Bulletin du 18 Octobre

10 - 17 octobre 2016
RAPPORT THREAT INTELLIGENCE
PRINCIPALES FAILLES ET ATTAQUES

La tension entre la Russie et les États-Unis continue de monter après que le vice-président Joe Biden ait
déclaré que les États-Unis riposteront contre les récentes cyberattaques, soupçonnées d'être d'origine
russe, menées contre les institutions politiques américaines. Les Russes en retour ont déclaré qu'ils sont
prêts à se protéger contre « l'imprévisibilité et l'agressivité des États-Unis ».

Suite à des frappes chirurgicales transfrontalières effectuées par l'Inde contre son voisin le Pakistan, les
représailles de ce dernier ont pris la forme d'une cyberattaque contre l'armée indienne. À l'aide d'une
adresse email piratée de la direction indienne du renseignement militaire, des emails de phishing ont
été envoyés à du personnel militaire dans le but d'infecter des machines par des logiciels malveillants
conçus pour dérober des données et des identifiants, et permettre aux pirates de prendre le contrôle à
distance des machines ciblées.

Lors des élections législatives tenues au Monténégro, plusieurs grands sites ont subi une attaque de déni
de service, notamment quelques sites de médias, ainsi que ceux du Parti démocratique des socialistes
du Monténégro et du Centre pour la transition démocratique.
Les Appliances Check Point DDoS Protector™ offrent une protection contre des attaques similaires.

Un rapport de l'organisme GSO (Get Safe Online) suggère qu'au moins 11 milliards de livres sterling ont
été perdues au Royaume-Uni en 2015, en raison de la cybercriminalité et de la fraude en ligne. Les
chiffres réels sont sans doute beaucoup plus élevés que ce montant qui ne repose que sur les incidents
signalés, alors que près de 40 % des victimes ont confirmé ne pas avoir déposé de plainte pour diverses
raisons.

Une vague d'attaques ciblant des systèmes Linux d'objets connectés (IdO) comportant des identifiants
par défaut codés en dur a été détectée. Les attaques utilisent un logiciel malveillant baptisé NyaDrop qui
tente de s'identifier par brute force, puis installe des logiciels malveillants supplémentaires dans les
systèmes affectés.
La blade Check Point IPS offre une protection contre cette menace (Tentative de connexion sur Telnet via mot de passe
faible ; et plus dans nos prochaines versions).
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
1
10 - 17 octobre 2016
VULNÉRABILITÉS ET CORRECTIFS

Une vulnérabilité d'exécution de code à distance dans le moteur JavaScript V8 de Google, qui a déjà été
corrigée depuis plus d'un an, affecte encore de nombreuses applications et téléphones Android
obsolètes. On estime qu'un téléphone Android sur 16 est sujet à cette vulnérabilité, nommée BadKernel.
Les dommages qui peuvent être infligés par un agresseur incluent l'accès aux données, à l'appareil photo
et à la géolocalisation, et dépend de l'application hôte d'origine utilisée dans le cadre de l'exploitation de
la vulnérabilité. Les applications avec des permissions excessives telles que Facebook et WeChat sont
donc plus dangereuses que celles comportant moins de permissions.

Le Mardi des correctifs de Microsoft Patch pour octobre couvre cinq vulnérabilités d'exécution de code à
distance critiques présentes dans Internet Explorer, Edge, Windows, Skype et les produits Office.
La blade Check Point IPS protège contre ces menaces.
RAPPORTS ET MENACES

Une analyse complète d'une campagne de logiciels malveillants ciblant des institutions financières
depuis janvier 2016 a été publiée. Les attaques impliquent un logiciel malveillant baptisé Odinaff qui est
généralement déployé durant la première étape d'une attaque pour assurer une présence persistante
au sein du réseau, puis installer et utiliser des outils supplémentaires conçus pour communiquer
discrètement, surveiller les activités des utilisateurs et dérober des identifiants. L'infrastructure et les
outils utilisés durant ces attaques semblent émaner de l'agresseur à l'origine des campagnes Carbanak
déclenchées depuis 2013.
Les blades Check Point Anti-Virus, Anti Bot lames et IPS offrent une protection contre ces menaces (Trojandownloader.Win32.Odinaff ; Backdoor.Win32.Carbanak ; Operator.Carbanak ; Fichiers Microsoft Office contenant un téléchargeur
malveillant).

Un nouveau virus mobile de vol de données, qui se déguise en codec ou en plug-in, tente de tromper les
utilisateurs et de les amener à prendre un selfie montrant également leur carte d'identité, et leur
demande également leurs numéros de carte bancaire et de téléphone mobile, qui pourraient être
utilisés pour le vol d'identité et l'accès à des comptes bancaires.

Le cheval de Troie bancaire Dyre, dont l'activité a cessé presque complètement depuis février 2016 suite
à l'arrestation de ses auteurs, semble avoir refait surface sous le nom de TrickBot. Il vise des banques
australiennes. Les deux logiciels malveillants partagent de nombreuses fonctionnalités similaires et du
code de base. Certaines améliorations ont été apportées à TrickBot, telles qu'un meilleur mécanisme de
chiffrement de ses communications. Son analyse a également révélée une relation avec les logiciels
malveillants Vawtrak, Pushdo et Cutwail, ce dernier étant le bot de spam utilisé dans les anciennes
campagnes Dyre.
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|2
10 - 17 octobre 2016
Les blades Check Point Anti-Virus et Anti Bot offrent une protection contre ces menaces (Trojan-Banker.Win32.TrickBot.A ;
Trojan-Banker.Win32.Dyre ; Operator.Vawtrak ; Trojan.Win32.Cutwail ; Operator.Cutwail ; Backdoor.Win32.Pushdo ;
Operator.Pushdo).
Commentaires ou questions : [email protected]
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|3