Opération In(ter)ception : les entreprises aérospatiales et militaires dans la ligne de mire des cyberespions

Dominik Breitenbacher

À la fin de l’année dernière, nous avons découvert des attaques ciblées contre des entreprises aérospatiales et militaires en Europe et au Moyen-Orient, actives de septembre à décembre 2019. Une enquête menée en collaboration avec deux des entreprises européennes concernées nous a permis de mieux comprendre l’opération et de découvrir des logiciels malveillants jusqu’alors inconnus.

Cet article fera la lumière sur le déroulement des attaques. Vous trouverez l’intégralité de la recherche dans notre white paper Opération In(ter)ception : Attaques ciblées contre les entreprises européennes de l’industrie aérospatiale et militaire [en anglais].

Operation In(ter)ception: Targeted attacks against European aerospace and military companies

Téléchargez le White Paper

Les attaques, que nous avons baptisées Opération In(ter)ception sur la base d’un échantillon de logiciel malveillant connexe nommé Inception.dll, étaient très ciblées et visaient clairement à rester sous le radar.

Pour compromettre leurs cibles, les attaquants ont eu recours à l’ingénierie sociale via LinkedIn, se cachant derrière la ruse des offres d’emploi attrayantes, mais fausses. Après avoir pris pied, les attaquants ont déployé leurs logiciels malveillants personnalisés à plusieurs niveaux, ainsi que des outils à code source ouvert modifiés. Outre les logiciels malveillants, les adversaires ont utilisé diverses tactiques, abusant d’outils légitimes et des fonctions du système d’exploitation. Plusieurs techniques ont été utilisées pour éviter la détection, notamment la signature de code, la recompilation régulière de logiciels malveillants et l’usurpation d’identité de logiciels et d’entreprises légitimes.

Selon notre enquête, le but premier de l’opération était l’espionnage. Cependant, dans l’un des cas sur lesquels nous avons enquêté, les attaquants ont tenté de monétiser l’accès au compte de messagerie d’une victime par une attaque de compromission de messagerie d’entreprise (BEC) comme étape finale de l’opération.

Bien que nous n’ayons pas trouvé de preuves solides reliant les attaques à un acteur connu de la menace, nous avons découvert plusieurs indices suggérant un lien possible avec le groupe Lazarus, y compris des similitudes dans le ciblage, l’environnement de développement et les techniques anti-analyse utilisées.

Compromission initiale

Dans le cadre de la phase initiale de compromission, les attaquants de l’opération In(ter)ception avaient créé de faux comptes LinkedIn en se faisant passer pour des représentants en ressources humaines de sociétés bien connues dans les secteurs de l’aérospatiale et de la défense. Dans le cadre de notre enquête, nous avons vu des profils se faisant passer pour Collins Aerospace (anciennement Rockwell Collins) et General Dynamics, deux grandes entreprises américaines dans ce domaine.

Une fois les profils établis, les attaquants ont recherché les employés des entreprises ciblées et leur ont envoyé des offres d’emploi fictives en utilisant la fonction de messagerie de LinkedIn, comme le montre la figure 1. (Notez que les faux comptes LinkedIn n’existent plus).

Article complet sur :

https://www.welivesecurity.com/fr/2020/06/17/operation-interception-cyberespions-aerospatial-militaire/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-190620

Survey shows rise in scam robocalls amid COVID‑19 fears

The unsolicited phone calls tout everything from miracle cures to financial relief – here's how you can stay safe

Amer Owaida 

The public concern and confusion surrounding the COVID-19 pandemic have offered an array of opportunities for con artists, who have pulled every trick from their books to cash in on people – including by dint of robocalls. A recent survey conducted by senior services company Provision Living and involving 4,038 Americans speaks volumes in this regard.

“Nearly a quarter of respondents said they’ve experienced an increase in robocalls since COVID-19 and 1 in 5 people have received a robocall regarding COVID-19,” said the survey. Most commonly, the robocalls and text messages claimed to provide treatment (22%), financial relief (18%), and free COVID-19 testing (18%).

To be sure, this won’t surprise our regular readers, who are by now well aware of coronavirus-themed scams that involve fake charities, bogus testing kits, credit card-stealing websites, and even extortion, to name just a few recurrent riffs on the same theme.

But let’s go back to the survey, which showed that two out of five callers claimed to represent the Social Security Administration (SSA), 38% impersonated Internal Revenue Service (IRS) officials, and over a third claimed to be from travel companies. These all seem to be clever ruses since the pandemic has forced a lot of people to cancel their vacation plans and some have fallen on hard times.

A total of 15% have received a robocall regarding their stimulus checks from people claiming to be from the IRS – it’s important to note that the IRS doesn’t normally call people. Also, the revenue service will not ask you to use a specific payment method (debit card, gift card, wire, etc.) but will usually first mail the taxpayer a bill with any taxes they owe.

Generally speaking, scams involving the IRS aren’t all that uncommon; some cybercriminals attempt to commit tax refund fraud by stealing other peoples’ identities using robocalls as well.

The incessant robocalls have had another adverse effect – over half of the respondents have become fearful in answering calls from unrecognizable numbers, while 46% missed an important call because they thought it was a robocall. On the other hand, the scams have also encouraged vigilance; almost three-quarters of respondent Google an unknown number before calling back.

How to protect yourself

Here’s how you can avoid falling prey to fraud facilitated by robocalls and scammy text messages:

·       If you received a robocall, hang up and immediately add it to the list of blocked numbers on your phone.

·       You can list your number into a national do not call registry or list. Here are the links to the various registries offering the service – in the United States, Canada, the United Kingdom, India, Australia, New Zealand, and Singapore.

·       Never divulge any personally identifiable information such as your social security number, address, birthday, or tax identification number if you are not sure who you are talking to.

·       Always verify the identity of the caller – ask them to identify themselves and then check this information with the organization they are claiming to represent.

·       Some network providers also offer their own fraud and spam blocking apps, so you can check with them and download it to your device. Alternatively, you can use a third-party app that provides the service, but be sure to research it carefully.

·       Also be sure to educate your family members about the dangers of robocalls and fraudulent texts, especially the elder ones since they are the most susceptible.

Top tips voor cyberveiligheid tijdens videoconferentie

ESET Hoofd Veiligheidsevangelist Tony Anscombe deelt advise over hoe je jouw virtuele ontmoetingen privaat en veilig kan houden terwijl je thuis zit tijdens de pandemie

Door  Peter D'Hollander  en eerder verschenen op WeLiveSecurity en Computertaal.

Met miljoenen mensen opgesloten in hun huizen waar ze leren omgaan met de coronavirus lockdown, zijn virtuele conferentie apps een godsgeschenk. De gemakkelijk toegankelijke applicaties zijn de oplossing voor ontelbare mensen die proberen te verbinden met vrienden, familieleden of collega’s, of gewoon lessen willen volgen.

Het mag niet verbazen dat deze apps plots veel meer gebruikers zien verschijnen. Zo groeide het aantal Zoom gebruikers maal twintig tussen december 2019 en maart 2020. De kans is groot dat ook jij toepassingen zoals Zoom of Microsoft Teams recent gebruikt hebt om ten minste werk gerelateerde video-oproepen uit te voeren, of online klassen te volgen.

Nu moet je er enkel nog voor zorgen dat je meetings privaat en veilig zijn en niet te maken krijgen met ongewenste participanten. Gelukkig kan je de apps afschermen.

In de video, deelt ESET Hoofd Veiligheidsevangelist Tony Anscombe een aantal eenvoudige stappen die je helpen om je virtuele vergaderingen veilig te houden. Zo ontdek je bijv. waarom het belangrijk is om met de juist einstellingen van je app te beginnen. Meer precies:

·       Welke instellingen het belangrijkst zijn

·       Waar wachtwoorden meespelen

·       Hoe wachtkamers kunnen helpen

·       Waarom aanwezig zijn

·       Hoe voorkom je dat je de geheimen van je bedrijf deelt

·       Waarom beperk je het delen van een scherm

·       Waarom moet je privacy regels lezen

Lees het volledig artikel op

https://computertaal.info/2020/04/15/top-tips-voor-cyberveiligheid-tijdens-videoconferentie/