🇩🇰 Le Danemark touché par la plus grande cyberattaque de son histoire

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🇩🇰 Le Danemark touché par la plus grande cyberattaque de son histoire,

Décode l’actu :

🇦🇺 Une vaste cyberattaque paralyse les ports maritimes Australiens,

🔥 Rançongiciels : ça chauffe dans tous les secteurs,

🔑 Les clés cryptographiques peuvent être volées passivement,

⛔ Le FBI démantèle le réseau mondial de logiciels malveillants IPStorm,

On t’explique tout ça plus bas.

Retrouve le mag :

📁 Qu'est-ce que MITRE ATT&CK ?

📑 Bilan annuel 2023 du NCSC britannique,

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

🇩🇰 Le Danemark touché par la plus grande cyberattaque de son histoire

Au printemps dernier, l'infrastructure énergétique du Danemark a été confrontée à une série d'attaques hautement sophistiquées, présumées orchestrées par des cyberespions liés au renseignement militaire russe. Cette révélation provient d'un rapport récent de SektorCERT, le centre de cybersécurité du Danemark pour les secteurs critiques. Il supervise près de 270 sondes de cybersécurité réparties dans les infrastructures critiques du pays.

L'analyse de SektorCERT a révélé qu'en mai 2023, les pirates avaient réussi à infiltrer les systèmes de 22 entreprises responsables de divers composants de l’infrastructure énergétique danoise. L'ampleur de l’incident était tel que, si les pirates avaient décidé de couper les systèmes énergétiques dont ils avaient pris le contrôle, plus de 100 000 citoyens danois auraient pu se retrouver sans électricité ni chauffage.

Par chance, la campagne de cyberattaques a été rapidement détectée et des actions ont immédiatement été prises pour corriger les vulnérabilités, préservant ainsi les clients des entreprises d’être touchés. En réponse à la menace, plusieurs entreprises ont également temporairement basculé en mode “îlot”, c’est à dire, fonctionnant hors réseau pour isoler leurs systèmes et contenir la propagation de l'attaque.

Le rapport a mis en évidence l'exploitation de vulnérabilités zero-day dans les pare-feu Zyxel, un équipement de protection courant pour les réseaux critiques danois. Ces attaques réussies ont été principalement rendues possibles par l'échec de plusieurs entreprises à mettre à jour leurs pare-feu. Certaines ayant renoncé en raison des coûts d'installation, d'autres supposant que les mises à jour les plus récentes étaient déjà incluses dans leurs pare-feu relativement neufs, et d’autres méconnaissant le rôle du fournisseur dans les mises à jour.

Un acteur étatique lié à la Russie probablement derrière l’attaque

La planification précise et bien informée de ces attaques qui semblaient se concentrer davantage sur la collecte de renseignements que sur la perturbation pure et simple, ainsi que la rareté de telles cyberattaques simultanées et réussies contre des infrastructures critiques, semble indiquer l'implication d'un acteur étatique selon SektorCERT,

Bien que le rapport s'abstienne d'accuser directement une entité particulière, il établit un lien avec le trafic provenant de serveurs associés à l’unité 74455, plus connue sous le nom de Sandworm et faisant partie du service de renseignement militaire GRU de Russie.

Ce collectif de pirates militaires parrainés par l’état Russe n’en est pas à son premier coup d’essai en matière de ciblage d’infrastructures critiques. Un rapport publié le 9 novembre par Mandiant, entreprise américaine de cybersécurité et filiale de Google, révèle comment Sandworm a notamment perturbé l'approvisionnement en électricité en Ukraine à la fin de l’année 2022.

La Russie est un adversaire nomément identifié par les services de renseignement du Danemark. Le PET indiquait dès la page 6 de son rapport annuel, paru au printemps 2023 “Les activités d'espionnage au Danemark effectuées par des États étrangers constituent une menace significative, multiforme et persistante pour le Danemark. La menace provient principalement de la Russie et de la Chine.”

〰️ En image 〰️

📁 Qu'est-ce que MITRE ATT&CK ?

〰️ Vos shots 〰️

🇦🇺 Une vaste cyberattaque paralyse les ports maritimes Australiens

Une cyberattaque majeure a ciblé le vendredi 10 novembre en fin de journée, les systèmes critiques utilisés pour coordonner les activités de transport maritime de l'un des plus grands opérateurs portuaires d'Australie, DP World. L’attaque a ainsi provoqué de graves perturbations et des congestions des activités dans plusieurs grands ports australiens.

DP World gère environ 40 % du commerce de conteneurs de l'Australie à travers des terminaux clés à Brisbane, Sydney, Melbourne et Fremantle. Suite à l’incident, l’opérateur a rapidement réagi pour contenir la brèche en déconnectant ses réseaux portuaires d'Internet et a pris des mesures pour maintenir les opérations, telle que le déchargement des conteneurs des navires. En revanche, le mouvement des camions entrants et sortants des terminaux a été arrêté par précaution.

Bien que l'identité et l’objectif des attaquants ne soient pas encore connus, le moment choisi (vendredi soir), l'ampleur et la sophistication de l'attaque suggèrent fortement un effort ciblé impliquant un acteur étatique étranger, visant à saper les intérêts économiques et de sécurité nationale de l'Australie.

Cet incident, qualifié d’ “incident d'importance nationale” par le coordinateur fédéral de la cybersécurité, Darren Goldie s’ajoute à une liste croissante de cyberattaques contre les infrastructures maritimes mondiales dont notamment, le port de Rotterdam, le plus grand port d’Europe en juin dernier ou encore le port de Lisbonne, victime il y a presqu’un an du rançongiciel LockBit.

Si le Danemark met la Russie en tête de liste de ses adversaires stratégiques, en matière de cybersécurité, l’Australie y place la Chine. Elle lui attribue particulièrement une cyberattaque de ses élections nationales en 2019.

🔥 Rançongiciels : ça chauffe dans tous les secteurs

La CISA met a jour ses informations sur le rançongiciel Royal

Ce lundi 13 novembre, Le FBI et la CISA ont émis une mise à jour de l'avis de cybersécurité “#StopRansomware : Royal Ransomware”, révélant des détails supplémentaires sur les tactiques et indicateurs associés aux variantes du rançongiciel Royal, identifiés par le FBI en juin 2023. Les attaques de ce rançongiciel ont notamment touché divers secteurs critiques tels que l'industrie manufacturière, les communications, la santé et l'éducation. La CISA recommande aux défenseurs des réseaux de consulter la mise à jour de cet avis de cybersécurité et de mettre en œuvre les mesures d'atténuation appropriées.

Boeing : LockBit met ses menaces à exécution

Le 27 octobre dernier, LockBit revendiquait une cyberattaque sur le géant de l’aérospatial Boeing et menaçait de rendre publiques une “énorme quantité de données sensibles” si Boeing n’entamait pas, avant le 2 novembre, des négociations pour le paiement de la rançon. L’entreprise ayant finalement refusé de payer la rançon, les pirates ont donc mis en oeuvre leurs menaces et ont publié cette semaine plus de 43 Go de données, principalement des sauvegardes de divers systèmes datant du 22 octobre.

La finance mondiale perturbée par une attaque rançongiciel sur ICBC

La branche américaine de la Banque industrielle et commerciale de Chine (ICBC) a été victime d'une cyberattaque par rançongiciel le 8 novembre dernier, perturbant les échanges mondiaux. Le groupe Lockbit est soupçonné d'être derrière l'attaque, qui a rendu indisponibles certains services financiers aux États-Unis, impactant notamment les opérations avec le Trésor américain. Des mesures de secours ont été déployées pour rediriger ces opérations vers d'autres marchés. Les autorités chinoises minimisent l'impact de l'attaque tout en ne révélant pas de détails sur le groupe de rançongiciel, mais des sources indiquent la possible implication du gang LockBit, habituellement associé à la Russie.

Le groupe de rançongiciel RansomedVC ferme ses portes

Le groupe de ransomware et d'extorsion de données RansomedVC a annoncé la cessation de ses activités, mettant en vente certaines parties de son infrastructure. Opérant sous le modèle “ransomware-as-a-service” (RaaS), le groupe a ciblé plus de 40 organisations, exigeant des rançons allant jusqu'à un million de dollars. Bien que principalement concentré sur des cibles en Europe, RansomedVC a revendiqué des attaques contre des entités telles que Sony et le conseil électoral du district de Columbia. Après avoir fermé ses sites de fuite en octobre, le groupe a mis en vente des actifs, dont des sites web, un générateur de rançongiciel, le code source du malware, et d'autres éléments. Aucune explication initiale n'a été donnée pour la cessation, mais un message du 8 novembre suggère des arrestations potentielles parmi les affiliés. Cette fermeture aura probablement un impact limité sur le paysage des rançongiciels, car les affiliés sont susceptibles de migrer vers d'autres opérations RaaS.

Le groupe de rançongiciel Cl0p délaisse MOVEit pour une autre vulnérabilité

Un affilié du groupe de rançongiciel Cl0p abandonne MOVEit pour exploiter une vulnérabilité zero-day dans SysAid, un fournisseur de services d'assistance informatique. Microsoft a révélé la faille CVE-2023-47246 le 8 novembre, indiquant que SysAid avait déjà publié un correctif. Le directeur technique de SysAid a précisé que la vulnérabilité a été signalée le 2 novembre, déclenchant une enquête et des actions correctives. SysAid n'a pas encore confirmé le nombre de victimes. L'équipe de renseignement sur les menaces de Microsoft soupçonne Lace Tempest, également connu sous le nom de DEV-0950, d’être l’acteur derrière l'exploit, le même groupe responsable des attaques MOVEit - qui ont touché au moins 2393 organisations et 84 millions de personnes.

🔑 Les clés cryptographiques peuvent être volées passivement

Des chercheurs de l’Université de Californie à San Diego ont découvert une vulnérabilité dans les clés cryptographiques utilisées pour les connexions SSH, largement employées pour l'accès sécurisé à distance aux serveurs dans des environnements d'entreprise sensibles à la sécurité.

Cette faille résulte d'erreurs de calcul naturelles lors de l'établissement d'une connexion, pouvant compromettre complètement les clés cryptographiques. L'étude menée sur sept ans a révélé que cette vulnérabilité affecte les clés basées sur l'algorithme RSA lors de la génération de signature dans les connexions client-serveur SSH. Sur 3,2 milliards de signatures SSH analysées, environ un milliard étaient des signatures RSA, dont environ une sur un million exposait la clé privée de l'hôte.

Un risque infiniment faible, mais néanmoins surprenant pour deux raisons. Parce que la plupart des logiciels SSH ont, depuis des années, mis en place des contre-mesures destinée à vérifier les erreurs de signature, et car jusqu’à aujourd’hui, les chercheurs pensaient que les défauts de signature n'affectaient que les clés RSA utilisées dans le protocole TLS.

Malgré près de 18 ans d'existence, de nouvelles façons d'exploiter les erreurs dans les protocoles cryptographiques continuent d'émerger, soulignant la nécessité de rester vigilant malgré le déploiement répandu du protocole SSH.

⛔ Le FBI démantèle le célèbre botnet IPStorm

Ce mardi 14 novembre, le FBI et le département de la justice américain ont révélé le démantèlement du réseau et de l'infrastructure du proxy de botnet associé au logiciel malveillant IPStorm.

Cette opération a été rendue possible suite à un accord conclu avec le pirate responsable de l’opération Sergei Makinin. Ce ressortissant russe et moldave a plaidé coupable en septembre dernier de trois chefs d'accusation de piratage informatique. Il est notamment accusé d’avoir activement participé au développement et déploiement du logiciel de juin 2019 à décembre 2022.

IPStorm, repéré pour la première fois en 2019, acheminait anonymement du trafic malveillant via 23 000 nœuds anonymisés et était proposé comme proxy d’anonymisation “as a Service” pour dissimuler les activités des cybercriminels qui l’utilisaient. IPStorm fonctionnait sur les systèmes d'exploitation Windows, Linux, Mac et Android.

Pour son enquête, le FBI à pu compter sur la collaboration d’agences en République dominicaine et en Espagne, ainsi que sur les informations d’entreprises de cybersécurité telles que Bitdefender. Cette dernière, qui publiait en octobre 2020 un livre blanc détaillé sur le botnet IPStorm, intitulé “Looking Into the Eye of the Interplanetary Storm” aurait joué un rôle crucial en fournissant des ressources et des renseignements utiles qui ont facilité l'identification du criminel par les autorités.

〰️ Dégustation 〰️

📑 Bilan annuel du NCSC 2023

Ce mardi 14 novembre, le Centre national de cybersécurité britannique (NCSC) à publié la 7ème édition de sa revue annuelle qui revient sur les principaux développements et faits marquants en matière de cybersécurité, intervenus entre le 1er septembre 2022 et le 31 août 2023.

10 points clés à retenir :

1. Intelligence artificielle et cybersécurité : L'émergence de l'IA, en particulier des modèles linguistiques volumineux comme ChatGPT, offre à la fois des opportunités et des défis en matière de cybersécurité. Le NCSC souligne l'importance que l'IA soit “sécurisée par conception” et la nécessité que les technologies d'IA reposent sur des bases sécurisées pour atténuer les vulnérabilités et les biais.

2. Infrastructure Nationale Critique (CNI) : Le NCSC met en lumière l'évolution des menaces cyber contre l'infrastructure nationale critique du Royaume-Uni, notamment en provenance de rançongiciels et d'acteurs étatiques. L'accent est mis sur le renforcement de la résilience cyber pour la CNI, soulignant la nécessité d'une approche globale de la cybersécurité impliquant l'ensemble de la société.

3. Russie - une menace cyber persistante : La revue détaille la menace cyber continue et aiguë posée par la Russie, incluant l'utilisation de rançongiciels, d'acteurs étatiques et de tentatives de manipulation des institutions démocratiques.

4. Talent et innovation en cybersécurité : Le NCSC aborde les initiatives visant à cultiver le talent et l'innovation en cybersécurité, y compris le programme CyberFirst, la collaboration avec les universités et le soutien aux startups. L'objectif est de construire une main-d'œuvre diversifiée, techniquement compétente, et une industrie de la cybersécurité tournée vers l'avenir.

5. Sécurisation de l'écosystème numérique : La revue souligne l'importance d'un écosystème de cybersécurité solide, notant la croissance du secteur de la cybersécurité au Royaume-Uni et la nécessité de professionnels qualifiés. Elle met également en avant le rôle du NCSC dans le développement de cet écosystème.

6. Augmentation des cyberattaques et gestion des incidents : une augmentation des cyberattaques signalées est observée, mettant l'accent sur la gestion des incidents et les systèmes d'alerte précoce. Le NCSC a reçu un nombre significatif de rapports et a émis des millions de notifications aux organisations concernant des activités potentiellement malveillantes.

7. Défendre la démocratie à l'ère numérique : Le NCSC souligne l'importance de protéger les processus démocratiques contre les menaces cyber. Cela inclut des efforts pour sécuriser les élections, contrer les ingérences étrangères et renforcer la résilience des institutions démocratiques.

8. Informatique quantique et semi-conducteurs : Le rapport aborde les technologies émergentes telles que l'informatique quantique et les semi-conducteurs, se concentrant sur leurs impacts potentiels sur la cybersécurité et l'importance du développement sécurisé.

9. Centre de Coordination Cyber Gouvernemental (GC3) : La création du GC3 est mentionnée comme une étape significative dans la coordination des efforts de cybersécurité dans le secteur public, améliorant le partage et la mise en œuvre des données et renseignements sur les menaces cyber.

10. Initiatives de défense cyber active (ACD) : Le NCSC discute du succès et des projets futurs pour les initiatives ACD, visant à réduire le nombre d'attaques non sophistiquées touchant les personnes et les organisations au Royaume-Uni. L'accent est mis sur le développement de services numériques "radicalement simples" pour améliorer la cyber résilience du Royaume-Uni.

〰️ À La carte 〰️

🎣 Phishing - BulletProftLink, un important service de "phishing-as-a-service" (PhaaS) opérant depuis des années, a été démantelé le 8 novembre dans le cadre d'une coopération internationale entre les autorités malaysiennes, australiennes et américaines. L’opération a conduit à l’arrestation de 8 suspects ainsi qu’à la saisie, de serveurs, d’ordinateurs et de portefeuilles de cryptomonnaie.

🇦🇺 🇺🇸 Ressource - Ce lundi 13 novembre, le centre australien de cybersécurité de la direction des transmissions (Australian Signals Directorate's Australian Cyber Security Centre) et la CISA ont publié “Business Continuity in a Box”, une initiative destinée à aider les organisations à restaurer rapidement et en toute sécurité les fonctions critiques de l'entreprise après un incident de cybersécurité, en mettant l'accent sur le maintien des communications et la mise en place d’applications provisoires dans le cloud public.

🔒 Sécurité - La CISA a demandé le 13 novembre, aux agences et organisations fédérales de mettre en œuvre des mesures d'atténuation de la sécurité contre plusieurs vulnérabilités de Juniper Junos OS d'ici le 17 novembre 2023. L'agence a récemment inclus 5 de ces vulnérabilités dans le catalogue des vulnérabilités exploitées connues, indiquant des preuves d'exploitation active.

⚖️ Procès - Intel fait l'objet d'une action collective en justice concernant sa gestion des vulnérabilités liées à l'exécution spéculative, notamment la méthode d'attaque Downfall récemment révélée. Les plaignants, représentés par le cabinet de contentieux Bathaee Dunne, ont déposé cette semaine une plainte de 112 pages.

🚨 Alerte - Les attaques de malware de type “Wiper” (qui efface les données) se multiplient en Israël, dont des variantes de la famille de logiciels malveillants BiBi, capables de cibler à la fois les systèmes Linux et Windows. Le CERT israélien a publié une alerte, offrant des lignes directrices aux organisations pour détecter et prévenir ces attaques.

🇪🇺 🇺🇦 Accord - L'UE et l'Ukraine ont renforcé leur collaboration en matière de cybersécurité par un accord officiel qui met l'accent sur le partage d'informations et le renforcement des capacités. Cet accord fait suite aux discussions du dialogue UE-Ukraine sur la cybersécurité et implique l'ENISA agence européenne de cybersécurité, et le NCCC et le SSSCIP côté ukrainien.

🇦🇺 Obligation - Selon un rapport publié ce lundi 13 novembre par The Australian, la stratégie nationale de cybersécurité australienne, qui doit être dévoilée ce mois-ci, comportera un système obligatoire de déclaration des cyberattaques par rançongiciel par les entreprises locales. Cette mesure doit répondre à l'importante perte économique de 2,59 milliards de dollars causée par la cybercriminalité en 2021.

〰️ Digestif 〰️

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”