Intrusion Truth révèle l’identité du groupe APT17 et ses liens avec le gouvernement chinois

Sécurité : Les deux précédentes révélations d'Intrusion Truth - pour APT3 et APT10 - ont donné lieu à des accusations du ministère américain de la Justice. 

Libellés

hackers Chinois

 

 

Par Catalin Cimpanu | Vendredi 26 Juillet 2019

Suivre @zdnetfr

 

Intrusion Truth, un groupe en ligne d’analystes anonymes en cybersécurité, a publié de nouvelles révélations portant sur un nouveau groupe de cyberespionnage lié au gouvernement chinois.
Il s’agit du troisième groupe chinois de cyberespionnage (groupes généralement désignés sous le terme d’APT, ou menace persistante avancée) dont Intrusion Truth révèle l’identité.
Ils avaient auparavant révélé l'identité d'individus appartenant à deux groupes de hackers chinois en mai 2017 et août 2018 : APT3 et APT10.
Ces révélations ont abouti à la mise en accusation par le ministère de la Justice de certains membres du groupe en novembre 2017 et en décembre 2018.

Nouvelle année, nouveau dox

Intrusion Truth est aujourd’hui de retour avec une nouvelle série de révélations. Au cours de la semaine écoulée, le groupe a publié des détails sur trois individus qui, selon lui, sont à l'origine du groupe APT17.
APT17 est un nom de code - associé à Deputy Dog et Axiom - que les entreprises de cybersécurité ont attribué au groupe de pirates informatiques responsables d'une série de cyberattaques similaires survenues au début des années 2010 [1, 2, 3, 4, 5. ], et qui ont ciblé des entreprises privées comme des agences gouvernementales, dans des pays du monde entier.
Intrusion Truth pointe du doigt un homme, dirigeant de quatre sociétés chinoises, soupçonné d’être un officier du ministère chinois de la Sécurité d’Etat, accompagné de deux pirates informatiques [1, 2], qui auraient travaillé pour les sociétés citées.
Les trois points communs sont leur emplacement dans la ville de Jinan, capitale de la province chinoise du Shandong.
Selon Intrusion Truth, ces trois personnes sont membres d’APT17 et seraient des sous-traitants du bureau de Jinan du ministère chinois de la Sécurité d’État (MSS), pour lequel ils ont effectué des opérations de piratage.

L'implication du gouvernement chinois n’est pas une surprise

L'affirmation d'Intrusion Truth selon laquelle "APT17 est géré par le bureau de Jinan du ministère chinois de la Sécurité de l’État (MSE)," n’a rien de surprenant.
En 2017, quand Intrusion Truth a affirmé pour la première fois qu'APT3 était une société nommée Boyusec, contractant du ministère de la Sécurité d'État dans le Guangdong, la communauté de la sécurité informatique avait du mal à croire leurs accusations.
Néanmoins, quelques mois plus tard, la société de cybersécurité Recorded Future a confirmé de manière indépendante les révélations d’Intrusion Truth. Celles-ci ont par la suite donné lieu à des accusations du ministère de la Justice, conférant au groupe une immense crédibilité.
À l'époque, le rapport de Recorded Future décrivait la structure interne du MSE et expliquait comment le gouvernement chinois utilisait un réseau de succursales locales dans les principales provinces pour embaucher des sous-traitants indépendants afin de mener des opérations de piratage contre des sociétés étrangères et des réseaux gouvernementaux.

 

Hiérarchie du ministère chinois de la sécurité d’état

Compte tenu de ces détails, le dernier rapport d'Intrusion Truth selon lequel APT17 est géré par un bureau local du MSS n'est pas si choquant qu'il l'était en 2017.
Après les révélations sur APT3 et APT10, les gens ne se demandent plus si Intrusion Truth a raison. La question sur toutes les lèvres est de savoir si le ministère américain de la Justice donnera suite à de nouveaux actes d'accusation, comme il l'a fait les années précédentes.

Un bruit constant de pirates chinois

Mais alors que le monde de la cybersécurité attend de nouvelles accusations, les pirates chinois poursuivent leurs tentatives de piratage informatique, sans se laisser abattre par les deux accusations passées du ministère américain ou par les stratégies de « Name and shame. »
Aujourd'hui, des journaux français et allemands ont révélé deux opérations chinoises de piratage informatique qui, même si elles ne sont pas connectées à APT17, montrent l’étendue du réseau chinois de cyberespionnage.
En France, L'Opinion a révélé comment des pirates chinois ont pénétré dans les comptes de courrier électronique d'un candidat français à la direction de l'Organisation des Nations unies pour l'agriculture et l'alimentation (FAO) quelques jours avant les élections officielles, qui ont finalement été remportées par le diplomate chinois.
En Allemagne, les journalistes ont révélé une série de cyberattaques visant les plus grandes entreprises allemandes telles que Siemens, Bayer, Rouche, Thyssenkrupp, Teamviewer, Valve, Gameforge, etc.


Source. : APT-doxing group exposes APT17 as Jinan bureau of China's Security Ministry

A lire aussi :

Les meilleurs espions piratent d'autres espions : APT russe versus APT iranienne

Turla APT a piraté le groupe iranien APT34 et a utilisé ses serveurs C&C pour infecter à nouveau les victimes d'APT34 avec...

Les appareils photo dotés de Wi-Fi eux aussi vulnérables aux ransomwares

Les appareils photo dotés de Wi-Fi eux aussi vulnérables aux ransomwares


Alors qu'ils sont parmi les rares appareils à ne pas être connectés en permanence à Internet, les appareils photo disposant d'une connectivité au Wi-Fi n'en sont pas moins vulnérables aux pirates.

Libellés

Hackers, WiFi

 

 

Des chercheurs ont découvert que les reflex et hybrides de marque Canon étaient particulièrement faciles à détourner grâce à une vulnérabilité au niveau de leur carte Wi-Fi.

Le protocole de transfert mis en cause

Si les DSLR et hybrides ne se connectent pas à Internet, ils peuvent se connecter à nos smartphones par l'intermédiaire d'un réseau courte portée émis par leur carte Wi-Fi. Et ce réseau, explique Check Point Research, est particulièrement vulnérable aux ransomwares.

D'après les chercheurs à l'origine de cette découverte, le Protocole de Transfert de Photographies (PTP) est très sensible aux attaques extérieures. Et pour cause : celui-ci ne requiert aucune authentification ; que l'appareil photo soit branché ou non.

Si un pirate se trouve dans la zone couverte par le réseau Wi-Fi de l'appareil, il est en mesure de s'introduire de façon discrète sur celui-ci afin de, par exemple, extraire le contenu de la carte SD ou le chiffrer.

Lire aussi :
Le Canon EOS M6 Mark II livre ses premiers détails : capteur 32 MP et 4K au menu

Le contenu de la carte SD : un eldorado pour pirates

Partant du principe que la carte SD d'un appareil photo contient des informations sinon sensibles, personnelles, les pirates seraient de plus en plus friands de ce genre de pratiques.

Les utilisateurs touchés verraient alors apparaître un message leur indiquant que le contenu de leur carte a été chiffré et que seul le versement d'une rançon leur permettrait de le recouvrir.

Avisé en mars dernier de la découverte de Check Point Research, Canon a publié un communiqué intimant à ses utilisateurs de restreindre l'utilisation de la fonctionnalité Wi-Fi de leurs appareils. Le constructeur conseille aussi à ses clients d'installer le dernier firmware correspondant à leur appareil depuis le site officiel.

Lire aussi :
Comparatif 2019 : les meilleurs appareils photo, par catégories

Si Canon est particulièrement visé par les découvertes de Check Point Research, de nombreux autres constructeurs utilisent également le protocole PTP pour transférer le contenu d'une carte SD vers un appareil via un réseau Wi-Fi. La prudence est donc de mise, quel que soit votre appareil.

Via : Engadget

REF.:

 

Voici les codes qui permettent d'accéder aux catégories cachées de Netflix

De quoi s'amuser pendant longtemps, très longtemps.

Si vous êtes abonnés à Netflix depuis un certain temps, vous devez parfois vous sentir limité par les choix de films. Heureusement, on a pensé à vous et on vous propose de découvrir les codes qui permettent d'accéder aux catégories cachées de Netflix. Oui, les catégories cachées.

Libellés

netflix

 

 

C'est BFM TV qui rapporte cette nouvelle qui risque de plaire à tous les abonnés de Netflix qui sont à la recherche de nouveaux films à regarder. En effet, il existe des catégories cachées et on va vous expliquer comment y accéder grâce à l'aide de codes qui ouvrent un nouveau monde de possibilités. Ainsi, vous allez pouvoir accéder à des catégories bien plus précises et donc à de nouveaux films. Une très bonne nouvelle pour tous ceux qui se plaignent du manque de choix sur la plateforme de streaming au plus de 151 millions d’abonnés.
Pour accéder à cet eldorado, rien de plus simple, il suffit d'ajouter un code bien précis à l'URL suivant: https://www.netflix.com/browse/genre
Par exemple, si vous voulez regarder des films français vous devez ajouter le code 58807 à l'URL de base. Voilà ce que ça donne:  https://www.netflix.com/browse/genre/58807
Avec ces codes, vous allez donc pouvoir rechercher des films notamment par période, par âge ou encore par prix décerné. Au total, plus de 27 000 codes sont disponibles. De quoi s'amuser pendant longtemps, très longtemps.
BFM TV indique que les codes les plus utilisés sont les suivants:
- Les grands classiques du cinéma: 31574
- Les classiques de la comédie: 31694
- Les drames classiques (29809)
- Les classiques de la science-fiction et du fantastique (47147)
- Les grandes épopées (52858)
- Les grands classiques actions et aventures: 46576
- Les comédies d'action: 43040
Les codes également populaires sont ceux qui permettent de chercher des films par pays.
- Film d'action asiatique: 77232
- Films allemands: 58886
- Films anglais: 10757
- Films australiens: 5230
- Films italiens: 8221
- Films japonais: 10398
Vous l'aurez compris, ces codes promettent des heures et des heures de plaisir pour les prochaines semaines. On est persuadé que certains d'entre vous vont les utiliser tout de suite après avoir lu ce texte et ils ont raison, il n'y a pas de mal à se faire plaisir. Pour les plus curieux d'entre vous, tous les codes sont disponibles ici.



REF.:

L’ordinateur du fils d’un cadre serait à l’origine de la cyberattaque contre l’OACI

Le lanceur d'alerte Vincent Smith a travaillé pour l'OACI et d'autres agences de l'ONU.

Radio-Canada

2019-07-25 | Mis à jour le 26 juillet 2019

 

 

Libellés

cyberattaques

 

 

La plus grave cyberattaque contre l’Organisation de l’aviation civile internationale (OACI), agence de l’ONU basée à Montréal, aurait été lancée à partir de l’ordinateur du fils du président de son conseil, a dévoilé à CBC un lanceur d’alerte.

Selon un texte de Debra Arbec pour CBC News

En février dernier, CBC/Radio-Canada dévoilait que l’OACI avait tenté de dissimuler une cyberattaque sans précédent contre son réseau, orchestrée en novembre 2016.

Cinq mois plus tard, le directeur de l’administration et des services de l’agence, Vincent Smith, sort publiquement et accuse la secrétaire générale de l’OACI

, Fang Liu, et le président du conseil de l’agence, Olumuyiwa Benard Aliu, de mauvaise conduite.

M. Smith a indiqué à CBC qu’on l’avait prévenu qu’il s’apprêtait à faire un suicide professionnel, mais il juge qu’il est de son devoir de dévoiler ces informations.

Il y a de la fumée et rien n’est fait, a indiqué Vincent Smith en entrevue. Je me préoccupe pour l’agence. Je dois être conséquent avec ma conscience.

Fang Liu (gauche) et Olumuyiwa Benard Aliu (droite) lors d'un forum de l'OACI en novembre 2015

Photo : La Presse canadienne / Paul Chiasson

Dans différents rapports rédigés par M. Smith en juin et juillet et destinés aux 36 pays membres de l’agence en plus de son bureau d’éthique, le cadre détaille la façon dont la cyberattaque s’est déroulée et de quelle manière les espions ont pu infiltrer le réseau de l’OACI

.

CBC a obtenu une copie de ces rapports avec l’aide d’une source confidentielle.

Dans l’un de ces rapports, M. Smith raconte avoir reçu le 25 février dernier un courriel de la part du responsable de la sécurité des systèmes d'information de l’OACI

, Si Nguyen Vo, dans lequel il est expliqué que l’ordinateur portable d’un ancien agent en informatique, Maxim Aliu, a été infecté lors d’un voyage au bureau régional de l’agence à Pékin en 2010.

Maxim Aliu est le fils du président du conseil de l’OACI

, Olumuyiwa Benard Aliu, qui était, en 2010, le représentant du Nigeria au conseil.

« Patient zéro »

Le courriel envoyé par M. Vo fait référence à Maxim Aliu comme étant le « patient zéro » et que son ordinateur portable a servi de porte d’entrée au groupe Emissary Panda pour accéder au réseau informatique de l’OACI

.

Emissary Panda est un groupe très raffiné et discret de cyberespions ayant des liens avec le gouvernement chinois.

Un rapport de l’ONU a dévoilé que M. Aliu avait un statut d’administrateur de réseau entre avril 2012 et janvier 2015, explique Vincent Smith.

Les comptes des administrateurs de réseau et des administrateurs de domaine auraient été compromis lors de la cyberattaque, donnant accès aux espions aux adresses courriel et aux mots de passe de l’OACI

.

M. Vo a également écrit à M. Smith pour lui indiquer qu’une chronologie de l’attaque avait été réalisée et que « plusieurs » autres brèches auraient été découvertes, dont une concernant des fonds communs.

Le responsable de la sécurité des systèmes d’information a également dévoilé à M. Smith qu’un dossier de sécurité aurait été effacé entre novembre 2018 et janvier 2019, entraînant la perte de toute information sur les brèches informatiques, y compris les procédures, les plans d’action et l’historique des attaques.

Dans un échange de courriels avec CBC, l’OACI

réfute les allégations de Vincent Smith quant à l’origine de la cyberattaque.

Nous pouvons confirmer [qu’un rapport] sur ce sujet en 2017 n’attribuait pas la responsabilité de la brèche de sécurité à une personne en particulier ou à un appareil, indique un porte-parole de l’OACI

, William Raillant-Clark.

Selon le porte-parole, l’OACI

a également invité l’ONU et des experts indépendants à mener une enquête approfondie sur son plan d’action face à l’attaque informatique.

Environnement de travail « toxique et hostile »

Au-delà de la cyberattaque orchestrée par Emissary Panda, c’est l’environnement de travail à l’OACI

qui inquiète particulièrement Vincent Smith.

Dans ses rapports, le directeur Vincent Smith décrit l’OACI

sous la gouverne de Fang Liu comme un environnement toxique et hostile caractérisé par du favoritisme et du copinage.

Cela a non seulement créé une culture d’impunité et innocenté des contrevenants allégués, mais a favorisé un culte de la personnalité et une loyauté indéfectible envers la secrétaire générale de la part de ces personnes innocentées sans enquête, a écrit M. Smith tout en précisant que ces personnes sont des employés de sa direction.

Un lanceur d'alerte travaillant pour l'OACI dénonce un culte de la personnalité autour de la directrice générale de l'agence.

Photo : Reuters / Christinne Muschi

Rappelons que quatre membres de l’équipe des technologies de l’information et de la communication de l’OACI

avaient tenté de dissimuler des preuves de leur propre incompétence.

CBC/Radio-Canada avait dévoilé en février dernier que ces personnes étaient toujours employées de l’OACI

et qu’aucune enquête interne n’avait été menée à leur sujet.

Aucune des personnes ayant supposément fait de l’obstruction lors de la cyberattaque de 2016-2017 n’a fait l’objet d’une enquête et je suis toujours leur superviseur, mais sans aucune autorité sur elles, se désole Vincent Smith.

M. Smith accuse Mme Liu d’être allée à l’encontre des recommandations formulées par le Bureau des services de contrôle interne de l’ONU, qui exigeait une enquête sur les quatre employés des TIC.

Le directeur dénonce aussi comment cette même culture a fait de lui une cible de harcèlement, d’intimidation et de représailles par ces employés impliqués dans la dissimulation de preuves, en plus de leur patron. Selon M. Smith, en n’ayant pas à faire l’objet d’une enquête, ces employés se sont sentis encouragés à le mettre de côté.

J’étais maintenant perçu comme un ennemi déloyal et indigne de confiance, dénonce M. Smith dans l’un de ses rapports. Le directeur juge que cette expérience a nui à sa santé, et il est en congé de maladie depuis le 26 mars.

Plus stressant qu’être au front

Vincent Smith n’a pas voulu donner plus de détails à CBC sur ses rapports écrits, indiquant que les documents parlent d’eux-mêmes. Il a par contre donné plus de précisions sur l’environnement de travail à l’OACI

.

M. Smith a longtemps travaillé pour l’ONU, dont deux décennies dans des missions de maintien de la paix dans des régions tumultueuses comme l’Afghanistan, la Somalie, Haïti et le Liberia.

Vincent Smith lors de la mission de l'ONU en Somalie en 1993.

Photo : Gracieuseté

Aucun de ces déploiements ne l’a rendu aussi malade que le climat empoisonné à l’OACI

, a-t-il indiqué en entrevue avec CBC.

Dans toutes mes missions avec l’ONU, j’ai tout le temps su que, même dans les moments où j’étais en danger, la culture de l’ONU a toujours été d’offrir le meilleur soutien à ses employés, de réaliser son mandat de manière éthique et pour le plus grand bien de ceux que l’ONU sert, explique M. Smith dans un courriel à CBC.

Malheureusement, mon expérience à l’OACI a été très différente et ne respecte pas les standards que doit respecter une agence de l’ONU. Je trouve également très malheureux que tout employé qui désire adhérer à ces standards soit d’abord ignoré puis freiné et finalement attaqué.

Vincent Smith

Dans ces rapports écrits, Vincent Smith critique l’OACI

pour avoir tu des informations et pour avoir été insensible aux risques potentiels de la cyberattaque pour des Canadiens.

Il y fait référence à l’article de CBC sur la cyberattaque, qui a révélé que les pirates informatiques ont eu accès aux dossiers personnels d’employés anciens et actuels, aux dossiers médicaux des personnes ayant été soignées à la clinique de l’OACI

, aux dossiers des transactions financières et aux données personnelles de tous les visiteurs des bureaux de l’OACI

et des personnes inscrites au site web de l’agence.

À l’époque, l’OACI

avait réfuté ces allégations.

Après ces révélations, le directeur des communications de l’agence, Anthony Philbin, avait publié un communiqué dans lequel il rassurait le public en indiquant que l’OACI ne gardait aucune information privée ou financière qui pourrait représenter un risque pour des Canadiens.

Dans ses rapports, Vincent Smith soutient plutôt que l’OACI

détient effectivement des dossiers sur ses employés qui incluent, entre autres, des numéros d’assurance sociale, des numéros de passeport, des comptes de finance.

En réponse à ces allégations de la part de M. Smith, le porte-parole de l’agence, William Raillant-Clark, soutient qu’aucun employé de l’OACI n’a rapporté de menace ou de dommage occasionné par une vulnérabilité informatique.

M. Smith exige une enquête indépendante sur la conduite de Fang Liu, en plus de celle du président du conseil Olumuyiwa Benard Aliu. Il veut également que ces deux cadres se récusent pour une telle enquête.

Selon Vincent Smith, le président du conseil, M. Aliu, est en conflit d’intérêts puisque c’est l’ordinateur portable de son fils qui serait à l’origine de l’attaque. M. Smith souligne également que l’OACI

a contrevenu à ses propres règles contre le népotisme en employant le père et le fils.

Dans son courriel à CBC, M. Raillant-Clark affirme que l’agence a reçu plusieurs allégations relativement à l’incident de 2016 et qu’elle a lancé un processus pour les examiner. Il serait donc inapproprié de les commenter publiquement.

Vincent Smith a également exigé la protection contre les lanceurs d’alerte en vertu d’un nouveau règlement interne adopté en juin dernier, cinq mois après la publication de l’article de CBC sur la cyberattaque.

À lire aussi :

• La mission canadienne à l'OACI minée par des problèmes de gestion

REF.:

NSA: Avoir les bonnes autorisations pour traiter des documents secrets a la maison ?

 

Le sous-traitant qui avait volé 50 To de données à la NSA condamné à neuf ans de prison

Technologie : Les procureurs n'ont cependant jamais réussi à prouver que l'ancien entrepreneur qui travaillait pour la NSA était à l'origine de la fuite de Shadow Brokers.

Par Catalin Cimpanu | Lundi 22 Juillet 2019

 

Libellés

Hackers, NSA, Edward Snowden, wikiLeaks

 

 

Harold Thomas Martin III, un ancien prestataire travaillant pour l'Agence nationale de sécurité américaine a été accusé et a par la suite plaidé coupable d'avoir volé plus de 50 To de données de la NSA. Il a été condamné à neuf ans de prison.

Harold Martin a été arrêté en octobre 2016 après que le FBI eut perquisitionné son domicile et trouvé des documents qu'il ramenait chez lui depuis des années, sans autorisation. Des fichiers ont été trouvés sur son ordinateur et dans sa voiture.

Certains de ces documents portaient la mention "très secret" et contenaient des renseignements sur l'infrastructure et les outils de la NSA, mais il y avait aussi des documents sur la Central Intelligence Agency (CIA), le US Cyber Command, et le National Reconnaissance Office (NRO).

 

 

Rien ne prouve que Martin ait partagé les dossiers

Martin a travaillé comme entrepreneur pour diverses agences gouvernementales américaines pendant 20 ans, entre 1996 et 2016. Au moment de son arrestation, il travaillait pour Booz Allen Hamilton, la même entreprise où Edward Snowden avait travaillé.

Il avait des autorisations qui lui permettait de traiter des documents et des dossiers sensibles du gouvernement, mais seulement au travail, et non à la maison.

Les procureurs ont décrit la planque de documents gouvernementaux découverts chez Martin comme étant d'une ampleur "époustouflante". Les avocats de Martin ont dit qu'il n'emportait des documents qu'à la maison pour étudier et devenir meilleur dans son travail et non dans l'intention de vendre des secrets d'État.

Aucun lien avec Shadow Brokers n'a jamais été prouvé

Au moment de son arrestation, le Washington Post a rapporté que Martin était le principal suspect dans l'enquête du gouvernement sur les Shadow Brokers, un groupe de pirates informatiques qui ont commencé à divulguer des fichiers NSA et des outils de piratage sur Internet à l'été 2016.

Dans un autre article, le New York Times a suggéré que Martin faisait l'objet d'une enquête pour avoir divulgué des documents à WikiLeaks.

Les autorités américaines ont inculpé Martin en février 2017 et il a signé un plaidoyer de culpabilité en mars 2019. Les procureurs n'ont jamais prouvé que Martin avait des liens avec les Shadow Brokers ou WikiLeaks. Martin a signé un accord de plaidoyer admettant sa culpabilité. Dans le cadre du plaidoyer de culpabilité, les procureurs ont déclaré qu'ils ne demanderaient pas plus de sept ans de prison.

Le juge n'était pas lié par le plaidoyer de culpabilité et a condamné Martin à neuf ans de prison, y compris la durée de la peine, et à trois ans de libération sous surveillance. Martin a 54 ans.

REF.: Article "Contractor who stole 50TB of NSA data gets nine years in prison" traduit et adapté par ZDNet.fr