Étiquette : hackers

  • Comment les hackers « FamousSparrow » espionnent les gouvernements?

    Hacking, piratage, hackers, FamousSparrow, espionnage, #Piratage, #Espionnage,

    Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert un nouveau groupe de cyberespionnage s’attaquant principalement à des hôtels dans le monde entier, mais également à des gouvernements, des entreprises internationales, des sociétés d’ingénierie et des cabinets d’avocats.

    ESET a nommé ce groupe FamousSparrow et estime qu’il est actif depuis au moins 2019. Les victimes de FamousSparrow sont situées en Europe (France, Lituanie, Royaume-Uni), au Moyen-Orient (Israël, Arabie saoudite), en Amérique (Brésil, Canada, Guatemala), en Asie (Taiwan) et en Afrique (Burkina Faso). L’analyse de la victimologie suggère que le cyberespionnage est le principal objectif de FamousSparrow.

    FamousSparrow a commencé à exploiter les vulnérabilités le 3 mars 2021

    En examinant les données issues de sa télémétrie pendant son enquête, ESET Research a noté que FamousSparrow a exploité les vulnérabilités ProxyLogon de Microsoft Exchange, qu’ESET a signalées en mars 2021. Cette chaîne de vulnérabilité d’exécution de code à distance a été utilisée par plus de 10 groupes de pirates pour prendre le contrôle de serveurs de messagerie Exchange dans le monde entier.

    Toujours selon la télémétrie d’ESET, FamousSparrow a commencé à exploiter les vulnérabilités le 3 mars 2021, le jour suivant la publication des correctifs, ce qui signifie qu’un autre groupe de pirates a eu accès aux détails de la chaîne de vulnérabilités ProxyLogon en mars 2021. « C’est encore en un signe qu’il est essentiel de corriger rapidement les applications connectées à Internet, ou lorsqu’une correction rapide n’est pas possible, de ne pas les exposer du tout à Internet, » conseille Matthieu Faou, le chercheur d’ESET qui a découvert FamousSparrow avec son collègue Tahseen Bin Taj.

    Des machines compromises qui utilisent des failles

    « FamousSparrow est actuellement le seul exploitant d’une porte dérobée personnalisée, que nous avons découverte au cours de l’enquête et nommée SparrowDoor. Le groupe utilise également deux versions personnalisées de Mimikatz. La présence de l’un de ces outils malveillants personnalisés pourrait servir à relier d’autres incidents avec FamousSparrow, » explique Tahseen Bin Taj, chercheur chez ESET.

    Bien qu’ESET Research considère FamousSparrow comme une entité distincte, il existe certains liens avec d’autres groupes d’APT connus. Lors d’une attaque particulière, les pirates ont déployé une variante de Motnug, un downloader utilisé par SparklingGoblin. Dans un autre cas, une machine compromise par FamousSparrow exécutait également Metasploit avec cdn.kkxx888666[.]com comme serveur de commande et de contrôle, un domaine associé à un groupe appelé DRDControl.

    Melting, 23/09/2021

  • Biden demande à Poutine de sévir contre les cybercriminels

    WASHINGTON (AP) – Le président Joe Biden a dit au président russe Vladimir Poutine, lors d’un appel téléphonique, qu’il devait « prendre des mesures » contre les cybercriminels agissant dans son pays et que les États-Unis se réservaient le droit de « défendre leur population et leurs infrastructures essentielles » contre de futures attaques, a déclaré la Maison Blanche.

    L’avertissement adressé à M. Poutine vendredi était en grande partie une répétition de la rhétorique dure que M. Biden avait utilisée lors de leur rencontre à Genève le mois dernier, lorsqu’il avait prévenu qu’il y aurait des conséquences à la poursuite des cyberattaques émanant de la Russie. Depuis lors, une nouvelle attaque par ransomware liée au groupe de pirates informatiques REvil, basé en Russie, a provoqué des perturbations de grande ampleur, plaçant Biden sous une pression croissante pour que, cette fois, son avertissement se traduise par des actions – bien qu’aucune n’ait été annoncée immédiatement.

    « Je lui ai dit très clairement que les États-Unis s’attendent à ce que, lorsqu’une opération de ransomware provient de son sol, même si elle n’est pas parrainée par l’État, nous attendons d’eux qu’ils agissent si nous leur donnons suffisamment d’informations pour agir sur l’identité de cette personne », a déclaré M. Biden, s’adressant aux journalistes lors d’un événement sur la compétitivité économique. À la question de savoir s’il y aura des conséquences, il a répondu : « Oui ».

    Miniature de la vidéo Youtube

    L’appel avec M. Poutine a souligné à quel point la menace des rançongiciels (ransomware) des gangs de pirates informatiques est devenue un défi urgent pour la sécurité nationale de la Maison Blanche, et a suggéré une possible concession de l’administration sur le fait que les avertissements précédents adressés au dirigeant russe n’ont pas réussi à freiner une activité criminelle qui a visé des entreprises dans le monde entier.

    Une déclaration de la Maison Blanche annonçant cet appel d’une heure a également mis en évidence un accord américano-russe qui permettra l’acheminement de l’aide humanitaire en Syrie. Les deux volets de l’ordre du jour montrent que, même si M. Biden s’engage à se montrer ferme à l’égard de la Russie en ce qui concerne le piratage informatique, il existe un désir inhérent d’éviter d’aggraver les tensions alors que le gouvernement cherche à ce que la Russie coopère, ou du moins n’interfère pas, avec les actions des États-Unis dans d’autres domaines, notamment la Syrie, le retrait d’Afghanistan et le changement climatique.

    Lors de son entretien avec M. Poutine, M. Biden a non seulement réitéré la nécessité pour la Russie de prendre des mesures et le fait que les États-Unis sont prêts à agir en conséquence, mais il a également « souligné qu’il était déterminé à poursuivre l’engagement sur la menace plus large que représente le ransomware », a déclaré la Maison Blanche.

    M. Biden a déclaré aux journalistes que les États-Unis et la Russie avaient « mis en place des moyens de communication réguliers afin de pouvoir communiquer entre eux lorsque chacun d’entre nous pense que quelque chose se passe dans un autre pays et affecte le pays d’origine. Et donc cela s’est bien passé. Je suis optimiste ».

    Dans son propre résumé de l’appel, le Kremlin a déclaré que « Poutine a noté que malgré la volonté de la partie russe de mettre fin conjointement aux activités criminelles dans la sphère de l’information, les agences américaines n’ont fait aucune demande au cours du mois dernier. »

    Le Kremlin a déclaré que les deux dirigeants ont souligné la nécessité d’une coopération en matière de cybersécurité, qui, selon lui, « doit être permanente, professionnelle et non politisée et doit être menée via des canaux de communication spéciaux … et dans le respect du droit international. »

    Le communiqué du Kremlin note également que Biden et Poutine ont abordé la situation en Syrie « en mettant particulièrement l’accent sur les aspects humanitaires » et « ont donné une évaluation positive de la coordination des efforts russes et américains sur la question, y compris au Conseil de sécurité de l’ONU. »

    La Maison Blanche n’a pas voulu discuter du ton de l’appel de M. Biden, bien que le porte-parole Jen Psaki ait déclaré qu’il s’était concentré de manière significative sur la dernière brèche, qui, selon les chercheurs en cybersécurité, a infecté des victimes dans au moins 17 pays, principalement par le biais d’entreprises qui gèrent à distance l’infrastructure informatique de plusieurs clients.

    Bien que M. Biden ait précédemment déclaré que l’attaque n’avait causé que des « dommages minimes » et qu’elle ne semblait pas viser des infrastructures vitales, son ampleur mondiale et le fait qu’elle se soit produite si peu de temps après la réunion de Genève ont immédiatement poussé l’administration à réagir.

    Les responsables n’ont pas annoncé immédiatement les mesures spécifiques qu’ils prenaient ou envisageaient de prendre. Il existe peu d’options faciles pour résoudre la menace sans risquer un conflit qui pourrait devenir incontrôlable au-delà du domaine de la cybersécurité.

    L’administration Biden a pris ses fonctions à la suite d’une vaste campagne de cyberespionnage connue sous le nom de SolarWinds, que les autorités américaines ont reliée à des agents du renseignement russe. Mais les attaques par ransomware, généralement perpétrées par des bandes de pirates informatiques criminels plutôt que par des pirates parrainés par l’État, semblent avoir éclipsé l’espionnage à l’ancienne en tant que menace puissante.

    En mai, une attaque contre un oléoduc qui fournit environ la moitié du carburant consommé sur la côte Est a entraîné l’arrêt temporaire des activités de la société. Colonial Pipeline a payé une rançon d’environ 4,4 millions de dollars, mais les autorités américaines ont pu récupérer une grande partie de cette somme lors d’une opération de répression le mois dernier.

    Les pirates informatiques ont récemment extorqué une rançon de 11 millions de dollars à JBS SA, le plus grand transformateur de viande au monde.

    Associated Press, 10/07/2021

    Etiquettes : Etats-Unis, Russie, Joe Biden, Vladimir Poutine, pirates, hackers, cybercriminalité,