🚫Pegasus: +4 entreprises européennes dans la blacklist des USA

Salut 👋, voici ce que l’on a retenu pour toi du digital et de la cyber cette semaine.

À la une :

🚫 Après Pegasus, 4 entreprises européennes ajoutées à la blacklist américaine,

Décode l’actu :

☁️ Un État-nation cible certains clients de JumpCloud,

🇺🇦 Le CERT Ukrainien alerte sur le groupe de cyberespionnage Gamaredon,

💦 VirusTotal : des informations confidentielles de gouvernements ont été divulguées,

📮 Même l’armée américaine se plante et envoie des millions d’emails au Mali,

👋 L'acteur de la menace FIN8 refait surface,

On t’explique tout ça plus bas.

Retrouve le mag :

🥇 Classement des 10 variantes de ransomware les plus actives au 1er trimestre 2023,

📄 Ce que nous avons appris du rapport 2023 sur les tests d’intrusion par Fortra,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

〰️ La reco du barman 〰️

🚫 Après Pegasus, +4 entreprises européennes dans la blacklist des USA

Ce mardi 18 juillet, le département du Commerce américain a inscrit deux éditeurs de logiciels espions, Cytrox et Intellexa, sur sa liste noire. Une “liste d'entités pour le trafic de cyber-exploits utilisés pour accéder à des systèmes d'information, menaçant ainsi la vie privée et la sécurité de personnes et d'organisations dans le monde entier.”

Les entreprises américaines sont désormais interdites de transactions avec ces sociétés européennes basées en Hongrie (Cytrox Holdings Crt), en Macédoine du Nord (Cytrox AD), en Grèce (Intellexa S.A.) et en Irlande (Intellexa Limited).

Le communiqué précise que “ces quatre entités ont été identifiées par le gouvernement américain comme agissant de manière contraire à la sécurité nationale ou aux intérêts de la politique étrangère des États-Unis.”

Qui sont Cytrox et Intellexa ?

Cytrox fait partie de l'Alliance Intellexa, qui est le nom d’un groupement de fournisseurs d’outils de surveillance apparu en 2019 et basé en Grèce 🇬🇷. Cette alliance comprend Nexa Technologies (anciennement Amesys 🇫🇷), WiSpear/Passitora Ltd, Cytrox et Senpai. Les liens exacts entre Cytrox et Intellexa demeurent flous.

Le fondateur d'Intellexa, Tal Dilian, se présente comme un expert en renseignement ayant servi plus de 25 ans dans les Forces de défense israéliennes (IDF). Intellexa affirme être une société réglementée avec six sites et laboratoires de R&D en Europe. Son principal produit, Nebula, est vanté comme la plateforme de connaissance “ultime” aidant les forces de l'ordre à “anticiper” les activités criminelles.

Selon le Citizen Lab de l'Université de Toronto, Cytrox est, quant à lui, le concepteur du logiciel espion pour mobiles appelé Predator, concurrent direct du célèbre Pegasus du groupe NSO.

Predator, tout comme Pegasus, est un logiciel d'espionnage quasi indétectable qui peut infiltrer n'importe quel smartphone, qu'il s'agisse d'un iPhone ou d'un Android. Une fois installé dans le téléphone cible, ce logiciel se cache dans ses couches les plus profondes, permettant ainsi un accès aux messages, même ceux cryptés, ainsi qu'aux photos. De plus, il peut activer à distance le micro et la caméra du téléphone, offrant ainsi un contrôle complet sur l'appareil espionné.

Ce logiciel espion a déjà fait parler de lui, notamment dans le cadre du scandale d’écoutes téléphoniques qui a secoué la politique grecque en 2022.

L’inscription de ces deux éditeurs de logiciels espions à la liste noire américaine s’inscrit dans le prolongement des mesures prises par les États-Unis à l’encontre de NSO Group et Candiru en novembre 2021 et dans un contexte où l'administration Biden a signé le 27 mars dernier, un décret limitant l'utilisation de logiciels espions commerciaux par les agences du gouvernement fédéral.

〰️ En image 〰️

🥇 Top 10 des ransomware les plus actifs au 1er trimestre 2023

〰️ Vos shots 〰️

☁️ Un État nation cible des "clients spécifiques” de JumpCloud

Le fournisseur de solutions de gestion d'identités et d'accès de plus de 180 000 entreprises, JumpCloud, a révélé avoir été la cible d'une cyberattaque menée par "acteur sophistiqué parrainé par un État-nation". L'attaque a débuté le 22 juin par une campagne de spear-phishing qui a permis un accès non autorisé à une partie de l'infrastructure de JumpCloud. Suite à la découverte d'une activité suspecte le 27 juin, l'entreprise a réinitialisé les identifiants et pris des mesures de sécurité supplémentaires.

Ce n’est pas tout. Le 5 juillet, suite à la détection d'une activité suspecte liée à des actions spécifiques effectuées pour un petit groupe de clients, la société a pris la décision de réinitialiser toutes les clés API d'administration et a immédiatement informé les autorités et les clients concernés pour atténuer l'impact de l'attaque. L'entreprise a également publié des indicateurs de compromission pour aider d'autres organisations à détecter des attaques similaires.

🇺🇦 Le CERT Ukrainien alerte sur groupe de cyberespionnage Gamaredon

L'équipe d'intervention en cas d'urgence informatique du gouvernement ukrainien (CERT-UA) a récemment rendues publiques les méthodes utilisées par l'APT Gamaredon (alias Armageddon, UAC-0010). Ce groupe, composé d'anciens agents du Service de sécurité ukrainien (SBU) en Crimée ayant fait défection en 2014 pour servir le FSB russe, se concentre sur le cyberespionnage des forces de sécurité ukrainiennes.

Gamaredon infecte principalement les ordinateurs du gouvernement, en utilisant des tactiques telles que des comptes compromis, des e-mails et des messages sur des plateformes comme Telegram, WhatsApp et Signal. Le groupe utilise le logiciel malveillant GammaSteel pour cibler des documents avec des extensions particulières et pour les exfiltrer rapidement en l'espace de 30 à 50 minutes seulement. De plus, pour échapper à la détection, Gamaredon s'adapte en continu aux mesures défensives, en modifiant fréquemment son adresse IP et en utilisant des scripts PowerShell pour contourner l'authentification à deux facteurs.

Ces révélations font suite aux conclusions de Symantec en juin dernier, qui avait signalé une intensification des attaques de Gamaredon contre l'Ukraine entre janvier et avril 2023.

💦 VirusTotal : des infos confidentielles de gouvernements ont fuité

Ce lundi 17 juillet, des données de clients de VirusTotal, un service bien connu d'analyse de fichiers et d'URL suspects qui compte parmi ses clients de nombreux organismes gouvernementaux, ont été découvertes en ligne. L'incident a été révélé par Der Spiegel et Der Standard, qui ont rapporté que des informations sensibles, dont les noms et adresses e-mails de quelque 5 600 clients enregistrés, ont été rendues publiques sur internet.

VirusTotal, fondé en 2004 et acquis par Google en 2012, est devenu une filiale de l'unité Chronicle de Google Cloud en 2018. Interrogé sur cet incident, un porte-parole de Google Cloud a confirmé la fuite et a déclaré que des mesures immédiates ont été prises pour supprimer les données exposées. Selon le porte parole de Google Cloud, cet incident est la conséquence d’une "distribution involontaire, par l'un de nos collaborateurs, d'un petit segment d'emails d'administrateurs de groupes de clients et de noms d'organisations”.

Les comptes touchés incluent ceux d'organismes officiels américains tels que le Cyber Command, le ministère de la Justice des USA, le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA). Des agences gouvernementales d'Allemagne, des Pays-Bas, de Taïwan et du Royaume-Uni sont également concernées.

📮 Même l’armée américaine se plante et envoie des millions d’emails au Mali

L’histoire est folle. Des millions d’e-mails sensibles appartenant à l'armée américaine ont été détournés vers le Mali suite à une erreur de frappe dans les adresses e-mails. Depuis la découverte d’une erreur de configuration il y a 10 ans par un entrepreneur internet néerlandais, Johannes Zuurbier, des avertissements répétés ont été émis concernant cette "fuite de typographie" qui dirige les e-mails vers le domaine .ML du Mali au lieu de .MIL, le suffixe habituel de l'armée américaine.

10 ans plus tard et forcé de constater que la situation n’a pas évolué, Johannes Zuurbier, qui gère le domaine national du Mali, a décidé de collecter depuis janvier les e-mails détournés pour persuader les États-unis de mettre un terme à cet erreur qui perdure. Monsieur Zuurbier, qui est aussi un personnage controversé, détiendrait à l’heure actuelle pas moins de 117 000 messages. Dans une lettre qu'il a envoyé aux États-Unis au début du mois de juillet, M. Zuurbier a écrit : "Ce risque est réel et pourrait être exploité par des adversaires des États-Unis". Affaire à suivre.

👋 L'acteur de la menace FIN8 refait surface

Le groupe de cybercriminels connu sous le nom de FIN8 (alias Syssphinx) a récemment réapparu après une période d'accalmie. Il a récemment été observé par l’équipe Threat Hunter de Symantec, en train de déployer des charges utiles du rançongiciel BlackCat à l’aide d’une version révisée de la porte dérobée (malware) Sardonic, signalée pour la première fois en 2021 par Bitdefender.

Selon les chercheurs, le code de cette nouvelle version a été majoritairement réécrit de façon à introduire de nouvelles fonctionnalités et améliorations et pour échapper à la détection des défenses de cybersécurité. 

Actif depuis au moins janvier 2016, le groupe de cybercriminels FIN8 est réputé pour ses pauses prolongées, pendant lesquelles il ajuste ses méthodes et procédures afin d'augmenter son taux de réussite. Ses cibles privilégiées sont les services financiers, ainsi que les systèmes de point de vente (POS) chers à la grande distribution et au commerce en général.

Ces nouveaux développements soulèvent des inquiétudes quant aux futures attaques potentielles de FIN8. Les institutions financières et les entreprises doivent donc rester vigilantes.

〰️ Dégustation 〰️

📄 Ce que nous avons appris du rapport 2023 sur les tests d’intrusiton par Fortra

“Core Security” de Fortra a publié sa 4ème édition de son enquête sur les tests d’intrusion. Cette enquête vise à mieux comprendre comment les professionnels de la cybersécurité utilisent les tests d’intrusion sur le terrain, y compris les stratégies de tests et les ressources nécessaires pour un test réussi.

À retenir :

• 69% des praticiens de la sécurité interrogés déclarent réaliser en priorité des tests d’intrusion pour évaluer les risques et hiérarchiser les mesures correctives.

  • Vient ensuite le soutien à la gestion des vulnérabilités (62 %), l’obligation de conformité aux politiques externes de cybersécurité (58 %) et aux politiques internes (40 %).

• Ces résultats indiquent que la plupart des équipes adoptent une approche proactive en matière de sécurité de l'entreprise, en utilisant les ressources disponibles pour anticiper les menaces cachées avant que les attaquants ne puissent les exploiter.

• Les rançongiciels (72 %) et le hameçonnage (70 %) sont les deux principales préoccupations en matière de sécurité parmi les entreprises interrogées.

  • Vient ensuite les mauvaises configurations (58 %), les menaces internationales (54 %) et l'absence de correctifs (49 %).

  • Comparativement à l'année précédente, l'inquiétude concernant le hameçonnage a diminué au profit des logiciels malveillants.

• Le manque de ressources pour remédier aux problèmes détectés (58%) et l'incapacité d'embaucher suffisamment de personnel pour réaliser les tests en interne (38%) sont les principaux défis mentionnés à la réalisation de tests d’intrusion.

  • Vient ensuite l'adhésion et le soutien de la direction (31%) ainsi que le manque de tiers qualifiés pour effectuer les tests (30%).

• Malgré ces obstacles, une écrasante majorité (73%) considère les tests d'intrusion comme "importants" pour leur posture de sécurité globale, ce qui laisse penser que les entreprises trouveront des solutions pour les réaliser malgré les difficultés.

• Les tests d'intrusion (effectués correctement) requièrent un niveau élevé de compétences, de capacités de sécurité offensives et d'expertise que certaines organisations n’ont pas en interne. À défaut de former des collaborateurs ou recruter une équipe d'experts, certaines organisations préfèrent ce tourner vers des services de tests de pénétration gérés par des tiers.

  • Cette alternative a comme principal avantage pour 58% des personnes interrogées, d’obtenir un point de vue objectif et authentique de la vulnérabilité de l'écosystème face à de véritables pirates informatiques.

En somme, ce rapport contient tous les arguments nécessaires pour convaincre de travailler avec Fortra.

〰️ Cul sec - La question 〰️

🇪🇺 Quel rôle aurait du occuper Fiona Scott Morton au sein de la Commission Européenne avant de renoncer ?

Propositions de réponses :

A - Économiste en chef de la direction de la concurrence

B - Commissaire Européenne responsable de la Politique Économique et Monétaire

C - Commissaire Européenne en charge des Relations Internationales et de la Coopération.

D - Responsable de la Coopération Internationale en Cybersécurité

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🕵 Protection des données - L'agence américaine chargée de la protection des consommateurs (FTC) a lancé une enquête sur OpenAI visant à déterminer si l'entreprise enfreint les lois fédérales relatives à la protection des consommateurs. Cette enquête fait suite à un incident survenu à la fin du mois de mars, dans lequel des abonnés à ChatGPT Plus ont vu leurs données personnelles divulguées.

🚫 Threads - Après quelques jours de découverte officieuse en Europe via quelques astuces, Threads, le réseau social lancé par Meta qui souhaite concurrencer Twitter ferme, pour le moment, officiellement boutique en Europe. Les raisons de ce blocage ? Le RGPD et l’entrée en vigueur imminente du Digital Services Act (DSA). Il semble que Meta souhaite se conformer aux règles européennes avant tout lancement officiel en Europe.

📊 Statistique - Une analyse de SecurityWeek révèle plus de 210 fusions et acquisitions liées à la cybersécurité annoncées au premier semestre 2023. La majorité des opérations annoncées concerne des entreprises aux États-Unis.

⚖️ Coupable - Conor Brian Fitzpatrick aussi connu sous le nom de Pompompurin, le propriétaire de BreachForums, autrefois le plus puissant forum de recel de données volées, a plaidé coupable aux accusations de piratage informatique et de possession de matériel pédopornographique.

🔧 Correctif - L'équipe de développeurs du plugin WordPress All-in-One Security (AIOS) a publié une mise à jour corrigeant une grave faille de sécurité. Le plugin stockait des mots de passe en clair… Les administrateurs sont vivement invités à mettre à jour leurs sites web.

🪦 Décès - Kevin Mitnick, célèbre hacker américain, est décédé le 16 juillet à l’âge de 59 ans des suites d’un cancer du pancréas. Il était considéré dans les années 1990 comme le roi des hackers pour avoir longtemps défié les autorités américaines en dérobant à distance des milliers de fichiers de données, dont des secrets industriels. Après avoir été arrêté en 1995 par le FBI et condamné à 5 ans d’emprisonnement, il s’était converti en auteur, hacker éthique et consultant en cybersécurité pour les entreprises.

🪱 Menace - WormGPT, un nouvel outil d'intelligence artificielle, basé sur le modèle GPT et conçu spécifiquement pour les activités malveillantes a été présenté sur des forums clandestins. Il permettrait de lancer des attaques sophistiquées d'hameçonnage et de compromission d’emails d'entreprise (BEC).

🤪 Insolite - Ashley Liles, 28 ans, ancien employé des services informatiques, a été condamné à plus de trois ans de prison pour avoir tenté d’extorquer de l’argent à son employeur lors d'une attaque par ransomware. Celui-ci avait tenté de redirigé le paiement de la rançon en cryptomonnaie de son entreprise vers un portefeuille sous son contrôle.

〰️ Cul sec - Réponse 〰️

Réponse A - Économiste en chef de la direction de la concurrence

Le 14 juillet dernier, la Commission européenne a confirmé la nomination de l’économiste américaine Fiona Scott-Morton à la direction générale de la concurrence.

Ancienne cadre de l’administration Obama et consultante pour des entreprises comme Microsoft, Apple, Amazon ou Pfizer, Fiona Scott Morton aurait donc dû être à la tête de la direction chargée d’enquêter en particulier sur les abus de position dominante des géants du numérique, qui ont donné lieu ces derniers années à des amendes record. Cette nomination survient également à un moment où l’UE doit instaurer de nouvelles législations importantes pour réguler ce secteur.

Cette nomination jusqu’alors passée inaperçu a finalement provoqué une controverse politique lorsque le cabinet de conseil où elle travaille, Charles River Associate, s’est réjoui trop bruyamment de cette nomination. De nombreux politiques se sont alors réveillés et ont dénoncé de possibles conflits d’intérêts et le risque d’une ingérence de Washington dans des décisions de l’UE.

Face à cette levée de boucliers, la vice-présidente de la Commission européenne chargée de la concurrence, Margrethe Vestager, a annoncé ce mercredi 19 juillet, sur Twitter, avoir reçu une lettre de renoncement de la part de Fiona Scott Morton elle-même.

〰️ Digestif 〰️

Quand la sécurité technique ne suffit pas

Super Mario et Kevin Mitnick, c’était un peu le même combat.

Source : Hardest Super Mario level ever

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”