• Shakerz
  • Posts
  • 🇨🇳 Chine : l’ennemi numéro 1 en matière de cyberespionnage

🇨🇳 Chine : l’ennemi numéro 1 en matière de cyberespionnage

Shake 〰️ 28 octobre 2023

October 28, 2023

Salut 👋, voici ton digest de la cyber pour cette semaine.

À la une :

🇨🇳 Chine : l’ennemi public numéro un en matière de cyberespionnage,

Décode l’actu :

🇪🇸 Espagne : 34 cybercriminels arrêtés pour le vol des données de 4 millions de personnes,

⛈️ Okta de nouveau victime d’une violation de données,

⛔ Coup de filet contre le ransomware Ragnar Locker,

🇺🇸 Les États-Unis saisissent des sites web Nord-Coréens illicites,

🌪 Cisco confronté à deux vulnérabilités Zero-Day activement exploitées,

🇺🇸 😵‍💫 41 États attaquent Meta, alléguant qu'Instagram et Facebook nuisent aux enfants,

On t’explique tout ça plus bas.

Retrouve le mag :

🎣 Les grands thèmes de phishing en 2023,

📈 22% des attaques de phishing ont utilisé des QR codes en octobre,

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

🇨🇳 Chine : l’ennemi public numéro 1 en matière de cyberespionnage

Les directeurs du contre-espionnage des Five Eyes font front commun contre la Chine

C’est historique. Le 22 octobre, dans le cadre d’une émission TV sur CBS News, les directeurs du contre-espionnage des Five Eyes, une alliance des services de renseignement de l'Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis créée après la Seconde Guerre mondiale pour recueillir des renseignements, se sont réunis pour la première fois autour d’une table pour nous mettre en garde contre la menace du cyberespionnage opéré par la chine.

Mike Burgess (Australie), David Vigneault (Canada), Ken McCallum (Royaume-Uni), Andrew Hampton (Nouvelle-Zélande) et Chris Wray (États-Unis) ont donc fait leur tout première apparition publique ensemble à Palo Alto, en Californie, dans la Silicon Valley, un lieu hautement symbolique pour dénoncer les menaces pesant sur les avancées technologiques majeures en intelligence artificielle, biologie et informatique, en raison de vols systématiques perpétrés dans le cadre d'une campagne d'espionnage mondiale orchestrée par la Chine.

“L'ampleur du vol est sans précédent dans l'histoire de l'humanité” déclare Mike Burgess. Un type d’espionnage qui va bien au delà de l’espionnage traditionnel pratiqué par tous les pays.

Secrets gouvernementaux ou militaires, infrastructures critiques, recherches universitaires, startups prometteuses, propriété intellectuelle, secrets commerciaux, données personnelles, agriculture, biotechnologie, soins de santé, robotique, aviation, quasiment tous les sujets et secteurs sont concernés. Chris Wray précise qu’il y a environ 2 000 enquêtes actives liées au vol d’informations par le gouvernement chinois.

Suite à ces déclarations virulentes des Fives Eyes à son encontre, la Chine a pour sa part, et sans surprise, déclaré Nous nous opposons fermement aux allégations infondées et aux calomnies à l'encontre de la Chine...”. On a connu de meilleures défenses.

De 2004 à 2019 environ, la Russie était considérée comme la cybermenace suprême. Mais les temps changent et de nombreux experts s’accordent à dire que la Chine occupe aujourd’hui cette place et de loin.

À l’occasion du Google Public Sector Forum ayant eu lieu le 17 octobre dernier à Washington, Kevin Mandia, l’un des experts les plus reconnus au monde en matière de cybersécurité et PDG de Mandiant, filiale de Google spécialisée dans le renseignement des cybermenaces et la réponse aux incidents, s’est exprimé sur la Chine et ses capacités en matière de cyberespionnage.

Selon Mandia, les pirates informatiques Chinois ont pris la place du service de renseignement russe SVR en tant que chef de file dans le cyberespace offensif. La sophistication et l’intensification croissante des ses cyber opérations, ses innovations “en première ligne” et sa désinformation font de la Chine l'une des principales menaces dans le cyberespace.

De plus, le Secrétaire à la Sécurité intérieure des États-Unis, Alejandro Mayorkas, a récemment averti les leaders des pays d’Amérique latine que les investissements chinois dans les nouvelles technologies, notamment la 5G, pourraient être utilisés par des pirates informatiques chinois dans des opérations.

Ces derniers mois en témoignent …

L’année passée a été marquée particulièrement par plusieurs évènements dans lesquels l’implication de la chine a été démontré.

Entres autres, des pirates informatiques chinois ont déployé deux vulnérabilités Zero-Day pour cibler un fournisseur de pare-feu dans une opération visant des entreprises de défense américaines, devenant ainsi les auteurs de l'une des cyberattaques les plus coûteuses de l'année, selon Mandiant.

Les services de renseignement américains ont également signalé une opération chinoise visant l'infrastructure de l’île de Guam dans le Pacifique, tandis que Microsoft a récemment été mis a mal par le vol d'une clé de signature utilisée par des opérateurs chinois pour espionner des e-mails de hauts fonctionnaires américains.

〰️ En image 〰️

🎣 Les grands thèmes de phishing en 2023

Dans son second rapport de l’année sur les tendances de phishing, Egress, une entreprise de sécurité e-mails basée au Royaume-Uni, dresse le tableau des thématiques de phishing les utilisées dans des attaques de phishing cette année. Les données sont issues d'Egress Defend, une solution intégrée de sécurité des emails dans le cloud.

〰️ Vos shots 〰️

🇪🇸 Espagne : 34 cybercriminels arrêtés pour avoir volé les données de 4 millions de personnes

Après bientôt un an d’enquête, la Police Nationale espagnole a démantelé le 21 octobre, un réseau criminel spécialisé dans les escroqueries informatiques, disposant de données sur plus de 4 millions de personnes.

34 membres du groupe ont été arrêtés et 16 perquisitions ont été effectuées dans plusieurs villes espagnoles. Les saisies comprennent entre autres, des armes à feu factices, de l’argent en espèces, des véhicules haut de gamme et une base de données contenant des informations croisées sur quatre millions de personnes.

Le groupe est accusé d’avoir commis des fraudes pour un montant proche de trois millions d’euros, en utilisant diverses méthodes d’escroquerie telles que le smishing, le phishing et le vishing. Les dirigeants du réseau utilisaient également de faux documents et des techniques de spoofing pour dissimuler leur identité et investissaient leurs gains en crypto-actifs.

Les principaux dirigeants du réseau sont actuellement en détention provisoire et l’enquête se poursuit pour identifier d’autres auteurs et victimes.

⛈️ Okta de nouveau victime d’une violation de données

Vendredi dernier, les actions d’Okta Inc., une entreprise de gestion des identités et des accès, ont connu une baisse significative de 12% suite à la révélation d’une nouvelle violation de données.

Selon la déclaration officielle d’Okta, l’incident a été causé par une “activité malveillante qui s'est appuyée sur l'accès à des informations d'identification volées pour accéder au système de gestion des cas d'assistance d'Okta”. Bien que le service de production Okta et le système de gestion des cas Auth0/CIC n’aient pas été touchés, l’incident a suscité des inquiétudes parmi les clients et a révélé des informations alarmantes concernant la gestion de l’incident par Okta.

Parmi les clients concernés, BeyondTrust Corp a exprimé sa frustration face à la lenteur de la réponse d’Okta, qui a pris plus d’une semaine à répondre au signalement de l’entreprise, d’une attaque sur un compte administrateur interne. De plus, Cloudflare Inc. dont les systèmes ont également été ciblés par des attaques permises par Okta, a manifesté son mécontentement pour les mêmes raisons que BeyondTrust Corp.

Ces incidents soulèvent une nouvelle fois sur la prise en compte des questions de sécurité chez Okta, qui a déjà été victime de plusieurs violations de données par le passé.

⛔ Coup de filet contre le ransomware Ragnar Locker

Entre le 16 et 20 octobre, une opération internationale coordonnée par les autorités policières et judiciaires de 11 pays, a réussi à infliger un sérieux revers à l’un des groupes cybercriminels les plus dangereux : Ragnar Locker.

L’opération internationale menée par Europol et Eurojust a conduit à l’interpellation de plusieurs suspects dont la “cible principale” soupçonnée d'être un développeur du groupe, le 16 octobre à Paris. Son domicile en république tchèque a également été perquisitionné. Mais ce n’est pas tout, les autorités néerlandaises, allemandes et suédoises ont conjointement saisi l'infrastructure du ransomware, et le site web Tor utilisé pour la fuite de données a été supprimé en Suède.

Le groupe Ragnar Locker, actif depuis décembre 2019, est connu pour avoir mener de nombreuses attaques très médiatisées contre des infrastructures critiques dans le monde entier. Notamment contre le géant du transport maritime français CMA-CGM en septembre 2020 ou plus récemment, en août 2022, contre le plus grand opérateur grec de transport de gaz naturel DESFA.

Cette opération vient couronner de succès plusieurs années d’enquêtes et démontre une nouvelle fois que la coopération internationale est la clé dans la lutte contre les groupes de rançongiciels.

🇺🇸 Les États-Unis saisissent des sites web Nord-Coréens liés à des activités illicites

Le 17 octobre, les États-Unis ont saisi 17 sites internet, soupçonnés d’être utilisés par des informaticiens nord-coréens pour escroquer des entreprises et financer les programmes d’armement du régime Nord-Coréen.

Ces informaticiens Nord-Coréens ont conçu ces 17 sites internet pour qu’ils apparaissent comme des domaines de sociétés de services informatiques légitimes basées aux États-Unis. Cette couverture leur permet de dissimuler leur véritable identité et leur localisation lorsqu’ils postulent pour effectuer du travail à distance auprès d’entreprises américaines et étrangères. Les revenus ainsi générés par ces emplois sont ensuite renvoyés vers la Corée du Nord via des services de paiement en ligne et des comptes bancaires chinois.

Ce phénomène n’est pas nouveau. Depuis des années et pour contourner les sanctions, la Corée du nord inonde le marché mondial de travailleurs informatiques qualifiés, principalement en Chine et en Russie, dans le but de les faire engager en tant que travailleurs indépendants et financer indirectement le programme de missiles balistiques du régime. En conséquence, le FBI recommande aux employeurs de redoubler de vigilance concernant l’embauche de travailleurs informatiques à distance.

🌪 Cisco confronté à deux vulnérabilités Zero-Day activement exploitées

Il y a quelques jours, le géant des réseaux Cisco signalait la découverte de deux vulnérabilités Zero-Day activement exploitées dans ses appareils IOS XE (physiques et virtuels).

La première vulnérabilité répertoriée sous le nom CVE-2023-20198 est particulièrement critique (CVSS 10). Identifiée dans la fonction d'interface utilisateur Web (Web UI) du logiciel Cisco IOS XE dont la fonction de serveur HTTP ou HTTPS est activée, elle permet à un attaquant d'obtenir des privilèges élevés. Plus de 40 000 appareils IOS XE, dont entre autres, des commutateurs d'entreprise, des routeurs industriels, et des contrôleurs sans fil, auraient été compromis par cette vulnérabilité. Toutefois, aucun chiffre officiel n’a été communiqué pour le moment.

Révélée quelque jours plus tard, la seconde vulnérabilité nommée CVE-2023-20273, moins grave (CVSS 7,2), qui touche un autre composant de la fonction d’interface utilisateur web, autoriserait quant à elle, des activités malveillantes supplémentaires et pourrait être enchainée avec la vulnérabilité précédente pour injecter et exécuter des commandes malveillantes (ou implanter des logiciels malveillants).

Après plusieurs jours de flottement, Cisco a finalement publié des mises à jour le 22 octobre pour corriger ces deux vulnérabilités. Elles sont désormais disponibles via le centre de téléchargement de logiciels de Cisco. 

😵‍💫 41 États attaquent Meta, alléguant qu'Instagram et Facebook nuisent aux enfants

Meta, l'entreprise à l'origine d'Instagram et de Facebook, fait l'objet d'une action en justice collective de la part de 41 États américains et du district de Columbia. Ils affirment que ces plateformes de médias sociaux créent une dépendance et nuisent au bien-être mental des enfants. Cette action en justice représente l'effort le plus important des autorités étatiques pour faire face à l'impact des médias sociaux sur les jeunes.

La plainte fédérale, qui s'étend sur 233 pages, accuse Meta d'avoir mis en place un “système d'exploitation des jeunes utilisateurs à des fins lucratives”. Elle affirme que l'entreprise a trompé les jeunes utilisateurs sur les dispositifs de sécurité, les a exposés à des contenus préjudiciables, a collecté leurs données et a violé les lois fédérales sur la protection de la vie privée des enfants. Les représentants des États affirment que Meta a intentionnellement apporté des modifications à ses plateformes pour maintenir l'intérêt des enfants, en donnant la priorité à l'engagement des utilisateurs plutôt qu'à la sécurité, ce qui constitue une violation des lois sur la protection des consommateurs.

L'action en justice a pris de l'ampleur à la suite d'un rapport publié en 2021 par le Wall Street Journal, qui incluait des recherches internes ayant fait l'objet d'une fuite et montrant qu'Instagram avait des effets négatifs sur l'image corporelle et l'estime de soi de certaines adolescentes. Meta a exprimé sa déception face à cette action en justice, soulignant la nécessité d'une collaboration pour établir des normes adaptées à l'âge des utilisateurs d'applications destinées aux adolescents.

〰️ Dégustation 〰️

📈 22% des attaques de phishing ont utilisé des QR codes en octobre

Hoxhunt Challenge est une initiative phare visant à évaluer l'ampleur du risque humain en matière de cybersécurité dans les plus grands secteurs d'activité du monde. Lancé en septembre et rendu public pour le mois de la sensibilisation à la cybersécurité (octobre), ce test a été mené par la société Hoxhunt en partenariat avec son réseau mondial de clients.

Cette analyse a été menée auprès de 38 organisations représentant neuf secteurs d'activité différents et couvrant 125 pays. Au total, cet ensemble de données comprenait près de 600 000 employés occupant différents postes et niveaux d'ancienneté.

À retenir : Principale tendance inquiétante : les attaques par hameçonnage par des QR codes.

Bien que de nombreux internautes soient conscients des dangers qu'il y a à cliquer sur des liens ou des fichiers suspects, seul un petit nombre d'entre eux reconnaissent que les QR codes peuvent également véhiculer des contenus tout aussi nuisibles.

Cet aspect a été exploité lors de la création de la simulation. L'équipe de Hoxhunt ont diffusé des QR codes authentiques qui, une fois scannés, conduisaient le participant vers un “site web malveillant”.

INDUSTRIES

  • Le secteur du commerce a affiché le taux d'échec le plus élevé, avec seulement 2 employés et organisations sur 10 s'engageant activement dans le benchmark.

  • Les organisations du secteur des services juridiques et des services aux entreprises ont obtenu des résultats positifs. Cela peut être attribué à leurs interactions directes avec les clients ou au rôle central joué par les équipes des ressources humaines et de la sécurité dans leurs opérations.

RÔLE DES COLLABORATEURS

  • La découverte la plus frappante de l'analyse des fonctions est le manque apparent de préparation du personnel de communication lorsqu'il s'agit de reconnaître et de répondre à des attaques potentielles de phishing. Ils ont activé le QR code 1,6 fois plus souvent que les employés de toute autre catégorie professionnelle.

  • À l'inverse, les employés ayant des responsabilités juridiques ont montré l'exemple en affichant le facteur d'engagement moyen le plus faible, à savoir 0,4.

  • Les profils commerciaux, quant à eux, ont été les moins enclins à réagir à une attaque potentielle, 32 % des destinataires du test n'ayant pas agi en utilisant le bouton Hox.

L'ATTITUDE DES EMPLOYÉS

  • Les observations faites au cours de l'épreuve ont révélé un lien évident entre le niveau d'engagement des employés et leur degré de préparation aux menaces de cybersécurité.

  • Les personnes qui ne s'impliquaient pas activement dans leur rôle et dans l'organisation ont affiché un taux d'échec élevé de 90 %, ne parvenant pas à identifier correctement les courriels d'hameçonnage dans 9 cas sur 10.

  • À l'inverse, les employés très impliqués dans leur travail ont affiché un taux d'échec nettement inférieur, de 40 % seulement.

  • Les nouveaux collaborateurs qui ont suivi un processus d'intégration complet, y compris une formation préalable, ont fait preuve d'un niveau de vigilance nettement plus élevé dans l'identification des e-mails de phishing que ceux qui n'ont pas bénéficié d'une telle formation.

  • Les employés actifs sont environ 14 fois plus vigilants que ceux qui ne le sont pas. Les personnes qui s'intéressent de près aux affaires quotidiennes de leur organisation sont tout simplement plus attentives à ce qui arrive dans leur boîte de réception.

  • Les employés chevronnés étaient trois fois plus susceptibles de signaler un QR code suspect que les nouveaux arrivants.

〰️ À La carte 〰️

🇻🇳 Spyware - La société de cybersécurité WithSecure (Finlande) a identifié un acteur menaçant, lié à des groupes cybercriminels vietnamiens, qui utilise des posts LinkedIn et des messages directs trompeurs pour annoncer un faux emploi chez Corsair afin d'inciter les gens à télécharger des logiciels malveillants voleurs de données.

🔒 Vie privée - Google se prépare à tester une nouvelle fonction de protection d’IP visant à améliorer la vie privée des utilisateurs en dissimulant leur adresse IP. La fonction “IP protection” proposée acheminera le trafic de tiers provenant de domaines spécifiques via des proxys, rendant les adresses IP des utilisateurs invisibles pour ces domaines

🇪🇺 Menaces liées aux élections - L'Agence de cybersécurité de l'Union européenne (ENISA) a identifié les chatbots et la manipulation d'informations par l'IA comme des menaces importantes à l'approche des élections de 2024 en Europe. Dans un rapport, l'ENISA a documenté environ 220 incidents qui ont ciblé plusieurs États membres de l'UE.

🚓 Espionnage - Un ancien employé de la NSA Jareh Sebastian Dalke, âgé de 31 ans, a plaidé coupable de six chefs d'accusation pour avoir tenté de transmettre des informations classifiées à un agent de la Fédération de Russie. Dalke avait exigé 85 000 dollars pour les documents en sa possession.

📁 Divulgation de données - Un pirate, sous le pseudonyme de “Golem”, a menacé de vendre les données génétiques de 14 millions d'individus. Les informations personnelles de plus de 4 millions d'utilisateurs de la plateforme d'analyse ADN 23andMe ont dores et déjà été publiées sur BreachForums.

📖 Mise à jour du guide - La CISA, la NSA, le FBI et MS-ISAC ont publié le 19 octobre une mise à jour du guide #StopRansomware. Ce guide de référence vise à aider les organisations à réduire les risques associés aux incidents de ransomware, en offrant des conseils sur la détection, la prévention, la réponse et la récupération.

🇮🇷 Menace - Le groupe de menace "MuddyWater" ou "APT34", parrainé par l'État iranien, a mené une campagne d'espionnage de huit mois contre un gouvernement du Moyen-Orient dont l'identité n'a pas été révélée. Ils ont déployé six outils de piratage, volé des mots de passe et des fichiers, et ont réussi à échapper à la détection pendant la majeure partie de la campagne.

💻 Systémique - Des chercheurs de Salt Labs, spécialiste de la sécurité des API, ont identifié de graves vulnérabilités dans la manière dont la norme OAuth est appliquée à des services en ligne largement utilisés, tels que Grammarly, Vidio et Bukalapak. Cela expose des millions d'utilisateurs à des risques potentiels de vol de leurs identifiants et d'escroquerie.

🇺🇦 Hack Back - Arroseur arrosé : un groupe de cyberactivistes de l'Ukrainian Cyber Alliance (UCA) a réussi à pirater les serveurs du gang du ransomware Trigona et à effacer leurs données après avoir exfiltré toutes les informations disponibles.

⚖️ Espionnage - Le 20 octobre, la Cour pénale internationale (CPI) a reconnu que la cyberattaque sans précédent dont elle a été victime il y a 5 semaines était un cas “d’espionnage sophistiqué”, qui représente un risque important pour le mandat de la Cour. L'identité du responsable est encore inconnue et une enquête criminelle est en cours.

〰️ Digestif 〰️

🕵 Dans la peau d’un chercheur de “bug bounty”

Saurez-vous retrouver les 7 différences entre ces deux logos du groupe de pirates russe Fancy Bear (APT28) ?

L’ANSSI vient juste de publier un rapport détaillant les tactiques, techniques et procédures caractéristiques de ce groupe depuis 2021.

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”

Reply

or to participate.