lundi 17 janvier 2022

Augmentation des cyberattaques dans la région d'Ottawa liées au dark web et à une nouvelle vague de criminels

Augmentation des cyberattaques dans la région d'Ottawa liées au dark web et à une nouvelle vague de criminels

"Le nombre de cyber-acteurs augmente et ils deviennent beaucoup plus sophistiqués."

Auteur de l'article :
Matthieu Lapierre

Date de publication :
20 décembre 2021 • 20 décembre 2021

Les cybercriminels sont de plus en plus nombreux et ciblent les systèmes informatiques avec une plus grande sophistication
Les cybercriminels sont de plus en plus nombreux et ciblent les systèmes informatiques avec une plus grande sophistication

En septembre, sur un site Web sur une partie cachée d'Internet, des tonnes de données confidentielles sont apparues.

Les données ressemblaient à une liste de dossiers et de fichiers, étiquetés avec des titres comme "Client_web_backup". Les fichiers provenaient de serveurs informatiques appartenant à la Société de Transports de L'Outaouais — le fournisseur de transport en commun de Gatineau.

Un message inquiétant l'accompagnait : « la STO a subi une brèche et ils ont refusé de payer ».

Ce journal a passé en revue les données de la STO qui ont été mises en ligne. Nous avons choisi de ne pas identifier le groupe qui a orchestré la violation de données, ni le site sur lequel les données ont été publiées, car cela pourrait amener d'autres personnes à les trouver et à les utiliser.

Les responsables de la violation de données ont déclaré à ce journal qu'ils avaient demandé à la STO une rançon de 3 millions de dollars américains pour que les données soient supprimées du Web.

L'apparition des données a plongé la STO dans le chaos. "L'attaque a été très grave", a déclaré Patrick Leclerc, PDG de la STO, aux journalistes lors d'une conférence de presse en septembre. "Pour faire simple, c'est comme si les attaquants mettaient un verrou sur nos systèmes pour nous empêcher de les utiliser... Suite au refus de la STO de payer la rançon demandée, les cyber-attaquants ont publié des fichiers sur le dark web."

Le scénario décrit par Leclerc est de plus en plus courant. Les cybercriminels sont de plus en plus nombreux et ciblent les systèmes informatiques avec une plus grande sophistication et les forces de l'ordre sont confrontées à une pression accrue pour trouver et arrêter les responsables.

"Le nombre de violations de données, aujourd'hui, a atteint son apogée - pour ne pas dire qu'il va baisser", a déclaré Vern Crowley, un sergent-détective travaillant au sein de l'unité de cybercriminalité de la Police provinciale de l'Ontario.

Crowley a été aux premières loges de la montée de la cybercriminalité au cours de la dernière décennie et de son récent pic. Il a grandi avec une affinité pour les ordinateurs, a-t-il dit, et, lorsqu'il s'est joint à l'OPP il y a plus de 30 ans, la force commençait tout juste à passer au numérique. Crowley est rapidement devenu "l'un de ces gars qui aide au bureau, aide à réparer et/ou à configurer certains des systèmes informatiques".

Des tonnes de données confidentielles ont été dérobées à la Société de transport de l'Outaouais cet automne. Les responsables de la violation de données ont déclaré à ce journal qu'ils avaient demandé à la STO une rançon de 3 millions de dollars américains pour que les données soient supprimées du Web. Suite au refus de la STO de payer la rançon, les cyber-attaquants ont publié des fichiers sur le dark web.
Des tonnes de données confidentielles ont été dérobées à la Société de transport de l'Outaouais cet automne. Les responsables de la violation de données ont déclaré à ce journal qu'ils avaient demandé à la STO une rançon de 3 millions de dollars américains pour que les données soient supprimées du Web. Suite au refus de la STO de payer la rançon, les cyber-attaquants ont publié des fichiers sur le dark web.

La force a remarqué le talent de Crowley pour les ordinateurs et l'a envoyé suivre une formation en criminalistique numérique au Collège canadien de police. À son retour, il a travaillé sur des enquêtes sur les voies numériques, passant du temps à extraire des preuves d'ordinateurs et de disques durs saisis lors d'enquêtes.

Au fur et à mesure que la Police provinciale de l'Ontario numérisait ses systèmes, devenant de plus en plus dépendante des ordinateurs, le reste du monde en faisait de même. Les entreprises et les gouvernements ont commencé à stocker leurs informations confidentielles de nouvelles façons - le cloud computing est devenu la norme en 2010 - et les voleurs et les pirates cherchaient des moyens de les voler.

Vers 2015, Crowley et d'autres de l'OPP ont remarqué une augmentation du nombre de systèmes informatiques attaqués. Les ordinateurs n'étaient plus simplement utilisés pour faciliter d'autres crimes, comme la fraude. Désormais, alors que les personnes, les entreprises et les institutions dépendaient des systèmes informatiques, les criminels accédaient à ces systèmes, les ciblaient et les retenaient en otage.

Mais Crowley et ses collègues ont remarqué qu'en tant que policiers, ils n'avaient pas vraiment les outils ou les ressources pour sévir contre cette nouvelle race de criminels. "Nous n'avions pas la capacité ou la capacité à l'époque de mener une enquête complexe sur la cybercriminalité", a-t-il déclaré. Alors, L'OPP a créé son unité de cybercriminalité, qui a officiellement commencé à fonctionner en 2018, et Crowley est devenu l'un de ses premiers membres.

Aujourd'hui, Crowley et ses collègues répondent aux appels où la technologie est la cible du crime. Aux débuts de l'unité de cybercriminalité, ces crimes, bien qu'ils ne soient pas nécessairement rares, étaient souvent le résultat d'un petit nombre de personnes dans le monde qui avaient des capacités de piratage avancées.

Mais maintenant, ces compétences et la capacité d'accéder aux systèmes informatiques sont devenues facilement accessibles même aux programmeurs non qualifiés.

« Le nombre de cyberacteurs augmente et ils deviennent beaucoup plus sophistiqués », a déclaré Sami Khoury, chef du Centre canadien pour la cybersécurité (CCCS), qui surveille et met en garde contre les nouvelles cybermenaces au Canada. Le centre a été créé en 2018, la même année que Crowley et l'unité de cybercriminalité de l'OPP ont commencé à travailler. "Quelles capacités, il y a quelques années, nous pensions être du domaine de très, très peu d'acteurs, maintenant elles deviennent encore plus répandues", a déclaré Khoury.

Un rapide aperçu des sites de rançongiciels sur Tor, un navigateur Internet qui permet aux utilisateurs d'accéder à des parties d'Internet inaccessibles via un navigateur normal, révèle tout un marché caché. Il a toujours été dit que tout peut être acheté sur cette partie d'Internet, familièrement connue sous le nom de "web sombre". De la drogue au tueur à gages, tout est là. le Ce journal a récemment scanné le dark web et a trouvé des services de rançongiciels facilement disponibles et une multitude d'ensembles de données volés à des entreprises et des institutions, y compris les données de la STO et d'autres du Québec, de l'Ontario et de partout au Canada.

Une violation de données se produit lorsqu'un pirate accède à un réseau de données, ce qui peut se faire de multiples façons - en envoyant des e-mails de phishing ou en trouvant des faiblesses dans le site Web ou l'application mobile d'une entreprise, par exemple.

Une fois à l'intérieur, les cybercriminels volent des données ou les rendent inutilisables, obligeant leurs victimes à racheter l'accès à leurs propres informations. Cette dernière menace est appelée une attaque de ransomware. Les entreprises et les particuliers peuvent se protéger, ont déclaré Khoury et Crowley, en ayant des mots de passe forts et en utilisant une authentification multifacteur, et, s'ils sont victimes d'une cyberattaque, ils doivent signaler l'incident à l'OPP et au CCCS.

Contenu de l'article Cela vaut la peine d'être préparé, a déclaré Crowley, car "ce n'est pas une question de savoir si (une cyberattaque se produira), c'est une question de quand". Les cybercriminels « tirent sans discernement dans toutes les directions », a déclaré Khoury. "Ils n'ont aucun scrupule, ils vont là où ils peuvent trouver de l'argent ou là où ils pensent que la victime doit payer." Les patients du Rideau Valley Health Centre ont commencé à rencontrer des problèmes avec leurs réservations en raison d'une cyberattaque, et un mois plus tard, le centre de santé signalait toujours des problèmes.

Les patients du Rideau Valley Health Centre ont commencé à rencontrer des problèmes avec leurs réservations en raison d'une cyberattaque, et un mois plus tard, le centre de santé signalait toujours des problèmes.

En plus de la STO, plusieurs établissements de santé et municipalités de la région d'Ottawa ont récemment signalé être touchés par des « incidents de cybersécurité ». Le Centre de santé de la vallée Rideau, l'hôpital du district de Kemptville et la municipalité de Clarence-Rockland sont parmi ceux qui ont été touchés. Ces types d'incidents, qui sont souvent causés par des rançongiciels, peuvent paralyser un réseau et interrompre les capacités informatiques pendant des semaines ou plus. Les patients ont commencé à rencontrer des problèmes avec leurs réservations au Rideau Valley Health Centre à la fin octobre et un mois plus tard, le centre de santé signalait toujours des problèmes. L'hôpital de Kemptville a déclaré à ce journal le 23 novembre que les travaux de restauration de ses systèmes informatiques étaient en cours, "mais nous avons pu reprendre la plupart de nos services ces dernières semaines, à l'exception de certains services d'imagerie diagnostique".

Et les criminels à l'autre bout de ces attaques restent souvent dans l'ombre. "La technologie fonctionne pour les forces de l'ordre, mais elle fonctionne contre nous", a déclaré Crowley. «Les cybercriminels utilisent des technologies telles que Tor, la crypto-monnaie, pour aider à se cacher des forces de l'ordre. Contrairement à CSI, où il faut une heure pour résoudre l'affaire, malheureusement, cela prend beaucoup plus de temps que cela. Les responsables de l'application des lois ont cependant eu un certain succès. La Police provinciale de l'Ontario a arrêté Matthew Philbert, 31 ans, d'Ottawa, le 30 novembre, après une enquête de 22 mois. Les enquêteurs ont déclaré que Philbert, qui fait face à trois accusations liées à la cybercriminalité, était prolifique dans son utilisation de ransomwares, ciblant tout le monde, des gouvernements aux particuliers. "C'est un type de crime très laid et invasif », a déclaré le dét. Insp. Matt Watson de la Direction des enquêtes criminelles de la Police provinciale de l'Ontario a parlé des actions présumées de Philbert.

Mais, alors que Watson et l'OPP ont qualifié l'arrestation de Philbert de victoire lors d'une récente conférence de presse, l'ampleur du problème croissant de la cybercriminalité planait sur leur annonce. "J'ai toute une équipe de cyber-enquêteurs et ils sont pleinement employés en ce moment", a déclaré Watson à ce journal. "Je pourrais utiliser 10 enquêteurs de plus."

REF.: https://ottawacitizen.com/news/rise-in-ottawa-area-cyberattacks-tied-to-dark-web-and-new-wave-of-criminals?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter

Après le Coronavirus: Moderna a déja démarré les essais cliniques d'un vaccin contre la slérose en plaques

Un virus connu possiblement à l’origine de la sclérose en plaques

La sclérose en plaques fait partie des maladies auto-immunes chroniques. Elle cible le système nerveux central et affecte plus de 90 000 personnes au Canada.

Agence France-Presse

le 14 janvier 2022

La sclérose en plaques est très probablement provoquée par le virus d'Epstein-Barr, selon une nouvelle étude de chercheurs américains, qui ont pour la première fois identifié un responsable de cette maladie auto-immune.

Cette découverte soulève l'espoir de la mise au point possible d'un futur traitement, qui permettrait de guérir cette maladie affectant environ 2,8 millions de personnes dans le monde.

Environ 95 % de l'ensemble des adultes sont infectés par le virus d'Epstein-Barr (EBV), qui peut également provoquer d'autres maladies, comme la mononucléose.

L'étude, publiée cette semaine dans la prestigieuse revue Science, montre que ce virus est nécessaire au développement de la sclérose en plaques, même si toutes les personnes infectées ne développent pas cette maladie pour autant.

Difficile à prouver

L'hypothèse était étudiée depuis plusieurs années, mais difficile à prouver, notamment parce que ce virus est très commun et que les symptômes de la maladie ne commencent qu'environ 10 ans après l'infection.

Il s'agit de la première étude fournissant une preuve convaincante de causalité, a déclaré Alberto Ascherio, auteur principal et professeur d'épidémiologie à l'école de santé publique Harvard.

« C'est un pas important, car cela suggère que la plupart des cas de sclérose en plaques pourraient être empêchés en stoppant l'infection au virus d'Epstein-Barr. Viser ce virus pourrait conduire à la découverte d'un remède. »
— Une citation de Alberto Ascherio, auteur principal de l'étude

Les chercheurs ont suivi durant 20 ans plus de 10 millions de jeunes adultes engagés dans l'armée américaine, dont 955 ont été diagnostiqués comme atteints de sclérose en plaques durant leur service.

Selon ces travaux, le risque de contracter la sclérose en plaques était multiplié par 32 après avoir été infecté par le virus d'Epstein-Barr, mais restait inchangé après l'infection par d'autres virus.

D'autres facteurs

Selon des chercheurs de l'Université de Stanford ayant publié un commentaire de l'étude dans la revue Science, d'autres facteurs, par exemple génétiques, pourraient jouer un rôle dans le fait de développer ou non la maladie.

La sclérose en plaques est une maladie auto-immune du système nerveux central (cerveau et moelle épinière). Elle provoque un dérèglement du système immunitaire, qui s'attaque à la myéline, la gaine servant à protéger les fibres nerveuses.

Essais cliniques en cours

Évoluant par poussées, la maladie est très variable d'un patient à l'autre, mais elle peut aboutir à des séquelles et elle est l'une des causes fréquentes de handicap chez les jeunes adultes.

L'entreprise américaine Moderna(vous savez la technologie a ARN messager de Pfizer et a développé une pilule anti-Covid avec la société française Novasep ) a annoncé la semaine dernière avoir démarré les essais cliniques sur des humains d'un vaccin contre le virus d'Epstein-Barr.

REF.: https://ici.radio-canada.ca/nouvelle/1854557/origine-sclerose-plaques-virus-epstein-barr-recherche

mercredi 12 janvier 2022

De C2 à C3 : les pirates informatiques deviennent ésotériques lorsqu'ils couvrent des empreintes de pas, appellent chez eux.

De C2 à C3 : les pirates informatiques deviennent ésotériques lorsqu'ils couvrent des empreintes de pas, appellent chez eux.

Facebook Twitter LinkedIn Tumblr Pinterest Reddit
C2 à C3

Pour de nombreux professionnels de l'informatique qui ne se concentrent pas étroitement sur l'espace de sécurité de l'information, un récent blog de FireEye détaillant les techniques utilisées par les affiliés du syndicat de ransomware DarkSide dans l'attaque Colonial Pipeline était le premier qu'ils avaient entendu parler du cadre C3 - une commande et un contrôle personnalisés. plate-forme pour les professionnels de la sécurité offensive qui a été publiée pour la première fois publiquement par F-Secure Labs en septembre 2019.

Un groupe de menaces surnommé « UNC2628 » utilisait le cadre C3 pour masquer leur trafic d'origine, en faisant passer par procuration les communications de commande et de contrôle (C2) via l'API Slack, a déclaré FireEye, ajoutant que « sur la base des autres TTP de cet acteur, ils [également] utilisaient probablement C3 pour brouiller le trafic Cobalt Strike BEACON. (Cobalt Strike est un produit de test de pénétration commercial largement utilisé par les cybercriminels également, qui permet à un attaquant de déployer un agent nommé « Beacon » sur la machine victime avec de nombreuses fonctionnalités coquines.)

Avec C3 capable d'aider les attaquants à utiliser même les imprimantes en réseau comme canal C2, les responsables de la sécurisation des entreprises devraient surveiller de près l'évolution des techniques C2. (F-Secure a quelques conseils sur la recherche de C3, y compris via des requêtes DNS anormales pour les domaines Slack, des processus anormaux, etc. ici.)
C2 à C3 : les chaînes « ésotériques » se généralisent.

Pour les non-initiés, lorsqu'un logiciel malveillant infecte un hôte vulnérable, il initie généralement un canal de commande et de contrôle (C2) avec son créateur qui peut être utilisé pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires ou être utilisé comme canal bidirectionnel pour exfiltrer les données volées lors de l'attaque.

En effet, comme le note F-Secure, la mise en place de C2 est « sans doute l'une des parties les plus importantes de la chaîne de cyber kill car sans elle, les charges utiles livrées avec succès fonctionnent à l'aveugle, ne peuvent pas fournir de pivot au niveau du réseau et d'interaction en temps quasi réel ». . En conséquence, des organisations bien défendues ont imposé des contrôles de plus en plus stricts sur les types de communications autorisées à partir de leurs systèmes.

(L'importance de l'identification défensive de C2 est reflétée dans deux des colonnes du cadre MITRE ATT&CK : « Command and Control » et « Exfiltration » ; bien qu'aucune ne semble avoir été mise à jour depuis 2019. Quelqu'un nous corrige si nous nous trompons : c'est troublant si n'étaient pas.)

Être capable de détecter les canaux C2, en bref, est une grande partie du livre de jeu de la cybersécurité et généralement un élément important des « indicateurs de compromission » (IOC) signalés après une attaque. (Les hackers de Colonial Pipeline ayant déployé un outil open source avec une « interface facile et intuitive qui permet aux utilisateurs de former des chemins complexes lors de simulations contradictoires » pour cacher leur activité ne devraient pas surprendre : de Cobalt Strike à Mimikatz ou Bloodhound, les outils de sécurité offensifs commerciaux ou open source sont souvent également une partie importante du livre de jeu de la cybercriminalité, et les équipes informatiques doivent en être bien conscientes.)

Une caractéristique clé de C3 est la possibilité d'étendre le réseau à l'aide de vecteurs non traditionnels. Ce réseau peut être composé de divers supports de communication (voir : imprimantes), peut contenir des chemins de routage complexes et permet d'intégrer la redondance à la volée, note le guide C3 de F-Secure.
De C2 à C3 : les attaquants utilisent l'API Slack, Telegram et PowerAutomate de Microsoft pour pirater votre merde.

Le schéma simplifié à gauche donne un exemple simple d'utilisation de C3, avec le relais "Slack" utilisé pour acheminer le trafic pour le relais "Fileshare", qui a une balise CobaltStrike en mémoire. Comme le note F-Secure : « Dans ce cas, l'envoi d'une commande à la balise via Cobalt Strike oblige la passerelle à envoyer un message via Slack. Le relais « Slack » lit ce message, comprend qu'il est destiné à être transmis et écrit le message sur le canal UncShareFile. Enfin, le relais « Fileshare » lit ce message et l'écrit dans la balise SMB. (Les RSSI et leurs équipes doivent être conscients de ce genre de choses…)
Que peuvent faire les défenseurs ?

Bharat Mistry, directeur technique chez Trend Micro, a affirmé à The Stack qu'il voyait des configurations C2 plus sophistiquées devenir populaires à mesure que les organisations surveillaient mieux les canaux réseau pour les protocoles obscurs et les ports non standard, c'est-à-dire en tant qu'indicateurs potentiels de communications malveillantes qui signalent un enfreindre.

Il a déclaré : « Les cybercriminels ont commencé à camoufler leurs canaux C2 et C3 dans des protocoles essentiels standard nécessaires pour communiquer avec des services externes comme http, https, DNS, smtp et des applications couramment utilisées comme Slack et Teams. Un moyen efficace de contrer cela est de penser à déployer une technologie d'inspection approfondie des paquets au niveau des parties critiques de la couche réseau telles que le périmètre pour capturer le trafic Nord-Sud et également entre les utilisateurs et les services qu'ils consomment à partir des serveurs d'applications situés dans le centre de données plus sait communément comme trafic Est-Ouest ou latéral.

Mistry a ajouté: «Ces capteurs devraient avoir la capacité de capturer et de réassembler tous les paquets, ce qui donne aux défenseurs la possibilité d'examiner la charge utile à l'intérieur et d'utiliser des capacités avancées telles que l'apprentissage automatique, l'heuristique et l'analyse comportementale pour déterminer si le protocole ou le service est abusé dans d'une certaine manière.

Les données de ces capteurs peuvent être analysées plus avant dans un lac de données où les analyses peuvent être utilisées pour déterminer les modèles de trafic normaux et anormaux, ce qui donne une meilleure idée de ce qui se passe dans l'environnement. "Mais à mesure que les services et les protocoles évoluent et que nous assistons à un basculement vers le trafic crypté, ce type d'inspection et de surveillance est plus difficile et est encore compliqué par l'utilisation de services cloud." George Glass, responsable de la Threat Intelligence chez Redscan, a déclaré : « Les acteurs de la menace passent une partie importante de leur temps à gérer et à renforcer leur infrastructure C2 pour faciliter les opérations de phishing, de logiciels malveillants et de ransomware à grande échelle. En règle générale, ils utiliseront différents canaux à différentes étapes de leurs attaques, comme lors du déploiement de logiciels malveillants de deuxième étape, de l'accès à distance et de l'exfiltration de données.

Il a ajouté : « Une tactique courante pour de nombreuses souches de logiciels malveillants consiste à compromettre les sites Web et à les utiliser pour héberger des charges utiles de logiciels malveillants de deuxième étape. Cela implique généralement d'exploiter en masse les systèmes CMS tels que WordPress et de cacher les fichiers malveillants dans le système de fichiers de chaque site, permettant aux chargeurs de logiciels malveillants qu'ils déploient de choisir l'étape suivante parmi un nombre quelconque d'hôtes compromis. Cela permet également aux attaquants de contourner les empreintes digitales et la catégorisation du site Web utilisées par les proxys.

Et il n'y a pas que le C3 de F-Secure, a-t-il noté : « Il existe d'innombrables frameworks C2 disponibles qui utilisent différents outils open source, des logiciels de qualité commerciale et des applications telles que Telegram, WhatsApp et Twitter. Les acteurs menaçants qui peuvent cacher leurs communications C2 peuvent rester plus longtemps sur les réseaux cibles, gagnant ainsi une plus grande liberté pour atteindre leurs objectifs. (Avec Cobalt Strike lui-même coûtant 3 500 $ par utilisateur pour une licence d'un an et les cybercriminels – inutile de le dire – désireux d'éviter de s'identifier par le biais de paiements commerciaux, cela peut créer des opportunités pour les défenseurs, a noté Glass.

Comme il l'a dit : « La plupart des acteurs de la menace utilisez des versions divulguées ou craquées de ce logiciel qui peuvent rendre l'activité plus facile à identifier. ») Tim Wade, directeur technique de l'équipe CTO chez Vectra AI, a ajouté : Nous avons vu des adversaires… [également] utiliser Microsoft PowerAutomate pour créer des workflows malveillants personnalisés, ou déployer de nouveaux droppers en mémoire pour échapper à l'analyse basée sur des fichiers.

Pour détecter l'activité C2, les équipes de sécurité doivent rechercher les intersections entre les activités autorisées mais suspectes, et les comportements qu'un adversaire adoptera dans le cadre d'une attaque en cours. Il peut s'agir d'examiner des facteurs tels que la manière dont la persistance sera atteinte ou de surveiller les principaux blocages qui doivent être franchis pour que l'attaquant passe de l'accès initial à son objectif final.

C'est la clé comme souvent, l'établissement du canal C2 n'est que le pari d'ouverture, et les attaquants devront se déplacer latéralement ou élever leurs privilèges avant la fin du jeu, qui consiste généralement à voler des données ou à perturber les opérations.

RSSI : commencez à discuter de ce problème avec vos partenaires de sécurité et les professionnels de la sécurité interne. Comme le note Vectra dans un rapport cette semaine sur les détections de menaces pour Microsoft Azure AD et Office 365, « le niveau de compétence et de concentration requis pour contourner proprement les contrôles des points de terminaison est un hommage aux avancées récentes en matière de détection et de réponse des points de terminaison. Cependant, c'est aussi un rappel qu'un adversaire déterminé et sophistiqué sera toujours en mesure de contourner la prévention et les contrôles des points finaux. » Les défenseurs doivent être tout aussi créatifs.

REF.: https://thestack.technology/from-c2-to-c3/

IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

Les pirates cachent la communication Malware C2 en simulant le trafic du site d'actualités
Par Ionut Ilascu

    18 mars 2020 17:06 0

Un groupe de cyberespionnage actif depuis au moins 2012 a utilisé un outil légitime pour protéger sa porte dérobée des tentatives d'analyse afin d'éviter la détection. Dans leur effort, les pirates ont également utilisé un faux en-tête d'hôte nommé d'après un site d'information connu.

La porte dérobée est désignée par les noms Spark et EnigmaSpark et a été déployée dans une récente campagne de phishing qui semble avoir été l'œuvre du groupe MoleRATs, la division à petit budget du Gaza Cybergang. Il s'agit de l'acteur responsable de l'opération SneakyPastes, détaillée par Kaspersky, qui s'appuyait sur des logiciels malveillants hébergés sur des services de partage gratuits comme GitHub et Pastebin.

Il existe de fortes indications que le groupe a utilisé cette porte dérobée depuis mars 2017, déployant des dizaines de variantes qui ont contacté au moins 15 domaines de commandement et de contrôle.

Des chercheurs de plusieurs cybersécurité ont suivi les campagnes de cet acteur menaçant et ont analysé les logiciels malveillants, les tactiques et l'infrastructure utilisés dans les attaques.
Tactiques d'évasion

L'acteur menaçant a tenté de masquer les signes de compromission à l'aide du logiciel Enigma Protector (on peut trouver sur 01Net)- un outil légitime pour "protéger les fichiers exécutables contre la copie, le piratage, la modification et l'analyse illégaux".

Sur la base des cibles observées et du thème des documents utilisés pour les leurres, cela ressemble à une attaque à motivation politique visant les arabophones intéressés par l'acceptation potentielle par la Palestine du plan de paix.

"Les adversaires utilisant EnigmaSpark se sont probablement appuyés sur l'intérêt important des destinataires pour les événements régionaux ou la peur anticipée suscitée par le contenu falsifié, illustrant comment les adversaires peuvent exploiter les événements géopolitiques en cours pour permettre une cyberactivité malveillante" - IBM X-Force Incident Response and Intelligence Services (IRIS)

La chaîne d'infection menant à l'installation de la porte dérobée EnigmaSpark a commencé avec la livraison d'un document Microsoft Word malveillant. Le fichier est écrit en arabe et invite le destinataire à activer l'édition pour afficher le contenu.

Les chercheurs ont découvert que le document obtient à partir d'un lien Google Drive(donc aucune détection par Google) un modèle Word malveillant intégré avec une macro pour fournir la charge utile finale "runawy.exe".
source : IBM X-Force IRIS

Pour protéger l'opération, les pirates ont ajouté des défenses telles que la protection de la macro avec un mot de passe et l'application d'un schéma de codage base64 sur la porte dérobée, qui était également stockée sur Google Drive.

De plus, le binaire du malware était emballé avec Enigma Protector qui ajoute une certaine résistance aux tentatives de piratage et de craquage.

Une autre précaution de la part des pirates est l'utilisation d'un faux en-tête d'hôte dans la requête HTTP‌ POST qui fournit des informations sur le système de la victime au serveur de commande et de contrôle (C2), qui était « nysura].[com. » Cependant, l'en-tête indique « cnet ].[com' comme destination.
Dénominateur commun

Une enquête X-Force (IRIS) a révélé que l'attaquant a utilisé cette technique avec d'autres binaires. Après avoir décompressé « runawy.exe », ils ont remarqué que le fichier résultant était le même que « blaster.exe », un binaire fourni par un exécutable compressé par Themida, un autre outil légitime qui ajoute une protection contre l'inspection ou la modification d'une application compilée.

Plusieurs fichiers ont été découverts car ils avaient en commun la chaîne unique « S4.4P » et le signataire du certificat cryptographique « tg1678A4 » : Wordeditor.exe, Blaster.exe (la version décompressée de runawy.exe et soundcloud.exe), HelpPane.exe , et taskmanager.exe.

Dans le cas de Blaster, la même astuce avec le faux en-tête d'hôte a été utilisée que dans le cas de « runawy », mais le véritable serveur de destination était différent (« webtutorialz[.]com »).
source : IBM X-Force IRIS
Recherche précédente

Le fichier binaire « runawy.exe », son serveur C2 et la chaîne unique ont déjà été documentés par des chercheurs d'autres sociétés de cybersécurité.

L'équipe Nocturnus de Cybereason a publié le 12 février une analyse technique de la porte dérobée Spark, détaillant les capacités du malware :

    Recueillir des informations sur l'hôte victime
    Cryptez les données collectées et envoyez-les aux attaquants via le protocole HTTP
    Télécharger d'autres charges utiles
    Enregistrez les frappes Enregistrez le son à l'aide du microphone intégré du système
    Exécuter des commandes sur la machine infectée

Au début du mois, Palo Alto Networks a détaillé la même charge utile runawy contenant Enigma qui a été livrée à l'aide d'un document Word les 31 octobre et 2 novembre 2019.

La porte dérobée Spark a été initialement documentée par des chercheurs de la société de cybersécurité Qi An Xin basée à Pékin, avec une version anglaise de la recherche publiée le 14 février 2019.

Les chercheurs de toutes ces entreprises attribuent la porte dérobée Spark au groupe MoleRATs, connu pour utiliser des logiciels malveillants disponibles sur les forums de hackers. Cependant, ils développent également des outils personnalisés, tels que Spark.

REF.: https://www.bleepingcomputer.com/news/security/hackers-hide-malware-c2-communication-by-faking-news-site-traffic/

Hackers: Qu'est-ce que C2 ou C&C ?

Hackers: Qu'est-ce que C2 ou C&C ?

Infrastructure de commandement et de contrôle expliquée
Par: Robert Grimmick

Dernière mise à jour le 26 avril 2021

Une cyberattaque réussie ne consiste pas seulement à mettre le pied dans la porte d'une organisation sans méfiance. Pour être réellement utile, l'attaquant doit maintenir la persistance dans l'environnement cible, communiquer avec les appareils infectés ou compromis à l'intérieur du réseau et potentiellement exfiltrer les données sensibles. La clé pour accomplir toutes ces tâches est une infrastructure de commandement et de contrôle robuste ou « C2 ». Qu'est-ce que C2 ? Dans cet article, nous répondrons à cette question et verrons comment les adversaires utilisent ces canaux de communication secrets pour mener des attaques hautement sophistiquées. Nous verrons également comment repérer et se défendre contre les attaques basées sur C2.
Qu'est-ce que C2 ?

L'infrastructure de commandement et de contrôle, également connue sous le nom de C2 ou C&C, est l'ensemble d'outils et de techniques que les attaquants utilisent pour maintenir la communication avec les appareils compromis après l'exploitation initiale. Les mécanismes spécifiques varient considérablement d'une attaque à l'autre, mais C2 consiste généralement en un ou plusieurs canaux de communication secrets entre les appareils d'une organisation victime et une plate-forme contrôlée par l'attaquant. Ces canaux de communication sont utilisés pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires et rediriger les données volées vers l'adversaire.

C2 se présente sous de nombreuses formes différentes. Au moment de la rédaction, le cadre MITRE ATT&CK répertorie 16 techniques de commandement et de contrôle différentes, chacune avec un certain nombre de sous-techniques qui ont été observées lors de cyberattaques passées. Une stratégie courante consiste à se fondre dans d'autres types de trafic légitime pouvant être utilisés dans l'organisation cible, tels que HTTP/HTTPS ou DNS. Les attaquants peuvent prendre d'autres mesures pour dissimuler leurs rappels C&C, comme l'utilisation du cryptage ou des types inhabituels de codage de données.

code c2

Les plates-formes de commande et de contrôle peuvent être des solutions entièrement personnalisées ou des produits prêts à l'emploi. Les plates-formes populaires utilisées par les criminels et les testeurs d'intrusion incluent Cobalt Strike, Covenant, Powershell Empire et Armitage.

Vous pouvez également entendre un certain nombre de termes à côté de C2 ou C&C :
Qu'est-ce qu'un zombie ?

Un zombie est un ordinateur ou un autre type d'appareil connecté qui a été infecté par une forme de logiciel malveillant et peut être contrôlé à distance par une partie malveillante à l'insu du propriétaire réel ou sans son consentement. Alors que certains virus, chevaux de Troie et autres programmes indésirables effectuent des actions spécifiques après avoir infecté un appareil, de nombreux types de logiciels malveillants existent principalement pour ouvrir une voie vers l'infrastructure C2 de l'attaquant. Ces machines « zombies » peuvent ensuite être piratées pour effectuer un certain nombre de tâches, du relais de courrier indésirable à la participation à des attaques par déni de service distribué (DDoS) à grande échelle.
Qu'est-ce qu'un botnet ?

Un botnet est un ensemble de machines zombies qui sont enrôlées dans un but illicite commun. Cela peut aller de l'extraction de crypto-monnaie à la mise hors ligne d'un site Web via une attaque par déni de service distribué (DDoS). Les botnets sont généralement réunis autour d'une infrastructure C2 commune. Il est également courant que les pirates vendent l'accès aux botnets à d'autres criminels dans le cadre d'une sorte d'« attaque en tant que service ».
Qu'est-ce que le balisage ?

Le balisage fait référence au processus par lequel un appareil infecté téléphone à l'infrastructure C2 d'un attaquant pour rechercher des instructions ou des charges utiles supplémentaires, souvent à intervalles réguliers. Pour éviter d'être détectés, certains types de balises malveillantes émettent des balises à intervalles aléatoires ou peuvent rester en veille pendant un certain temps avant de téléphoner à la maison.
Que peuvent accomplir les pirates avec une infrastructure de commandement et de contrôle ?

Objectifs du hacker c2

La plupart des organisations ont des défenses périmétriques assez efficaces qui rendent difficile pour un adversaire d'initier une connexion du monde extérieur dans le réseau de l'organisation sans être détecté. Cependant, la communication sortante n'est souvent pas aussi fortement surveillée ou restreinte. Cela signifie que les logiciels malveillants introduits via un canal différent – par exemple un e-mail de phishing ou un site Web compromis – peuvent souvent établir un canal de communication dans la direction sortante qui serait autrement impossible. Avec ce canal ouvert, un pirate peut effectuer des actions supplémentaires, telles que :
Se déplacer latéralement dans une organisation de victimes

Une fois qu'un attaquant a pris pied, il cherchera généralement à se déplacer latéralement dans toute l'organisation, en utilisant ses canaux C2 pour renvoyer des informations sur d'autres hôtes qui peuvent être vulnérables ou mal configurés. La première machine compromise n'est peut-être pas une cible précieuse, mais elle sert de rampe de lancement pour accéder aux parties les plus sensibles du réseau. Ce processus peut être répété plusieurs fois jusqu'à ce que l'attaquant accède à une cible de grande valeur comme un serveur de fichiers ou un contrôleur de domaine.
Attaques en plusieurs étapes

Les cyberattaques les plus complexes sont souvent composées de plusieurs étapes distinctes. Souvent, l'infection initiale consiste en un « dropper ou un téléchargeur qui rappelle l'infrastructure C2 de l'adversaire et télécharge des charges utiles malveillantes supplémentaires. Cette architecture modulaire permet à un attaquant de mener des campagnes à la fois largement distribuées et très ciblées. Le compte-gouttes(dropper) peut infecter des milliers d'organisations, permettant à l'attaquant d'être sélectif et de créer des logiciels malveillants personnalisés de deuxième étape pour les cibles les plus lucratives. Ce modèle permet également toute une industrie décentralisée de la cybercriminalité. Un groupe d'accès initial peut vendre l'accès à une cible principale comme une banque ou un hôpital à un gang de ransomware, par exemple.
Exfiltrer les données

Les canaux C2 sont souvent bidirectionnels, ce qui signifie qu'un attaquant peut télécharger ou « exfiltrer » des données de l'environnement cible en plus d'envoyer des instructions aux hôtes compromis. Les données volées peuvent être des documents militaires classifiés, des numéros de carte de crédit ou des informations personnelles, selon l'organisation de la victime. De plus en plus, les gangs de ransomware utilisent l'exfiltration de données comme tactique supplémentaire pour extorquer leurs cibles ; même si l'organisation peut récupérer des données à partir de sauvegardes, les criminels menaceront de divulguer des informations volées et potentiellement embarrassantes.
Autres utilisations

Comme indiqué précédemment, les botnets sont fréquemment utilisés pour lancer des attaques DDoS contre des sites Web et d'autres services. Les instructions sur les sites à attaquer sont fournies via C2. D'autres types d'instructions peuvent également être envoyées aux machines zombies via C2. Par exemple, de grands botnets de crypto mining ont été identifiés. Des utilisations encore plus exotiques ont été théorisées, allant de l'utilisation de commandes C2 pour perturber les élections(Donald Trump peut-etre) ou manipuler les marchés de l'énergie.
Modèles de commandement et de contrôle

Bien qu'il existe une grande variété d'options pour la mise en œuvre de C2, l'architecture entre les logiciels malveillants et la plate-forme C2 ressemblera généralement à l'un des modèles suivants :
Centralisé

Un modèle de commande et de contrôle centralisé fonctionne un peu comme la relation client-serveur traditionnelle. Un « client » malveillant téléphonera à un serveur C2 et vérifiera les instructions. En pratique, l'infrastructure côté serveur d'un attaquant est souvent beaucoup plus complexe qu'un serveur unique et peut inclure des redirecteurs, des équilibreurs de charge et des mesures de défense pour détecter les chercheurs en sécurité et les forces de l'ordre. Les services de cloud public et les réseaux de diffusion de contenu (CDN) sont fréquemment utilisés pour héberger ou masquer l'activité C2. Il est également courant que les pirates informatiques compromettent des sites Web légitimes et les utilisent pour héberger des serveurs de commande et de contrôle à l'insu du propriétaire.

L'activité C2 est souvent découverte assez rapidement et les domaines et serveurs associés à une campagne peuvent être supprimés dans les heures suivant leur première utilisation. Pour lutter contre cela, les logiciels malveillants modernes sont souvent codés avec une liste de nombreux serveurs C2 différents à essayer d'atteindre. Les attaques les plus sophistiquées introduisent des couches supplémentaires d'obscurcissement. Des logiciels malveillants ont été observés en train de récupérer une liste de serveurs C2 à partir des coordonnées GPS intégrées dans les photos et des commentaires sur Instagram.
Peer-to-Peer (P2P)

Dans un modèle P2P C&C, les instructions de commande et de contrôle sont fournies de manière décentralisée, les membres d'un botnet relayant les messages entre eux. Certains des robots peuvent toujours fonctionner comme des serveurs, mais il n'y a pas de nœud central ou « maître ». Cela rend la perturbation beaucoup plus difficile qu'un modèle centralisé, mais peut également compliquer la tâche de l'attaquant pour envoyer des instructions à l'ensemble du botnet. Les réseaux P2P sont parfois utilisés comme mécanisme de secours en cas de perturbation du canal C2 principal.
Hors bande et aléatoire

Un certain nombre de techniques inhabituelles ont été observées pour donner des instructions aux hôtes infectés. Les pirates informatiques ont largement utilisé les plateformes de médias sociaux en tant que plateformes C2 non conventionnelles, car elles sont rarement bloquées. Un projet appelé Twittor vise à fournir une plate-forme de commande et de contrôle entièrement fonctionnelle en utilisant uniquement des messages directs sur Twitter. Des pirates informatiques ont également été observés en train d'utiliser Gmail, des salles de discussion IRC et même Pinterest pour envoyer des messages C&C à des hôtes compromis. Il a également été émis l'hypothèse que l'infrastructure de commande et de contrôle pourrait être entièrement aléatoire, avec un attaquant analysant de larges pans d'Internet dans l'espoir de trouver un hôte infecté.
Détection et prévention du trafic de commandement et de contrôle

comment empêcher le piratage c2

Le trafic C2 peut être notoirement difficile à détecter, car les attaquants font de grands efforts pour éviter d'être remarqués. Cependant, il existe une formidable opportunité pour les défenseurs, car perturber C2 peut empêcher une infection par un logiciel malveillant de se transformer en un incident plus grave comme une violation de données. En fait, de nombreuses cyberattaques à grande échelle ont été initialement découvertes lorsque les chercheurs ont remarqué une activité C2. Voici quelques techniques générales pour détecter et arrêter le trafic de commande et de contrôle dans votre propre réseau :
Surveiller et filtrer le trafic sortant

De nombreuses organisations accordent peu d'attention au trafic sortant de leur réseau, se concentrant plutôt sur les menaces contenues dans le trafic entrant. Ce manque de sensibilisation facilite les activités de commandement et de contrôle d'un attaquant. Soigneusement des règles de pare-feu de sortie conçues peuvent aider à entraver la capacité d'un adversaire à ouvrir des canaux de communication secrets. Par exemple, limiter les requêtes DNS sortantes aux seuls serveurs contrôlés par l'organisation peut réduire la menace du tunnelage DNS. Les proxys peuvent être utilisés pour inspecter le trafic Web sortant, mais les utilisateurs doivent veiller à configurer l'inspection SSL/TLS, car les pirates ont adopté le cryptage avec le reste du Web. Les services de filtrage DNS peuvent également être utilisés pour empêcher les rappels C2 vers des domaines suspects ou nouvellement enregistrés.
Surveillez les balises

Les balises peuvent être un signe révélateur d'une activité de commandement et de contrôle au sein de votre réseau, mais elles sont souvent difficiles à repérer. La plupart des solutions IDS/IPS prendront en charge les balises associées à des frameworks standard comme Metasploit et Cobalt Strike, mais celles-ci peuvent facilement être personnalisées par les attaquants pour rendre la détection beaucoup plus difficile. Pour une analyse plus approfondie du trafic réseau (NTA), un outil comme RITA peut être utilisé. Dans certains cas, les équipes de chasse aux menaces iront jusqu'à inspecter manuellement les vidages de paquets à l'aide d'un outil comme Wireshark ou tcpdump.
Journaliser et inspecter

enregistrer et inspecter le code

La collecte de fichiers journaux à partir d'autant de sources que possible est vitale lors de la recherche de signes de trafic de commandement et de contrôle. Souvent, une analyse approfondie est nécessaire pour faire la distinction entre le trafic C2 et les applications légitimes. Les analystes de sécurité peuvent avoir besoin de rechercher des modèles inhabituels, d'examiner les charges utiles de requêtes HTTPS ou DNS apparemment bénignes et d'effectuer d'autres types d'analyses statistiques. Plus le volume d'informations avec lequel l'analyste ou le chasseur de menaces doit travailler est important, mieux c'est. La journalisation à distance et les solutions SIEM peuvent vous aider dans cette tâche.
Corréler les données de plusieurs sources

Tout l'intérêt du maintien d'une infrastructure de commande et de contrôle est d'effectuer une action spécifique comme accéder à des fichiers importants ou infecter plus d'hôtes. La chasse aux activités C&C du point de vue des données et du réseau augmente la probabilité de découvrir des cyberattaques bien camouflées. C'est exactement l'approche adoptée par Varonis Edge, vous offrant la visibilité approfondie requise pour tout repérer, des menaces internes aux groupes APT(hackers).

Conclusion

L'infrastructure de commandement et de contrôle est essentielle pour les attaquants et représente une opportunité pour les défenseurs. Le blocage du trafic C&C ou le démantèlement de l'infrastructure C2 d'un adversaire peut mettre un terme à une cyberattaque. La lutte contre le C2 ne devrait jamais être le seul objectif d'une organisation et devrait faire partie d'un programme de sécurité de l'information plus large qui comprend de bonnes pratiques de « cyberhygiène », une formation de sensibilisation à la sécurité pour les employés et des politiques et procédures bien pensées. Ces mesures peuvent grandement contribuer à atténuer la menace posée par l'infrastructure de commandement et de contrôle.

REF.: Robert Grimmick

https://www.varonis.com/blog/what-is-c2

Blogue a Théodule !

Rechercher sur ce blogue