Via Ars Technica et Kaspersky :

Les chercheurs de chez Kaspersky ont pu mettre la main sur différents malwares utilisés dans des attaques ciblées.
Les malwares étaient parfois livrés sur des CD ou DVD commandées par la victime qui ne se doutait de rien : le CD ou DVD original est intercepté par la voie du courrier pour que les malwares soient ajoutés… Le colis reprend ensuite son trajet. Une méthode qui a déjà été employée contre une développeuse du projet Tor.

Ajouté à ça ces composants réutilisent des méthodes déjà observées dans Regin (l’utilisation de systèmes de fichiers virtuels) ou l’utilisation de failles 0-day qui ont ensuite été découvertes dans Stuxnet comme la faille LNK.

Ce qui amène Kaspersky à affirmer que les auteurs de Stuxnet et l’unité Equation Group sont deux entités distinctes c’est le fait que ces derniers semblent avoir recours à des techniques plus sophistiquées et que l’unité derrière Stuxnet n’aurait profité que des miettes laissées par Equation Group.
Véridique ou intention de Kaspersky de faire le buzz en utilisant un nouveau nom de code ? Ça on ne le saura certainement jamais.

D’autres techniques hors du commun sont utilisés par Equation Group comme la réécriture du firmware de pas moins de 12 marques de disques dur différents (Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba, Seagate), rendant tout simplement impossible la détection par les antivirus.

Un composant baptisé Fanny sert à échapper aux air gaps par le biais des clés USB : le malware s’injecte sur la clé USB en se dissimulant dans le système de fichier FAT ou NTFS via un driver fait maison.
Il utilise aussi deux exploits (dont le LNK) pour se propager ensuite sur les machines où sera branchée la clé USB.

Si la machine ne dispose pas de connexion Internet alors des données d’identification (liste des process, architecture et nom de la machine, etc) sont récupérées et recopiées discrètement vers la clé.
Plus tard quand la clé USB est branchée sur une machine disposant d’un accès à Internet, les données sont retransmises à un C&C. Ce dernier peut retourner d’autres commandes à exécuter qui seront stockées sur la clé USB puis finalement exécutées la prochaine fois que celle ci sera rebranchée sur la machine sans connexion…

Bref, pas de quoi rassurer les paranos :D

Quand aux victimes ? Essentiellement la région où on retrouve Iran, Pakistan, Afghanistan mais aussi l’Inde, la Russie, la Chine, etc.
Notez que contrairement à ce qu’ont pu dire certains médias, Equation Group n’a aucun lien avec les attaques Carbanak.

,

Le réseau Internet Nord-Coréen, déjà de petite taille, serait actuellement dans les choux.

Il pourrait s’agir d’une attaque DDoS ou d’un blocage quelconque orchestré par les amércains.

,

Alors que le conflit bat son plein à Gaza, KrebsOnSecurity révèle que plusieurs sous-traitants pour la défense israélienne ont été la cible d’attaques informatiques .
Les attaquants étaient apparemment particulièrement intéressés par le dôme de fer qui protège les israéliens des attaques de missiles.

La presque bonne nouvelle pour Israel est que les attaques viendraient de la Chine (le Comment Crew aka P.L.A. Unit 61398) et non pas de Gaza…

Ce soir (dans quelques minutes) va être diffusé un documentaire sur l’utilisation des attaques informatiques dans le contexte des guerres sur Arte.

,

Via The Register :

Lassée des cyber-attaques provenant de leur voisin du nord, la Corée du Sud a décidé de mettre en place un vrai projet de cyber-défense mais aussi un projet d’attaque et de sabotage du réseau informatique militaire et scientifique du nord, bref leur propre Stuxnet à eux avec la boîte à outils de hackers qui va bien…

, ,

A lire sur le Washington Post :

Dans la cyber-guerre entre les pros et les anti Assad, on entend plus souvent parler du SEA, l’Armée Electronique Syrienne.

Mais il existe bien sûr des hackers qui se rangent du côté des rebelles comme ce Oliver Tucket qui avait pris le contrôle de syrgov.sy et était parvenu à récupérer des documents sensibles.

, , ,

La SEA (Armée Electronique Syrienne) qui a récemment détourné les DNS du NY Times a fait les frais de son incompétence à protéger ses anciens sites Internet.

Ainsi en se basant sur un leak de comptes enregistrés sur un vieux site de la SEA, Brian Krebs et le site Vice.com ont remonté les identités de deux hackers qui s’affichent ouvertement comme pro-Assad sur les réseaux sociaux.

On peut s’attendre à de nouvelles révélations d’ici les jours qui viennent…

, ,

A lire sur le blog de CloudFlare, les explications sur le hack du NY Times via le détournement de ses DNS chez son registry MelbourneIT.
Les pirates ont apparemment obtenus les accès au registry via le compte d’un revendeur autorisé.
On ne sait pas encore quelle est la nature du malware en question…

, ,

A lire sur Infoworld : une personne travaillant comme expert sécu pour le compte du gov US a accepté de répondre à des questions en restant anonyme.

Son travail ? Pénétrer les systèmes d’autres pays et trouver et exploiter des failles 0-day dans des logiciels.

,

Via PCINpact :

Edward Snowden, la personne qui a révélé la façon dont la NSA surveillait les communications téléphoniques américaines, a accordé récemment un interview au South China Morning Post (rappelons que Snowden s’est réfugié à Hong Kong) dans laquelle il révèle que la NSA a piraté de nombreuses backbones chinoises…

La NSA aurait effectué 61.000 attaques de ce type dans des opérations qui ne sont pas sans rappeler les attaques commanditées par le gov chinois (je vous renvoie au tag APT).
De quoi remettre de l’huile sur le feu pour les relations entre ces deux pays.

, , , ,