24.8.18

Turla: Les détails sur la porte dérobée Outlook unique




La dernière recherche d’ESET offre une rare occasion d’observer la mécanique d’une porte dérobée particulièrement furtive et résiliente que le groupe de cyberespionnage Turla peut entièrement contrôler via des fichiers PDF attachés à des courriers électroniques.
Pour une analyse détaillée de la porte dérobée retrouvée par nos experts, consultez notre livre blanc Turla Outlook Backdoor : Analyse d’une porte dérobée inhabituelle de Turla.
Les chercheurs d’ESET ont étudié une backdoor (ou porte dérobée) caractéristique utilisée par le fameux groupe d’APT (Advanced Persistent Threat) connu sous le nom de Turla (ou Snake, ou Uroboros) pour détourner les communications sensibles des autorités d’au moins trois pays européens. Le groupe déploie l’outil depuis des années maintenant – et nous avons constaté que la liste des victimes les plus en vue est plus longue qu’on ne le pensait auparavant.
Parmi les victimes, on compte le ministère fédéral allemand des Affaires étrangères, où Turla a implanté la porte dérobée sur plusieurs ordinateurs et l’a utilisée pour le vol de données pendant presque toute l’année 2017. En fait, les opérateurs de Turla ont d’abord compromis le réseau de l’École supérieure fédérale d’administration publique du pays, en l’utilisant comme tremplin vers la rupture du réseau du ministère des Affaires étrangères en mars 2017. Ce n’est qu’à la fin de l’année que le service de sécurité allemand a détecté la brèche, qui n’a été rendue publique qu’en mars 2018.
Il est important de noter que notre propre enquête a permis de déterminer qu’au-delà de cette brèche de sécurité que nous avons largement traitée, le groupe a utilisé la même backdoor pour ouvrir un canal d’accès secret aux bureaux étrangers de deux autres pays européens, ainsi qu’au réseau d’un important entrepreneur de la défense. Ces organisations sont les derniers ajouts connus à la liste des victimes de ce groupe d’APT qui cible les gouvernements, les fonctionnaires des États, les diplomates et les autorités militaires depuis au moins 2008.
Disséquer la porte dérobée
La porte dérobée qui fait l’objet de notre analyse a parcouru un long chemin depuis sa création, qui date peut-être de 2009. Au fil des ans, ses auteurs ont ajouté diverses fonctionnalités à l’outil, lui conférant en fin de compte un rare degré de furtivité et de résilience. La version la plus récemment découverte, à partir d’avril 2018, incorpore la capacité d’exécuter des scripts PowerShell malveillants directement dans la mémoire de l’ordinateur. C’est une tactique que des acteurs menaçants de divers horizons ont adoptée au cours des dernières années.

Les itérations plus récentes de la porte dérobée ciblent Microsoft Outlook, bien que ses versions plus anciennes visaient également le client de la messagerie « The Bat ! ». qui est surtout utilisée en Europe de l’Est. Il est important de noter que les opérateurs de Turla n’exploitent aucune vulnérabilité dans les lecteurs PDF ou Microsoft Outlook en tant que vecteurs d’attaque. Fait inhabituel, la backdoor subvertit l’interface légitime de programmation d’applications de messagerie (MAPI) de Microsoft Outlook, afin d’accéder aux boîtes aux lettres des cibles.
Plutôt que d’utiliser une infrastructure conventionnelle de commande et de contrôle (C&C), telle qu’une infrastructure basée sur HTTP(S), la porte dérobée est exploitée via des messages électroniques ; plus précisément, par le biais de fichiers PDF spécialement conçus dans des pièces jointes aux courriels. La machine compromise peut être chargée d’exécuter une série de commandes. Plus important encore, il s’agit de l’exfiltration des données, ainsi que du téléchargement de fichiers supplémentaires et de l’exécution de programmes et de commandes supplémentaires. L’exfiltration des données se fait également via des fichiers PDF.
La porte dérobée – qui se présente sous la forme d’un module Dynamic Link Library (DLL) et peut être placée n’importe où sur le disque dur – est installée à l’aide d’un utilitaire Windows légitime (RegSvr32.exe). Pendant ce temps, la persistance est accomplie en altérant le registre de Windows, ce qui est souvent le cas lorsque les systèmes Windows sont compromis, après tout. Dans ce cas, Turla s’en tient à une technique éprouvée, qui est connue sous le nom « COM object hijacking ». Ceci garantit que chaque fois que Microsoft Outlook est lancé, la porte dérobée est activée.
Fonctionnement
Chaque fois que la victime reçoit ou envoie un message électronique, le logiciel malveillant génère une entrée de journal qui contient des métadonnées portant sur le message, notamment sur l’expéditeur, le destinataire, le sujet et le nom de la pièce jointe. Les journaux sont régulièrement regroupés avec d’autres données et transmis aux opérateurs de Turla par le biais d’un document PDF spécialement conçu à cet effet et joint à un message électronique.
De plus, dans chaque courriel entrant, la porte dérobée vérifie la présence d’un fichier PDF qui peut contenir des commandes de l’attaquant. En fait, il s’agit d’un « opérateur agnostique », c’est-à-dire qu’il accepte les commandes de quiconque peut les encoder dans un document PDF. En corollaire, les opérateurs de Turla peuvent reprendre le contrôle de la porte dérobée en envoyant une commande à partir de n’importe quelle adresse électronique, au cas où l’une de leurs adresses électroniques codées en dur – mais actualisables – serait bloquée. Le niveau de résilience de la porte dérobée face aux démantèlements est presque identique à celui d’un rootkit qui, en inspectant le trafic réseau entrant, écoute les commandes de ses opérateurs.
Bien que les chercheurs d’ESET n’aient obtenu aucun échantillon d’un PDF contenant des commandes réelles pour la porte dérobée, la connaissance de son fonctionnement interne leur a permis de générer un document PDF (voir Figure 2) avec des ordres que la porte dérobée peut interpréter et exécuter.
Les logiciels malveillants font généralement beaucoup d’efforts pour s’intégrer hors de la vue des machines compromises. Par exemple, alors qu’il est possible, pendant quelques secondes, d’apercevoir un courriel entrant dans l’indicateur de comptage des courriels non lus, aucun courriel reçu par l’attaquant n’apparaît jamais dans la boîte aux lettres. De même, le logiciel malveillant bloque également toute notification de messages électroniques entrants envoyés par ses opérateurs.
En conclusion
C’est loin d’être la première fois que les chercheurs d’ESET ont documenté l’ingéniosité des opérateurs de Turla pour atteindre leurs objectifs tout en restant sous le radar. Tout comme l’ont montré nos récentes analyses de Gazer de la porte dérobée du groupe et sa campagne ciblant les diplomates d’Europe de l’Est, le groupe continue d’employer des techniques avancées pour espionner ses cibles et maintenir des logiciels malveillants persistants sur les machines compromises.
La porte dérobée Turla est une backdoor à part entière, qui utilise des techniques personnalisées et exclusives, peut fonctionner indépendamment de tout autre composant Turl et est entièrement contrôlée par courrier électronique. En fait, les chercheurs d’ESET ne sont au courant d’aucun autre groupe d’espionnage qui utilise actuellement une porte dérobée entièrement contrôlée par courriel, et plus particulièrement par le biais de pièces jointes en format PDF.

22.8.18

Smart irrigation systems vulnerable to attacks, warn researchers




Internet-connected irrigation systems suffer from security gaps that could be exploited by attackers aiming, for example, to deplete a city’s water reserves, researchers warn
Security researchers have warned of a potential attack that – using a “piping botnet” of internet-connected irrigation systems that water simultaneously – could impact a city’s water system to the point of actually draining its reserves.
A team of six academics from Ben-Gurion University of Negev, Israel, identified and analyzed security flaws in the firmware of several commercial irrigation systems that are connected to the internet. They focused on three commonly sold smart irrigation systems – GreenIQ, BlueSpray, and RainMachine – and found that they suffer from vulnerabilities that enable attackers to remotely turn watering systems on and off at will.
Some devices were found to be prone to Man-in-The-Middle (MiTM) attacks, while others can be tricked into initiating the watering process by manipulating its sensors or spoofing weather data.
In essence, the attack would leverage poorly-secured Internet-of-Things (IoT) devices that are connected to a city’s critical infrastructure. Compared to infecting the physical cyber-systems of urban water services directly, however, undertaking the attack through an “army” of internet-connected irrigation controllers is much easier, noted the researchers.
“[W]hile previous attacks against critical infrastructure required the attacker to compromise the systems of critical infrastructure, we present an attack against critical infrastructure that does not necessitate compromising the infrastructure itself and is done indirectly by attacking client infrastructure that is not under the control of the critical infrastructure provider,” reads the paper.
“Municipalities and local government entities have adopted new green technology using IoT smart irrigation systems to replace traditional sprinkler systems, and they don’t have the same critical infrastructure security standards,” wrote the researchers, who revealed their findings in a paper called “Piping Botnet – Turning Green Technology into a Water Disaster”. Their research was also presented at the Def Con 26 Conference in Las Vegas earlier this month and summed up in this video.
“By simultaneously applying a distributed attack that exploits such vulnerabilities, a botnet of 1,355 smart irrigation systems can empty an urban water tower in an hour and a botnet of 23,866 smart irrigation systems can empty a flood water reservoir overnight,” one of the researchers, Ben Nassi, is quoted as saying on the university’s website. The attack would first involve taking control of a botnet of computers with an eye to detecting smart irrigation systems on local networks.
“The researchers demonstrated how a bot running on a compromised device can (1) detect a smart irrigation system connected to its LAN in less than 15 minutes, and (2) turn on watering via each smart irrigation system using a set of session hijacking and replay attacks,” according to the press release.
The researchers said that they have disclosed the vulnerabilities to the vendors so they can upgrade the firmware.

19.8.18

Black Hat met en avant la protection du système de contrôle industriel (ICS)



L’objectif étant de protéger les infrastructures critiques contre les attaques
La sécurité du système de contrôle industriel (ICS) est au cœur des préoccupations au Black Hat USA – avec des sessions chargées allant des attaques spécifiques au matériel vulnérable – le tout dans le but de protéger les infrastructures critiques, dont les failles de sécurité font si souvent la une des journaux ces derniers temps.
Alors que les protocoles de contrôle industriels ne sont pas sécuritaires, on remarque une volonté de boulonner le matériel et les logiciels de sécurité pour vérifier les patterns de communication anormaux. Mais bien qu’il s’agisse certainement d’un progrès, ces mesures ne visent qu’un aspect des cyberrisques qui pèsent sur les ICS.
Dans mon expérience, la communication avec l’équipement industriel n’était pas malveillante au niveau des paquets. L’équipement suivait des ordres légitimes, mais dans un but malveillant. Voilà pourquoi la question de la sécurité est si complexe.
Vous pouvez voir ce risque comme s’il s’agissait d’un initié malveillant, mais numérique. Une fois que les attaquants ont obtenu accès au réseau, les défenses limitées ICS/SCADA (contrôle de supervision et acquisition de données) n’ont pas empêché les commandes émanant de postes de travail légitimes, mais compromis.
Nous avons également pu voir à Black Hat des réseaux critiques s’attacher sur des dispositifs de communication à distance via des réseaux cellulaires pour surveiller les systèmes. Ces dispositifs comportaient souvent des erreurs critiques de mauvaise configuration permettant aux attaquants d’avoir accès et d’extraire des données qui éclaireraient les attaques futures. Encore une fois, ces points d’entrée pouvaient être protégés, mais ne l’étaient pas.
Les industries contrôlées par ICS, se trouvent à une jonction intéressante où les praticiens qui sont les mieux à même de faire fonctionner ces équipements sont en poste depuis assez longtemps pour ne pas avoir grandi à l’ère du numérique, et il semble que cela entraine une certaine résistance.
J’ai récemment interviewé un ingénieur senior œuvrant dans entreprise d’infrastructures essentielles. Il a expliqué qu’il voyait peu d’incitatifs à s’éloigner de ses domaines d’expertise et à s’intéresser à la sécurité des réseaux ou à d’autres questions liées au domaine numérique. Il ne recevrait pas d’augmentation de salaire, car il était déjà au sommet ou près du sommet de son échelle salariale, et il se sentait nerveux à l’idée de faire des erreurs qui pourraient lui causer des ennuis. Bref, il voyait beaucoup de risques et peu d’avantages personnels à se lancer dans une telle aventure.
Ce constat semble s’appliquer à l’ensemble du monde de l’ICS. Dans certains cas, il faudra attendre l’arrivée en place de la prochaine génération d’ingénieurs et d’opérateurs, qui ont grandi avec la sécurité numérique et qui comprennent son importance en matière d’infrastructures critiques, pour qu’un réel changement ne s’amorce.
Entre temps, je trouve encourageant de voir les praticiens de la sécurité de Black Hat déployer autant d’efforts sur la protection des infrastructures critiques. Après tout, cette même infrastructure contrôle directement la capacité de faire ce que nous faisons dans le monde de la sécurité. Si les lumières s’éteignent, l’eau cesse de couler bientôt et les choses se transforment en boule de neige dans une situation dont personne ne veut. Étant donné qu’une grande partie de l’infrastructure que nos sociétés modernes tiennent pour acquise dépend des systèmes gérés par le SCI, ils méritent d’être protégés.

De nombreux utilisateurs d’Instagram expulsés de leurs propres comptes



Partagez
Si vous êtes un Instagrammer, vous devriez vous assurer de prendre quelques précautions de base, comme choisir un mot de passe fort et unique et vous inscrire à l’authentification à deux facteurs le plus tôt possible.
Des centaines d’utilisateurs d’Instagram seraient victimes d’un piratage apparemment coordonné, à cause duquel leurs comptes sont détournés et leurs informations personnelles, altérées. Qui plus est, leurs efforts pour la restauration de compte ne semblent mener nulle part.
Mashable a d’abord témoigné lundi de l’apparente frénésie de prise de contrôle des comptes en cours depuis le début du mois. Le compromis de masse partage quelques points communs – les utilisateurs concernés se sont soudainement retrouvés déconnectés de leurs comptes, en plus de voir leurs biographies et leurs coordonnées personnelles et personnelles supprimées et l’adresse de courrier électronique associée à leur compte remplacée par une adresse avec un domaine .ru.
D’autres points communs incluent le fait que les pirates n’ont pas fait de nouvelles publications ni supprimé d’anciens messages sur les comptes piratés. Ils ont cependant, dans de nombreux cas, remplacé les photos de profil par des photos de film avec une thématique Disney ou Pixar, selon un reportage de la BBC.
Certains rapports anecdotiques soulignent même que, dans plusieurs cas, les comptes ont pu être volés malgré que l’authentification à deux facteurs (2FA) était activée par ses utilisateurs.
Les victimes ont afflué vers le fil Twitter de l’Instagram, demandant de l’aide au service de partage de photos. Bon nombre des utilisateurs concernés ont exprimé leur frustration face au processus de recouvrement de compte après piratage, largement automatisé, qui ne mène nulle part.
Mashable a par ailleurs rapporté des données fournies par la plateforme d’analyse Talkwalker, selon lesquelles il y a eu plus de 5000 tweets de 899 comptes mentionnant des piratages de comptes Instagram au cours des sept jours précédents.
Ces récriminations ont mené Instagram à lancer une enquête. Le réseau social déclarait mardi être « conscient que certaines personnes éprouvent des difficultés à accéder à leurs comptes Instagram. »
Le mois dernier, le site, qui compte plus d’un milliard d’utilisateurs, a déclaré qu’il renforcerait ses paramètres 2FA. Le site de partage de photos est configuré pour introduire des options au-delà du 2FA par SMS, qui est généralement considéré comme étant plus à risque d’être contourné, bien qu’il demeure préférable à l’absence d’authentification à 2 facteurs.
Ce n’est pas la première fois que des profils Instagram subissent une compromission de masse, comme l’a montré une attaque de septembre 2017 que nous avons déjà abordée. De plus, au-delà des conseils de sécurité d’Instagram, assurez-vous de prêter attention à notre liste de points à garder en tête pour utiliser cette plateforme.