de hackers liés au PLA sont donnés : UglyGorilla, DOTA (une capture de sa boîte Gmail est présent dans le PDF !) et SuperHard.

Vis BusinessWeek :

Il y a un an, Joe Stewart de SecureWorks avait publié un papier dans lequel il remontait la trace d’un pirate à l’origine de différents malwares utilisés pour des attaques visiblement supportées par le gov chinois et destinées à récupérer des infos confidentielles chez des multinationales ou obtenir l’identité de dissidents.

A l’époque, tout était parti d’un nom de domaine C&C pris par le pirate : ce domaine laissait supposer qu’il était la propriété de Dell, l’entreprise où bosse Stewart.
Ce dernier profite de l’occasion pour demander la récupération du domaine auprès de l’ICANN en raison des pbs de copyrights et peut désormais analyser le trafic qui arrive sur ce domaine, lui donnant un aperçu de l’identité des victimes.

En se basant sur les autres domaines enregistrés par le pirate, il en tirera une adresse email ainsi qu’un pseudo : xxgchappy.

Un peu plus tard, c’est le blogueur cyb3rsleuth qui mène l’enquête et parviendra non seulement à retrouver la véritable identité du hacker mais aussi son lieu de résidence, son boulot et des photos de lui et de sa famille.

De toute évidence, Zhang Changhe, le pirate chinois, a merdé en dévoilant trop d’informations sur le web lié à son pseudonyme.
Zhang est un bon, il a écrit différents papiers technique sur les rootkits Windows ou sur le cyber-espionnage. Il a travaillé (et continue peut-être) au PLA Information Engineering University, l’université des hackers chinois…

Note: l’article de BusinessWeek est récent mais la découverte l’est moins.

Le célèbre journal The New York Times a révélé avoir été victime d’attaques ciblées en provenance de la Chine comme l’avait été le journal Bloomberg News l’année d’avant.

Dans un article de 4 pages, on apprend que les attaques ont suivi la publication d’un article du NYT (le 25 octobre) traitant de la fortune accumulée par les proches du premier ministre chinois.

Qu’est-ce que les hackers cherchaient ? Visiblement à obtenir les communications électroniques de David Barboza, le chef du bureau de Shanghai du NYT sans doute dans l’espoir de retrouver les sources à l’origine de cette information.

Le journal s’est entouré de hackers afin de pouvoir traquer l’activité des pirates et retirer les nombreuses portes dérobées placées sur les machines de journalistes.
Les machines pourtant équipées de l’antivirus Symantec ont échouées globalement à avertir de la présence de malwares (seulement 1 sur 45 a été détecté) prouvant une fois de plus inefficacité des bases de signature dans ce type d’attaques.

La boîte embauché par le NYT pour les investigations numériques n’est autre que Mandiant. On peut donc espérer voir d’ici quelque temps un rapport public sur ces attaques.

Xiang Li est un chinois qui faisait son beurre en vendant sur son site crack99.com des logiciels déplombés.

L’affaire a énervé certaines compagnies aux USA et s’est retrouvée dans les dossiers de l’U.S. Immigration and Customs Enforcement.
Avec l’obtention d’un mandant il ont pu fouiller dans les quelques 25.000 emails du vendeur et découvrir qu’il vendait notamment des logiciels que tout un chacun n’est pas sensé avoir (destinés à l’aérospatiale, grosses entreprises etc).
Ils ont estimé à 60.000 dollars les “revenus” gagnés en vendant des logiciels piratés à des citoyens US.

Malgré cela, Xiang Li ne risquait pas grand chose dans son pays natal. Alors les autorités US lui ont fait miroité un achat pour le faire venir sur les îles Mariannes du Nord et pouvoir l’arrêter.

L’analyse des emails a aussi permis découvrir des acheteurs critiques comme un ingénieur de la NASA et un free-lance travaillant pour la défense US…

Vu sur TheRegister :

Une entreprise américaine était très heureuse de compter Bob parmi ces employés. Considéré comme le meilleur développeur de la boîte, ce dernier touchait un salaire à 6 chiffres pour son travail comme expert en C, C++, Perl, Java, Ruby, PHP, et Python.

Un beau jour l’entreprise met en place un système de VPN et découvre que des connexions au VPN se font depuis la Chine.
En analysant le PC de Bob, il sera finalement découvert que Bob sous-traitait son boulot à des chinois pour 1/5 de son salaire.

Sa journée de travail consistait finalement à surfer sur eBay, Fessebouc et regarder des vidéos de chat.
Après tout pourquoi s’embêter avec les taches ingrates comme… travailler ?

Big Brother frappe un grand coup en Chine : cette fois le “Great Firewall of China” s’attaque aux connexions chiffrées.

Le gouvernement chinois visiblement à pouvoir inspecter toutes les communications Internet qui passe par son firewall et l’utilisation des VPN est un frein à la surveillance massive de son réseau.
Désormais le GFoC détecte et ferme les connexions VPN non autorisées. Pour les particuliers, ceci rend encore plus difficile l’accès à des informations occidentales depuis la Chine.

Les entreprises non-chinoises fournissant des services VPN à la Chine doivent désormais obtenir une autorisation auprès du Ministère de l’Industrie du pays afin de continuer leur activité.
Une façon de forcer les résidents chinois à se servir uniquement des services VPN du pays (très probablement surveillés)…

Titre comique pour une réalité qui l’est beaucoup moins.

Plusieurs internautes ont enquêté sur l’origine de Anvisoft, un nouvel antivirus dont la société semble venir de nul part.
Questionnés sur la question, les administrateurs et modérateurs du site officiel reste très évasif, semblant même vouloir brouiller les pistes.

C’était assez pour attiser la curiosité de Brian Krebs qui s’est lui aussi penché sur la question qui a découvert que le CEO de cette compagnie antivirale est le hacker Wicked Rose (a.k.a. “Withered Rose”) qui a fait parti d’une équipe de hackers baptisée NCPH qui s’est introduit à une époque dans les serveurs de la Défense américaine, le tout commandité par le gouvernement chinois…

Bref, attention avec ce logiciel.