.:[ d4 n3wS ]:.

Via International Business Times :

Des hackers chinois sont parvenus à accéder aux à certains serveurs de l’armée US et ont pu récupérer des données confidentielles concernant les barrages dans le pays (il y a environ 8100 barrages d’importance dans le pays).

L’exploitation de ces données dans une situation de guerre pourrait se révéler catastrophique.

En 2009, en Russie, un problème sur une turbine dans une station hydro-électrique avait provoqué la mort de 75 personnes.

La Direction centrale du Renseignement Intérieur, agacé par un article de Wikipedia qu’elle jugeait problématique car pouvant selon elle porter atteinte à la sureté nationale, a convoqué dans ses bureaux un des administrateurs de la fondation Wikimédia France (n’ayant aucun lien direct avec ledit article) et l’a forcé à supprimer l’article concerné.

Sur son blog, Wikimédia divulgue ces événements indiquant au passage que l’article était disponible depuis… plusieurs années.

Vis BusinessWeek :

Il y a un an, Joe Stewart de SecureWorks avait publié un papier dans lequel il remontait la trace d’un pirate à l’origine de différents malwares utilisés pour des attaques visiblement supportées par le gov chinois et destinées à récupérer des infos confidentielles chez des multinationales ou obtenir l’identité de dissidents.

A l’époque, tout était parti d’un nom de domaine C&C pris par le pirate : ce domaine laissait supposer qu’il était la propriété de Dell, l’entreprise où bosse Stewart.
Ce dernier profite de l’occasion pour demander la récupération du domaine auprès de l’ICANN en raison des pbs de copyrights et peut désormais analyser le trafic qui arrive sur ce domaine, lui donnant un aperçu de l’identité des victimes.

En se basant sur les autres domaines enregistrés par le pirate, il en tirera une adresse email ainsi qu’un pseudo : xxgchappy.

Un peu plus tard, c’est le blogueur cyb3rsleuth qui mène l’enquête et parviendra non seulement à retrouver la véritable identité du hacker mais aussi son lieu de résidence, son boulot et des photos de lui et de sa famille.

De toute évidence, Zhang Changhe, le pirate chinois, a merdé en dévoilant trop d’informations sur le web lié à son pseudonyme.
Zhang est un bon, il a écrit différents papiers technique sur les rootkits Windows ou sur le cyber-espionnage. Il a travaillé (et continue peut-être) au PLA Information Engineering University, l’université des hackers chinois…

Note: l’article de BusinessWeek est récent mais la découverte l’est moins.

Le célèbre journal The New York Times a révélé avoir été victime d’attaques ciblées en provenance de la Chine comme l’avait été le journal Bloomberg News l’année d’avant.

Dans un article de 4 pages, on apprend que les attaques ont suivi la publication d’un article du NYT (le 25 octobre) traitant de la fortune accumulée par les proches du premier ministre chinois.

Qu’est-ce que les hackers cherchaient ? Visiblement à obtenir les communications électroniques de David Barboza, le chef du bureau de Shanghai du NYT sans doute dans l’espoir de retrouver les sources à l’origine de cette information.

Le journal s’est entouré de hackers afin de pouvoir traquer l’activité des pirates et retirer les nombreuses portes dérobées placées sur les machines de journalistes.
Les machines pourtant équipées de l’antivirus Symantec ont échouées globalement à avertir de la présence de malwares (seulement 1 sur 45 a été détecté) prouvant une fois de plus inefficacité des bases de signature dans ce type d’attaques.

La boîte embauché par le NYT pour les investigations numériques n’est autre que Mandiant. On peut donc espérer voir d’ici quelque temps un rapport public sur ces attaques.

Alors que ces derniers temps on nous rabâche que l’Australie est le nouvel eldorado français, une nouvelle idée tordue vient de sortir de la tête de l’ASIO, le service de renseignement intérieur australien.

Figurez-vous qu’il se sont mis dans l’idée que ce serait pratique de pénétrer l’ordinateur d’un tiers (un citoyen australien honnête qui ne demande rien à personne) pour s’en servir comme relais pour effectuer des attaques vers des machines terroristes.
Un peu comme si à l’heure de la soupe un sniper du GIGN débarquait dans votre salon pour s’installer et tuer un terroriste depuis votre balcon.

A une époque où Mme Michu se prend une amende pour défaut de sécurisation de son accès Internet, c’est un peu fort !

Pour le moment aucune décision n’a été faite sur cette demande de l’ASIO qui, on l’espère, sera refusée.

Coka-Cola piraté. Les intrus cherchaient visiblement des documents sensibles concernant la tentative de rachat du groupe chinois Huiyuan Juice.
Techniques utilisées : spear-fishing et documents PDF piégés.
Bientôt un Gangnam-Cola ?

Une faille sur Facebook permettait d’avoir accès à certains comptes sans passer par une phase d’authentification.
Plus d’un million de liens donnant chacun accès à un compte ont ainsi été postés sur Hacker News.
La faille a été rapidement corrigée.

Le retour de GhostShell : la team leake ce qu’elle affirme être 2.5 millions de comptes du gov russe, principalement des comptes de messagerie.

Cyber-attaque sur un casino : les 14 personnes arrêtés avaient trouvé une faille dans le protocole de sécurité des transactions électroniques de Citibank.
L’attaque nécessitait de retirer du cash simultanément sur des kiosques dans une intervalle d’une minute (d’où le nombre de personnes arrêtées).
1 millions de $ pour 60 secondes retirés avant que le système ne fasse ses comptes…

Via BBC, V3, Washington Free Bacon :

Le Bureau militaire de la Maison Blanche a été la cible d’une attaque via spear-phishing.
Bien que le gov US n’ai pas donné officiellement la source des attaques, le journal The Washington Free Bacon indique que l’attaque a été menée par le gouvernement chinois d’après des sources anonymes internes au gov US.

Le serveur qui a été visité ne contenait pas de données critiques d’après la Maison Blanche.

Kaspersky a pu récupérer un nouveau ver destiné au cyber-espionnage : Gauss.

Les liens entre Flame et Gauss (qui prend son nom du célèbre mathématicien par rapport aux références laissées par les auteurs du malware) sont avérés : Gauss partage du code en commun avec son grand frère.

On retient surtout deux choses de ce nouveau ver :

• Il surveille le trafic web de la machine infectée, notamment par le biais d’un plugin Firefox. En particulier il vole les informations qui transitent à destination de sites de banques libanaises)
• Il contient un payload secret chiffré en RC4. Ce payload se déchiffrera uniquement si certains variables d’environnement ont une valeur prédéfinie qui restent pour le moment un mystère (la clé RC4 correspond à un hash MD5 de ces variables effectué 1000 fois).

On sait donc que le ver cible ses victimes, à priori au Liban mais à l’heure actuelle on ne sait pas si un organisme ou une entreprise particulière est ciblée.

Kaspersky a publié un dossier complet sur la bestiole.

Quelques détails importants sur ce que tout le monde suspectait déjà. Le vers Stuxnet a bien été réalisé par les américains avec un petit coup de main des Israëliens.

Mettez votre ceinture et lisez ce petit article .

Via V3 :

La boite antivirale Kaspersky a mis la main sur la dernière cyber-arme visant l’Iran.
Détecté d’abord par le CERT iranien, le ver Worm.Win32.Flame serait plus évolué que Duqu et Stuxnet d’après Kaspersky.

Cette fois l’exécutable ne cherche pas à mettre à mal des systèmes SCADA mais est clairement destiné au cyber-espionnage via le vol de documents, de mails, la capture d’écran et des touches du clavier, l’écoute réseau ou l’enregistrement de conversations via le microphone de la victime.

Le ver est conçu de façon modulaire via des DLLs. Il peut ainsi charger jusqu’à 20 modules différents allant de la simple compression zip à l’utilisation du langage de programmation LUA en passant par l’accès à des bases de données.

Bien que le code n’ai pas de similitudes avec Stuxnet, des exploits lui permettant de se propager semblent avoir été repris du précédent cyber-cauchemar iranien.
Les binaires ont été anonymisés (les dates correspondent aux années 90) et des 0days doivent être utilisés car le ver parvient à s’introduire dans des systèmes Windows 7.

Comme pour Stuxnet on estime que Flame serait l’œuvre d’un projet gouvernemental.