L’actualité cyber sécurité de la semaine dernière (9 au 15 octobre 2017)

de | 15 octobre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : l’armée australienne se fait dérober des informations sur son programme militaire. Le système ferroviaire suédois perturbé par une attaque informatique. La chaîne d’hôtels Hyatt victime d’une nouvelle fuite de données de cartes bancaires de ses clients. DoubleLocker, le ransonware qui verrouille et chiffre votre mobile Android. Et de deux pour Equifax qui diffuse un adware via son site web, non sans conséquence sur son business. Je ne reviendrai pas sur les données des clients du service acp d’Accenture disponibles dans une Bucket S3 accessible publiquement ! 


L’agence australienne de cyber sécurité, Australian Signals Directorate (ASD), a annoncé que 30 Go de données sensibles ont été exfiltrés suite à la compromission d’un système d’information d’un sous-traitant de l’armée australienne. Les données exfiltrées contenaient des informations sur de nombreux programmes militaires australiens dont : les deux avions militaires : le patrouilleur maritime et chasseur de sous-marin Boeing P-8 et l’avion de combat Lockheed Martin F-35 ainsi que des plans de nouveaux navires de la marine australienne.

L’attaquant, surnommé “Alf” par l’ASD, a utilisé un web shell qui a été installé sur un serveur, d’un sous-traitant de l’armée australienne, accessible depuis Internet. L’installation a été possible, car le serveur n’avait pas été “suffisamment” sécurisé : les mots de passe par défaut du compte admin et guest n’ont pas été modifiés. Cet outil est utilisé par des groupes de cyber criminels Chinois… depuis 2012.


Les autorités suédoises de transport ont subi deux attaques de déni de service distribué -DDoS- qui a fortement perturbé l’activité ferroviaire en Suède. Le premier DDoS a eu lieu le 11 octobre contre les deux opérateurs Internet de l’agence suédoise de transport (Trafikverket). L’attaque a eu comme conséquence, une interruption du système de trafic ferroviaire. Un arrêt du trafic a été ordonné sur une grande partie du réseau ferroviaire suédois pendant plusieurs heures le temps de laisser passer l’attaque.

Une seconde attaque a eu lieu le lendemain : un déni de service distribué a visé les sites de l’agence suédoise des transports. Les outils de planification et de réservation des voyages étaient indisponibles pendant plusieurs heures.


Après la fuite, en 2015, des données de cartes bancaires dans 250 hôtels réparties dans 50 pays, la chaîne d’hôtels Hyatt a annoncé qu’une nouvelle fuite de ce type de données a eu lieu entre le 18 mars 2017 et le 2 juillet 2017 dans 13 pays. La fuite concerne les données de cartes bancaires traitées par les terminaux de paiement ou saisies manuellement dans les réceptions des hôtels.

Dans un communiqué, le président du groupe indique qu’une enquête est en cours et fournit un lien vers un site qui liste les hôtels victimes de la fuite.

  • Sources :

L’éditeur d’antivirus ESET a identifié un nouveau ransomware basé sur le trojan bancaire Android.BankBot.211.origin et désigné par Android/DoubleLocker. Le ransonware réalise deux actions, d’où le nom, malicieuses sur le terminal compromis :

  1. Changement du code PIN du terminal afin de ne pas permettre son déverrouillage ;
  2. Le chiffrement des données du terminal.

La fourniture du nouveau PIN et la clé de déchiffrement des données est conditionnée par le paiement de 50$ en équivalent Bitcoin.

Le ransonware utilise le même mode de propagation et de lancement que le trojan bancaire Android.BankBot.211.origin :

  • Il s’installe à partir de faux Adobe Flash Player déployés sur des sites compromis ;
  • Il utilise le service d’accessibilité pour se lancer, service auquel il a demandé à accéder préalablement.

 


Equifax n’ont fini pas avec les incidents de sécurité, après la fuite de données personnelles de 145 millions de consommateurs américains en juillet, c’est au tour de son site web de participer à la propagation d’un adware qui affiche des publicités dans Internet explorer. Lors de l’accès au site d’Equifax, l’internaute est redirigé vers un site malveillant qui lui demande de mettre à jour son lecteur flash player, mise à jour qui installe l’adware Adware.Eorezo. Equifax ne précise pas comment le code qui redirige l’internaute a été intégré à son site.

Par ailleurs, l’agence américaine, en charge de la collecte des impôts et des taxes, de suspendre son contrat avec Equifax pour la vérification des identités des contribuables américains… contrat signé le 30 septembre dernier pour un montant de 7.25 millions de dollars !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *