Tag Archives: Cyber-guerre

USA : L’OPM victime d’une intrusion, les informations des agents du gouvernement volées

Via BBC :

L’Office of Personnel Management est en quelque sorte l’énorme service RH du gouvernement US.

L’OPM aurait subit d’une intrusion de haut vol en avril dernier dont l’origine serait chinoise. Les données volées concerneraient tous les employés du gouvernement dont l’identité de personnes travaillant pour des agences fédérales.

L’objectif pour les pirates serait de trouver les personnes qui ont des postes clés avec des accès intéressants pour des informations ou infrastructures sensibles et alors lancer des attaques de phishing ou autre sur ces personnes.

TV5Monde subit un piratage d’un groupe djihadiste

Via NextINpact, 20minutes :

Hier soir la chaîne TV5Monde a vu différents de ses comptes de réseaux sociaux piratés et utilisés par des hackers du groupe cybercaliphate, des sympathisants du groupe terroriste Etat Islamique.
TV5Monde a aussi coupé la diffusion de ses programmes télévisuels sur ses différentes chaînes (l’implication exacte des pirates dans la coupure n’a pas été révélée pour le moment).

La chaîne est en contact avec les ministères de l’Intérieur de la Défense. Le directeur de la chaîne a indiqué que le retour à la normale pourrait prendre quelques jours.

Equation Group : l’une des unités de hackers de la NSA

Via Ars Technica et Kaspersky :

Les chercheurs de chez Kaspersky ont pu mettre la main sur différents malwares utilisés dans des attaques ciblées.
Les malwares étaient parfois livrés sur des CD ou DVD commandées par la victime qui ne se doutait de rien : le CD ou DVD original est intercepté par la voie du courrier pour que les malwares soient ajoutés… Le colis reprend ensuite son trajet. Une méthode qui a déjà été employée contre une développeuse du projet Tor.

Ajouté à ça ces composants réutilisent des méthodes déjà observées dans Regin (l’utilisation de systèmes de fichiers virtuels) ou l’utilisation de failles 0-day qui ont ensuite été découvertes dans Stuxnet comme la faille LNK.

Ce qui amène Kaspersky à affirmer que les auteurs de Stuxnet et l’unité Equation Group sont deux entités distinctes c’est le fait que ces derniers semblent avoir recours à des techniques plus sophistiquées et que l’unité derrière Stuxnet n’aurait profité que des miettes laissées par Equation Group.
Véridique ou intention de Kaspersky de faire le buzz en utilisant un nouveau nom de code ? Ça on ne le saura certainement jamais.

D’autres techniques hors du commun sont utilisés par Equation Group comme la réécriture du firmware de pas moins de 12 marques de disques dur différents (Western Digital, Maxtor, Samsung, IBM, Micron, Toshiba, Seagate), rendant tout simplement impossible la détection par les antivirus.

Un composant baptisé Fanny sert à échapper aux air gaps par le biais des clés USB : le malware s’injecte sur la clé USB en se dissimulant dans le système de fichier FAT ou NTFS via un driver fait maison.
Il utilise aussi deux exploits (dont le LNK) pour se propager ensuite sur les machines où sera branchée la clé USB.

Si la machine ne dispose pas de connexion Internet alors des données d’identification (liste des process, architecture et nom de la machine, etc) sont récupérées et recopiées discrètement vers la clé.
Plus tard quand la clé USB est branchée sur une machine disposant d’un accès à Internet, les données sont retransmises à un C&C. Ce dernier peut retourner d’autres commandes à exécuter qui seront stockées sur la clé USB puis finalement exécutées la prochaine fois que celle ci sera rebranchée sur la machine sans connexion…

Bref, pas de quoi rassurer les paranos 😀

Quand aux victimes ? Essentiellement la région où on retrouve Iran, Pakistan, Afghanistan mais aussi l’Inde, la Russie, la Chine, etc.
Notez que contrairement à ce qu’ont pu dire certains médias, Equation Group n’a aucun lien avec les attaques Carbanak.

Israel : des documents sur le dôme de fer volés par des hackers

Alors que le conflit bat son plein à Gaza, KrebsOnSecurity révèle que plusieurs sous-traitants pour la défense israélienne ont été la cible d’attaques informatiques .
Les attaquants étaient apparemment particulièrement intéressés par le dôme de fer qui protège les israéliens des attaques de missiles.

La presque bonne nouvelle pour Israel est que les attaques viendraient de la Chine (le Comment Crew aka P.L.A. Unit 61398) et non pas de Gaza…

La Syrian Electronic Army doxed

La SEA (Armée Electronique Syrienne) qui a récemment détourné les DNS du NY Times a fait les frais de son incompétence à protéger ses anciens sites Internet.

Ainsi en se basant sur un leak de comptes enregistrés sur un vieux site de la SEA, Brian Krebs et le site Vice.com ont remonté les identités de deux hackers qui s’affichent ouvertement comme pro-Assad sur les réseaux sociaux.

On peut s’attendre à de nouvelles révélations d’ici les jours qui viennent…