📱T-Mobile en proie au SIM-swapping

Salut Shaker 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. À la une : 📱 T-Mobile en proie au SIM-swapping.

On te décode l’actu :

🕵🏻 Un contrebandier russe accusé d’avoir fourni des technologies américaines aux gouvernements russe et nord-coréen,

💥 Le malware PureCrypter cible des entités gouvernementales,

🗣️ L’identification vocale en danger face aux IA génératrices de voix,

📰 News Corp infiltré par des pirates pendant 2 ans,

🎮 Un malware ChromeLoader se cache dans des cracks de jeux Nintendo et Steam,

On t’explique tout ça plus bas.

Retrouve le mag :

📱 Infographie : quelques réalités choquantes à propos des applications SaaS connectées tierces,

📝 Rapport de Kaspersky concernant le paysage des menaces liées aux logiciels malveillants mobiles en 2022,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

📱 T-Mobile, l’eldorado du SIM-swapping

100 incidents de sécurité en 2022

Selon de nouvelles données, 3 groupes de pirates distincts ont revendiqué une violation des réseaux internes du géant des télécoms T-Mobile dans plus de 100 incidents de sécurité différents en 2022.

Dans chacun de ces incidents, le procédé est le même. Des employés de T-Mobile sont ciblés par des tentatives de phishing dans le but d’obtenir un accès aux outils internes de l’entreprise. Cet accès est ensuite utilisé par ces groupes pour détourner les SMS et les appels téléphoniques d’utilisateurs vers d’autres appareils.

Ces conclusions sont le résultat d’une analyse des canaux de discussion Telegram appartenant à 3 groupes toujours actifs en 2023. Les analystes en sécurité ont identifié ces groupes comme étant particulièrement actifs et efficaces dans le domaine du "SIM-swapping", une technique consistant à prendre temporairement le contrôle d’un numéro de téléphone mobile.

Concrètement, lorsqu’un de ces 3 groupes parvient à accéder, d’une manière ou d’une autre, aux systèmes de T-Mobile, le message “Tmobile up !” ou “Tmo up !” est publié sur le canal Telegram pour indiquer qu’une opportunité d'échange de SIM est disponible. Les clients intéressés par ce service doivent alors débourser entre 1000 et 1500$ et fournir le numéro de téléphone de la cible, ainsi que le numéro de série lié à la nouvelle carte SIM qui sera utilisée pour recevoir les SMS et appels téléphoniques à partir du numéro de téléphone détourné. Lorsque l’intrusion est détectée et l’accès aux outils révoqué par T-Mobile, les pirates publient le message “Tmo down !” pour indiquer que l’annonce du service de “SIM-swapping” n’est plus disponible.

Quels sont les risques du SIM-swaping ?

Selon les experts en cybersécurité, le SIM-swapping est dangereux pour plusieurs raisons :

1. Ce phénomène est en pleine croissance et est encore trop méconnu du grand public.

2. De nombreux sites web et services en ligne utilisent le SMS et le mot de passe comme moyen d’authentification multifactorielle. En d’autres termes, perdre le contrôle de son numéro de téléphone revient à donner aux cybercriminels l’accès à l’ensemble de vos informations personnelles et votre vie numérique (comptes bancaires, messagerie, réseaux sociaux, etc.)

3. La menace que représente ces groupes de SIM-swapping est généralement écartée par les équipes de sécurité, qui ne considèrent pas les pirates derrières ces attaques comme étant suffisamment qualifiés et sophistiqués.

Un phénomène à ne pas prendre à la légère

Pour rappel, en août 2021, T-Mobile reconnaissait avoir été victime d’une violation de données de plus de 40 millions de clients ayant demandé un crédit à l’entreprise. Récemment, en janvier 2023, T-Mobile révélait avoir été à nouveau victime d’une violation de données sur environ 37 millions de clients.

Dans l’ombre de ces piratages de grand ampleur, les dommages causés par ces attaques continues de SIM-swapping peuvent paraître dérisoires en comparaison. En réalité, selon le responsable de la recherche pour la société de cybersécurité Unit 221B, Allison Nixon, c’est une erreur de considérer le SIM-swapping comme un problème marginal.

Elle explique que “d'un point de vue logistique, il se peut que vous ne puissiez obtenir que quelques dizaines ou centaines d'échanges de cartes SIM en une journée, mais vous pouvez choisir n'importe quel client parmi l'ensemble de leur clientèle […] Ce n'est pas parce qu'une prise de contrôle de compte ciblée est de faible volume qu'elle est à faible risque. Ces types ont des équipes qui vont identifier les personnes qui sont des individus très fortunés et qui ont beaucoup à perdre.”

😱 Quelques réalités choquantes à propos des applications connectées tierces

〰️ Vos shots 〰️

🕵🏻 Un contrebandier russe aurait fourni des technologies américaines aux gouvernements russe et nord-coréen

Le 24 février, le tribunal fédéral de Brooklyn, New York a rendu public l’acte d’accusation d’un ressortissant russe nommé d'Ilya Balakaev. Il est accusé de diverses infractions liées à la contrebande d'appareils souvent utilisés dans des opérations de contre-espionnage des États-Unis vers la Russie au profit du Service fédéral de sécurité de la Fédération de Russie (FSB) et de la Corée du Nord. D’après l’acte d’accusation, Ilya Balakaev aurait conclu entre 2017 et aujourd'hui, plusieurs contrats, via sa société Radiotester LLC, avec le FSB, dans le but de réparer des appareils souvent utilisés pour la détection de micros de surveillance et la transmission de communications confidentielles. Ces appareils n’étant pas facilement disponibles en Russie, Balakaev aurait alors créé un réseau aux États-Unis pour l'aider à acheter l'équipement nécessaire et réparer les appareils du FSB, violant ainsi les sanctions américaines. Si les charges retenues contre lui sont avérées, Balakaev encoure jusqu’à 75 ans de prison.

💥 Le malware PureCrypter cible des entités gouvernementales

Le 23 février, des analystes de Menlo Labs ont révélé avoir découvert un nouvel acteur de menace exploitant une campagne de malware via Discord pour attaquer des entités gouvernementales en Amérique du Nord et en Asie-Pacifique. Selon les chercheurs, les attaquants utiliseraient le téléchargeur de malwares “PureCrypter” pour diffuser plusieurs types de malwares et infostealers tels que Redline Stealer, AgentTesla, Philadelphia Ransomware et Blackmoon. Dans cette campagne, les pirates utilisent le classique email de phishing contenant un lien vers Discord, qui est utilisé pour héberger la charge utile. De plus PureCrypter utilise également des fichiers ZIP protégés par mot de passe pour passer plus facilement sous les radars. Bien que cet acteur ne semble pas être considéré comme un acteur majeur dans le paysage des menaces, le fait qu'il cible des entités gouvernementales est relativement préoccupant selon les chercheurs.

🗣️ L’identification vocale en danger face aux IA génératrices de voix

Dans un article du 23 février, un journaliste de Motherboard a révélé comment il est parvenu à accéder à son compte bancaire Loyds Bank en utilisant une IA gratuite reproduisant sa voix. Pour l’expérience, le journaliste de Motherboard a simplement contacté la plateforme téléphonique de sa banque gérée par un robot téléphonique. Le robot, après lui avoir demandé de décliner sa date de naissance, lui a demandé de répéter « ma voix est mon mot de passe » à voix haute. Au bout de quelques secondes, à la grande surprise du journaliste, la banque a validé sa voix synthétique comme étant vraiment la sienne. Il a ainsi pu accéder au solde de ses comptes, ainsi qu'à une liste de ses dernières transactions et transferts. Pourtant, sur son site internet, Loyds Bank indique que son programme Voice ID est sécurisé, au motif que “votre voix est unique, comme votre empreinte digitale”. Néanmoins, bien qu’aucun cas de détournement de voix par IA n’a encore été détecté dans une attaque, il est probable qu’à l’avenir, de plus en plus d’attaquants aient recours à ce procédé, notamment dans le cas de fraude au président.

📰 News Corp infiltré par des pirates pendant 2 ans

En février 2022, News Corp, la société du milliardaire australien Robert Murdoch, révélait avoir été victime d’une violation de données. Aujourd’hui, 1 an après les faits, l’entreprise vient de communiquer de nouveaux éléments indiquant que l’intrusion s’est en réalité produite en février 2020. Les pirates sont donc parvenus à dissimuler leur présence dans les systèmes de News Corp pendant 2 ans. Selon l’entreprise, les pirates sont parvenus à violer l’accès à un système de stockage d’emails et de documents utilisés par plusieurs entreprises dont le Wall Street Journal et le New York Post et ont pu mettre la main sur les informations personnelles et médicales provenant d’un nombre limité de comptes de son personnel. Selon News Corp, cette campagne de cyber espionnage aurait été menée par des pirates liés à la Chine avec pour objectif de collecter des renseignements pour les intérêts chinois.

🎮 Un malware ChromeLoader se cache dans des cracks de jeux Nintendo et Steam

Une nouvelle campagne de malware ChromeLoader ciblant des utilisateurs recherchant des logiciels et des jeux vidéo craqués a été détectée par des chercheurs de l’ASEC. Le malware, qui a subi plusieurs versions depuis son apparition en janvier 2022, peut désormais se propager via des fichiers de disque dur virtuel (VHD). L’objectif principal de ChromeLoader est de cibler les navigateurs Web tel que Google Chrome et de modifier les paramètres de façon à rediriger le traffic vers des sites publicitaires suspects. Parmi les logiciels et jeux utilisés pour diffuser le malware, l’on retrouve, entre autres, Microsoft Office, Adobe Photoshop, Elden Ring, Dark Souls III, Red Dead Redemption 2, Call of Duty, The Legend of Zelda : Breath of the Wild, Mario Kart 8 Deluxe. Pour limiter les risques, vous vous en doutez, il est recommandé aux utilisateurs de télécharger uniquement ces logiciels et jeux vidéos via des sources officielles.

〰️ Dégustation 〰️

🎠 Près de 200 000 nouveaux Trojans bancaires sur mobile en 2022

Basé sur les statistiques d’utilisateurs qui ont consenti à partager les données de leurs produits de détection, Kaspersky vient de publier son rapport concernant le paysage des menaces liées aux logiciels malveillants mobiles en 2022.

À retenir :

• En 2022, les produits Kaspersky ont détecté 1 661 743 logiciels malveillants ou installateurs de logiciels indésirables.

• La menace mobile la plus répandue ? Les chevaux de Troie bancaires mobile. Kaspersky a détecté 196 476 installateurs de Trojans bancaires mobiles en 2022. Soit 2 fois plus qu’en 2021.

• 10 543 nouveaux Trojans ransomware mobiles détectés en 2022.

• La propagation des malwares via Google Play s'est poursuivie et plusieurs Trojans mobiles ont été découvert sur le marché officiel des applications Android de Google en 2022.

• La Chine a la plus grande part d'utilisateurs ayant subi une attaque de malware mobile (17.70%). La Syrie se positionne à la deuxième place avec 15,61 % et l'Iran à la troisième place avec 14,53 %.

• "Malgré la baisse du nombre global d'installateurs de logiciels malveillants, la croissance continue des chevaux de Troie bancaires mobiles indique clairement que les cybercriminels se concentrent sur les gains financiers.” indique Tatyana Shishkova, experte en sécurité chez Kaspersky.

Notre avis sur la méthodologie de l’étude : les chiffres de Kaspersky traduisent aussi la présence de l’entreprise (Russe) sur les marchés. Ainsi depuis l’invasion de l’Ukraine l’ANSSI recommande de ne plus utiliser de produits de cybersécurité Russe. L’administration américaine avait fait de même quelques années auparavant.

〰️ Cul sec - La question 〰️

💶 Quelle nouvelle stratégie employée par les services de police permet de lutter efficacement contre les gangs de ransomwares ?

A. Ne pas payer la rançon

B. Fournir une aide en temps réel aux victimes

C. Infiltrer les serveurs et l'infrastructure des gangs de ransomware

D. Rendre obligatoire le signalement aux autorités du paiement d'une rançon

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

⏪ Rewind - Le 4 mars 2014, Ellen DeGeneres publiait l’un des tweets le plus partagé de l’histoire à la cérémonie des Oscars.

🎓 Événement - Le 20 mars prochain a lieu la 16e édition du Forum de la cybersécurité CYFI2023 au siège national de la CPME à la Défense (Paris). Un rendez-vous incontournable pour découvrir 17 éditeurs israéliens de cybersécurité à l'avant-garde.

〰️ Cul sec - Réponse 〰️

Toutes les réponses sont justes !

Mais celle qui nous intéresse particulièrement et qui a récemment fait ses preuves contre l’un des groupes de ransomware-as-a-service (RaaS) les plus prolifiques est la réponse C - Infiltrer les serveurs et l'infrastructure des gangs de ransomware.

La menace qui pèse sur les économies nationales et les infrastructures critiques a marqué un tournant, forçant les gouvernements à changer leur fusil d’épaule. L'une des stratégies désormais couramment employées consiste à infiltrer les serveurs et l'infrastructure des gangs de ransomware. Il y a peu, le 26 janvier 2023, les autorités américaines ont révélé avoir employé cette stratégie, en coordination avec 13 pays, contre le groupe de ransomware Hive à partir de juillet 2022.

Pendant sept mois, les enquêteurs ont réussi à infiltrer le gang de ransomware et ont pu récupérer plus de 1000 clés de déchiffrement. Selon les estimations, cette action a permis d’éviter de verser 130 millions de dollars à Hive. Pour en savoir plus, nous avons traité ce sujet dans le shake du 3 février 2023.

〰️ Digestif 〰️

🤡 Quand on ne sait plus à qui faire confiance !

Une fois n’est pas coutume, LastPass est à nouveau victime d’une violation de données. Le PC d'un employé de LastPass a été piraté avec un enregistreur de frappe pour accéder au coffre-fort des mots de passe. Les attaquants derrière cette attaque semblent être les mêmes que lors des violations précédentes… Malgré tout, utiliser un gestionnaire de mots de passe reste une bonne solution.

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser au plus grand nombre la culture de sécurité digitale.

Rejoins les Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“