L’actualité cyber sécurité de la semaine dernière (23 au 29 octobre 2017)

de | 29 octobre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : Le système VSAT de SATCOM est vulnérable, exposant les navires à des attaques depuis Internet. Le retour d’APT28 et BlackOasis APT qui exploitent une faille Adobe Flash Player avec la mise à disposition d’un patch. APT 28 n’a pas chaumé puisque le groupe s’est attaqué à des experts en cyber sécurité. Il n’y a plus d’éthique entre hackers : le site d’échanges entre hackers Basetools.ws victime d’un chantage pour récupérer ses données.

Dans la partie outil :  Audit complet des usages dans AWS. Automatisation de la recherche de vulnérabilités dans les applications web. Détection d’attaques basée sur les logs générés par Linux iptables, ip6tables ou firewalld.


Plusieurs vulnérabilités ont été identifiées dans la solution AmosConnect 8 qui permet au membre de l’équipage d’un navire et les invités de se connecter, après authentification, à Internet lors de leur voyage. AmosConnect propose un accès à travers le réseau de satellites SATCOM. Les vulnérabilités permettent à une personne malveillante de prendre le contrôle du serveur et ainsi d’accéder à l’ensemble des ressources connectés du navire.

Un facteur aggravant est à considérer pour ces vulnérabilités : le BOYD,  Bring-Your-Own-Device est largement utilisé dans les navires du fait de la rotation permanente des équipages entre chaque port… équipage, à qui un accès Internet de confort est proposé dans le navire.

L’impact des vulnérabilités peut être différent en fonction des navires : dans les navires de nouvelles génération, les réseaux informatiques, les systèmes industriels, les systèmes de navigation et SATCOM sont séparés réduisant ainsi l’impact de ces vulnérabilités. Se pose donc la question des navires anciennes générations.

Affaire à suivre.


La société de cyber sécurité Proofpoint a détecté un fichier Microsoft Word contenant un charge qui exploite la dernière vulnérabilité Adobe Flash (CVE-2017-11292) non corrigée, ce type d’exploitation étant désigné par Zero Day attack. La campagne de phishing qui propage ce fichier est attribuée d’un côté à APT28, aka Pawn Storm, Fancy Bear, Sofacy, Group 74, Sednit, Tsar Team et Strontium, par Proofpoint et de l’autre au groupe BlackOasis APT par Kaspersky.

La mise à jour étant disponible, il est urgent que l’ensemble des particuliers et des organisations mettent à jour leur installation d’Adobe Flash… dans l’attente de la fin d’Adobe Flash en 2020 !


Le groupe APT28, encore lui, ont lancé une campagne de spearphing (phishing ciblé) contre des experts en cyber sécurité qui se rendront à la conférence « Cyber Conflict U.S. conference » qui se déroulera dans 8 jours. Cette conférence regroupe des experts venant de différents instituts spécialisés dans les conflits numériques :  Army Cyber Institute de l’armée des Etats Unis,  NATO Cooperative Cyber Military Academy et le NATO Cooperative Cyber Defence Centre of Excellence.

La campagne consistait à transmettre un fichier Microsoft Word contenant un script VBA malicieux, aucune charge de type Zero Day cf. point précédent, bizarre ou un problème de planning !


Le site Basetools.ws qui permettait l’échanges, entre pirates informatiques d’outils, de numéros de carte bancaire, etc. a été piraté. Les données du site ont été exfiltrées : la personne qui a piraté le site demande un rançon de 50 000 € pour la restitution des données et surtout la non-divulgation aux autorités fédérales américaines (FBI, DHS et département de justice) les données sur les pirates enregistrés sur le site… pas cool !

A suivre car pour le moment le site est hors-ligne.


Les outils :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *