⛑️ Le gang Russe Killnet a-t-il perturbé les opérations de sauvetage de l’OTAN en Turquie ?

Salut les Shakerz 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. À la une : le gang Russe Killnet aurait perturbé les opérations de sauvetage de l’OTAN en Turquie.

On te décode l’actu :

🇮🇷 En Iran, la télévision nationale hackée en plein discours de la Révolution,

🧊 Les États-Unis et le Royaume-Uni frappent fort contre TrickBot,

🏅 Nouveau record du nombre de requêtes par seconde dans une attaque DDoS,

🤕 Les données sur la santé mentale des américains sont bien trop facilement accessibles,

On t’explique tout ça plus bas.

Retrouve le mag :

❤️ Les escroqueries sentimentales, comment les détecter et s’en protéger ?

⚡ Les menaces qui pèsent sur la France selon le dernier rapport d’Avast,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

⛑️ Killnet a perturbé les opérations de sauvetage de l’OTAN en Turquie. Beaucoup de bruit pour rien ?

La presse britannique a sorti des infos

Selon les informations du Daily Telegraph, un groupe de cybercriminels connu sous le nom de Killnet aurait entravé l’aide aux victimes du tremblement de terre en Turquie et en Syrie, qui a fait au moins 40 000 morts.

Un responsable de l’OTAN a confirmé que l’organisation avait été victime de cyberattaques par déni de service distribué (DDoS) entrainant des problèmes de communication entre l’OTAN et ses avions militaires mobilisés pour venir en aide aux victimes. Ces avions sont actuellement utilisés pour transporter du matériel de recherche et de sauvetage dans la région frappée par le tremblement de terre.

Les cyberattaques auraient touché le site web du quartier général des opérations spéciales de l'OTAN basé en Belgique, et l’aurait rendu indisponible pendant plusieurs heures avant d’être rétabli. La capacité de transport aérien stratégique (SAC) aurait également été attaquée. Le SAC est une initiative destinée à doter les pays membres et les pays partenaires de l'OTAN de moyens de transport longs-courriers tels que des Boeing C-17.

À propos de Killnet

À la différence d’organisations cybercriminelles hautement qualifiées travaillant avec les services de renseignement russe tels que Fancy Bear et Sandworm, Killnet ressemble davantage à un collectif de nationalistes russes guidés par leurs émotions, généralement la vengeance, et travaillant avec des outils et tactiques rudimentaires.

Apparu pour la première fois en janvier comme fournisseur de services de piratage cybercriminel, le collectif de pirates s’est très rapidement montré virulent dans son soutien à l'offensive russe en Ukraine, et se sont très rapidement fait un nom en lançant des attaques par déni de service distribué (DDoS), leur spécialité.

Selon Stefan Soesanto, chercheur du Centre d'études de sécurité de l'ETH Zurich, “l'objectif de Killnet est de faire payer aux Européens leur soutien sans équivoque à l'Ukraine et de punir les gouvernements occidentaux pour leur sentiment anti-russe”.

L'une des attaques les plus médiatisées de Killnet a eu lieu en mai contre le concours de l'Eurovision organisé en Italie, pour le compte de l’Ukraine qui ne pouvait pas l’accueillir compte-tenu de la guerre. Pour se venger de la non participation de la Russie au concours, le collectif de pirates a tenté une attaque par DDoS… déjouée par les services de police italiens. Le pays subira ensuite des représailles contre les sites Web du Sénat et de l'Institut national de la santé.

Hormis son pouvoir de nuisance et sa propension à revendiquer ses actions sur les réseaux, les conséquences des attaques de Killnet connaissent généralement un succès limité. Elles provoquent généralement des pannes de quelques heures sans dommages durables significatifs. Néanmoins certains experts avertissent tout de même que le groupe de pirates pourrait garder en réserve des attaques bien plus sophistiquées.

Que craindre pour la suite ?

Récemment, le collectif de pirates Killnet a encore fait parler de lui en lançant des attaques DDoS contre des hôpitaux américains. Mails l’agence de cybersécurité américaine (CISA) rassure : moins de la moitié de ces attaques ont réussi à mettre les sites web des hôpitaux hors ligne et l’autre moitié des attaques n’a eu que très peu d’effet sur l’activité des hôpitaux.

La société Cloudflare, qui a été contactée par les hopitaux pour les aider à lutter contre la campagne DDoS de Killnet, a déclaré que les attaques ne provenaient pas d'un seul botnet mais d’un groupe d'appareils connectés à Internet. “Cela pourrait indiquer l'implication de plusieurs acteurs de la menace agissant pour le compte de Killnet, ou cela pourrait indiquer une attaque plus sophistiquée et coordonnée".

De plus, le département de la Santé et des Services sociaux des États-Unis (HHS) a également averti les établissements de santé que certaines attaques DDoS pouvaient éventuellement conduire à des attaques par rançongiciel.

"Il est probable que des groupes ou des opérateurs de ransomware pro-russes, tels que ceux du défunt groupe Conti, tiennent compte de l'appel de Killnet et lui apportent leur soutien. Il en résultera probablement que les entités ciblées par Killnet seront également frappées par des ransomwares ou des attaques DDoS comme moyen d'extorsion, une tactique que plusieurs groupes de ransomwares ont utilisée", avertit le HHS.

Désormais, il est probable que davantage d’attaques DDoS servent à couvrir des intrusions réelles impliquants des rançongiciels et des violation de données.

❤️ Escroquerie sentimentale, comment s’en protéger ?

Il y a quelques jours, le FBI lançait un avertissement pour inciter à la prudence face à d'éventuelles escroqueries sentimentales à l'approche de la Saint-Valentin. Dans le même temps, Victim Support, la grande association d’aide aux victimes de la criminalité au Royaume-Uni lançait également un avertissement aux personnes qui fréquentent les sites de rencontres en ligne en précisant avoir constaté une augmentation de 38 % du nombre de victimes de fraude amoureuse.

〰️ Vos shots 〰️

🇮🇷 En Iran, la télévision nationale hackée en plein discours de la Révolution

Le groupe de pirates Ali's Justice (Edalat-e Ali) a perturbé la transmission d’une chaîne de télévision et d’une radio d'État iranienne pendant le discours du président Ebrahim Rais le 11 février 2023, jour de commémoration de la révolution iranienne. Pendant environ 1 minute, le discours du président Iranien a été interrompu sur internet pour être remplacé par le logo du groupe de pirates et par l’audio d’une voix criant "Mort à la République islamique". Les pirates ont également profité de ce moment d’écoute pour appeler le peuple iranien à agir contre le gouvernement en retirant leur argent des banques et en participant à la manifestation publique prévue le 16 février. Cette attaque s’inscrit dans un contexte de soulèvement populaire qui traverse le pays depuis la mort en septembre 2022 de Mahsa Amini, une jeune étudiante iranienne de 22 ans décédée 3 jours après son arrestation par la police des mœurs iranienne pour “port de vêtements inappropriés”.

🧊 Les États-Unis et le Royaume-Uni frappent fort contre TrickBot

Le 9 février les États-Unis et le Royaume-Uni ont annoncé une première vague de sanctions historiques conjointes contre 7 membres du groupe cybercriminel Trickbot. Les actifs et avoir des pirates ont été gelés, et dorénavant, toute personne ou entité en affaire de quelque nature que ce soit avec le groupe de cybercriminels risque des sanctions. Découvert pour la première fois en 2016, Trickbot est accusé par les USA et le Royaume-Uni d’entretenir des liens avec le service de renseignement russes. Ces dernières années, le groupe de cybercriminels a été visé par plusieurs opérations de démantèlement “infructueuses”. Les membres du groupe sont restés actifs et les opérations de Trickbot ont notamment été reprises par le gang de ransomware Conti, également lié à la Russie. Parmi leur principal fait d’armes, Trickbot a notamment ciblé des hôpitaux et des centres de soins aux États-Unis au plus fort de la pandémie de COVID-19 en 2020. Ces sanctions font partie d'un ensemble de sanctions récentes prises par les États-Unis et le Royaume-Uni contre la Russie, la Birmanie et le groupe criminel Kinahan. Elle résulte de la conclusion de l'évaluation des sanctions de 2021, qui souligne la nécessité et l’efficacité d’une coordination avec des partenaires internationaux.

🏅 Nouveau record du nombre de requêtes par seconde dans une attaque DDoS

Le week-end dernier, Cloudflare a paré plusieurs attaques DDoS HTTP volumétriques d’une ampleur inédite. Les attaques ont en majorité atteint des pics de 50 à 70 millions de requêtes par seconde (rps). La plus importantes d’entres elles a atteint un pic de 71 millions de requêtes par seconde. Il s’agit de l’attaque DDoS la plus importante jamais enregistrée. Elle vient écraser le précédent record de 46 millions de rps enregistré en juin 2022. Selon Cloudflare, plus de 30 000 adresses IP ont été utilisées pour mener des attaques HTTP/2 contre des sites Web protégés par Cloudflare, notamment des fournisseurs de jeux populaires, des entreprises de cryptomonnaies, des fournisseurs d'hébergement et des plateformes de cloud computing. Les attaques ont impliqué plusieurs fournisseurs de cloud et Cloudflare a collaboré avec eux pour contenir le botnet. Si vous l’avez manquée, retrouvez notre infographie du 13 janvier pour en savoir plus sur les principales techniques de déni de service.

🤕 Les données sur la santé mentale des américains accessibles bien trop facilement

Dans son rapport publié en février 2023, l’université Duke aux États-Unis a présenté les conclusions de deux mois de recherche sur l’industrie obscure des courtiers en données. Les chercheurs se sont principalement intéressés aux données de santé mentale des américains. Les résultats de ce rapport visent à rendre plus transparents les processus de vente et d'échange ces données. Comme on pouvait s’y attendre, les conclusions de ce rapport révèlent que l’industrie semble manquer cruellement de bonnes pratiques pour le traitement des données de santé mentale des individus, en particulier dans les domaines de la confidentialité et du contrôle des acheteurs. En effet, contrairement à d’autres pays, les États-Unis ne dispose pas de législation conséquente sur la protection de la vie privée qui protège les informations privées et personnelles de la plupart des individus contre l'achat et la vente. En résulte alors une industrie en “roue libre” qui commercialise à qui le désire des données sensibles sur la santé mentale des personnes aux États-Unis. À titre d’exemple, les chercheurs ont, pour les besoins de leurs recherches, contacté 37 courtiers. 26 courtiers ont répondu à des demandes de renseignements sur les données relatives à la santé mentale, et 11 ont finalement été disposées à vendre leurs données. Les autres résultats clés de ce rapport sont consultables ici.

〰️ Dégustation 〰️

⚡ Les menaces qui pèsent sur la France selon le dernier rapport d’Avast

Dans son dernier Rapport sur les menaces, Avast revient sur les défis du dernier trimestre de l'année dernière et sur les nombreuses menaces et souches de malwares qui ont émergé au cours de celui-ci.

À retenir :

• Dans la catégorie Ransomware, alors que dans la plupart des pays, le nombre d’attaques par ransomware est en baisse, seuls la France (+15%) et l’Afghanistan (+40%) ont constaté une augmentation de leur ratio de risque au dernier trimestre 2022.

• En matière de Remote Access Trojans (RATs), la France a connu une forte baisse de 43% du ratio de risque. Ce qui en fait l’un des pays les plus sûrs au cours de ce trimestre, avec les États-Unis, la Suisse et le Japon.

• Bien qu’une diminution générale de 25 % des utilisateurs touchés ait été constaté dans les principaux pays, l'Espagne, la Turquie et la France restent les pays où les utilisateurs sont les plus touchés par les malwares de type "banker" sur les appareils mobiles. Ces Trojan-Banker sont conçus pour voler les données des comptes bancaires en ligne des utilisateurs.

• Depuis septembre 2022, les chercheurs d’Avast ont constaté une augmentation de l'activité des arnaques au support technique et comme au 3ème trimestre, les pays les plus touchés sont les États-Unis, le Brésil, le Japon, le Canada et la France.

〰️ Cul sec - La question 〰️

🇰🇵 La Corée du Nord est devenue un acteur incontournable dans le paysage international des cyberattaques. Pourquoi ?

A. Parce que Kim Jung Hun hack dans son salon comme Louis XIV jouait au serrurier

B. Des groupes de hackers sponsorisés par l’Etat Nord Coréen s’accaparent de cryptomonnaies et ainsi financent son régime

C. Le “casse du siècle” a été mené par la Corée du Nord

D. Car la Corée du Nord mène désormais des campagnes de ransomware 

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Portrait - NOBELIUM est une organisation cybercriminelle étatique basée en Russie, à l'origine d'un des plus grands cyberespionnage révélé à la suite d’une attaque sophistiquée contre SolarWinds en décembre 2020. Dans un publication récente, Microsoft décrit comment 8 de ses analystes ont résolu “MagicWeb”, l'une des attaques les plus originales de NOBELIUM.

🔄 Mise à jour - Apple a corrigé sa première vulnérabilité “zero-day” de l’année 2023. Les iPhones, iPads et Macs sont concernés. Une mise à jour s'impose, sous peine de prise de contrôle de votre appareil Apple. Retrouvez tous les détails dans notre article.

Microsoft a également corrigé 3 vulnérabilités "zero-day" activement exploitées dans son Patch Tuesday de février 2023. En savoir plus

🎓 Événement - Du 03 au 28 avril 2023, le Commandement de la cyberdéfense (COMCYBER) et la Direction générale de l'enseignement scolaire (DGESCO) co-organisent le capture the flag “Passe ton Hack d’abord”. Cet événement s’adresse aux lycéens qui débutent en informatique et qui souhaite s’initier à la cybersécurité. Cette édition est une année d'expérimentation limitée aux académies de Créteil, Paris et Versailles avant une possible généralisation pour l'année scolaire 2023-2024.

〰️ Cul sec - Réponse 〰️

B, C et D sont justes 👍

B- Un expert américain a été condamné au printemps 2022 pour avoir aidé le régime à utiliser les cyrptomonnaies afin de contourner les sanctions 

C- La Corée du Nord est estimée responsable de l’attaque de la Banque du Bangladesh. Considéré comme le casse du siècle, les pirates sont partiellement parvenus à transférer 1 milliards de dollars, pour au final environ 60 millions qui n’ont pas été retrouvés.

D- La CISA a récemment alerté contre les campagnes de ransomware qui financent la Corée du Nord

〰️ Digestif 〰️

🦁 Wow, nice!

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser au plus grand nombre la culture de sécurité digitale.

Rejoins les Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“