Bulletin du 18 Octobre
Transcription
Bulletin du 18 Octobre
10 - 17 octobre 2016 RAPPORT THREAT INTELLIGENCE PRINCIPALES FAILLES ET ATTAQUES La tension entre la Russie et les États-Unis continue de monter après que le vice-président Joe Biden ait déclaré que les États-Unis riposteront contre les récentes cyberattaques, soupçonnées d'être d'origine russe, menées contre les institutions politiques américaines. Les Russes en retour ont déclaré qu'ils sont prêts à se protéger contre « l'imprévisibilité et l'agressivité des États-Unis ». Suite à des frappes chirurgicales transfrontalières effectuées par l'Inde contre son voisin le Pakistan, les représailles de ce dernier ont pris la forme d'une cyberattaque contre l'armée indienne. À l'aide d'une adresse email piratée de la direction indienne du renseignement militaire, des emails de phishing ont été envoyés à du personnel militaire dans le but d'infecter des machines par des logiciels malveillants conçus pour dérober des données et des identifiants, et permettre aux pirates de prendre le contrôle à distance des machines ciblées. Lors des élections législatives tenues au Monténégro, plusieurs grands sites ont subi une attaque de déni de service, notamment quelques sites de médias, ainsi que ceux du Parti démocratique des socialistes du Monténégro et du Centre pour la transition démocratique. Les Appliances Check Point DDoS Protector™ offrent une protection contre des attaques similaires. Un rapport de l'organisme GSO (Get Safe Online) suggère qu'au moins 11 milliards de livres sterling ont été perdues au Royaume-Uni en 2015, en raison de la cybercriminalité et de la fraude en ligne. Les chiffres réels sont sans doute beaucoup plus élevés que ce montant qui ne repose que sur les incidents signalés, alors que près de 40 % des victimes ont confirmé ne pas avoir déposé de plainte pour diverses raisons. Une vague d'attaques ciblant des systèmes Linux d'objets connectés (IdO) comportant des identifiants par défaut codés en dur a été détectée. Les attaques utilisent un logiciel malveillant baptisé NyaDrop qui tente de s'identifier par brute force, puis installe des logiciels malveillants supplémentaires dans les systèmes affectés. La blade Check Point IPS offre une protection contre cette menace (Tentative de connexion sur Telnet via mot de passe faible ; et plus dans nos prochaines versions). © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels 1 10 - 17 octobre 2016 VULNÉRABILITÉS ET CORRECTIFS Une vulnérabilité d'exécution de code à distance dans le moteur JavaScript V8 de Google, qui a déjà été corrigée depuis plus d'un an, affecte encore de nombreuses applications et téléphones Android obsolètes. On estime qu'un téléphone Android sur 16 est sujet à cette vulnérabilité, nommée BadKernel. Les dommages qui peuvent être infligés par un agresseur incluent l'accès aux données, à l'appareil photo et à la géolocalisation, et dépend de l'application hôte d'origine utilisée dans le cadre de l'exploitation de la vulnérabilité. Les applications avec des permissions excessives telles que Facebook et WeChat sont donc plus dangereuses que celles comportant moins de permissions. Le Mardi des correctifs de Microsoft Patch pour octobre couvre cinq vulnérabilités d'exécution de code à distance critiques présentes dans Internet Explorer, Edge, Windows, Skype et les produits Office. La blade Check Point IPS protège contre ces menaces. RAPPORTS ET MENACES Une analyse complète d'une campagne de logiciels malveillants ciblant des institutions financières depuis janvier 2016 a été publiée. Les attaques impliquent un logiciel malveillant baptisé Odinaff qui est généralement déployé durant la première étape d'une attaque pour assurer une présence persistante au sein du réseau, puis installer et utiliser des outils supplémentaires conçus pour communiquer discrètement, surveiller les activités des utilisateurs et dérober des identifiants. L'infrastructure et les outils utilisés durant ces attaques semblent émaner de l'agresseur à l'origine des campagnes Carbanak déclenchées depuis 2013. Les blades Check Point Anti-Virus, Anti Bot lames et IPS offrent une protection contre ces menaces (Trojandownloader.Win32.Odinaff ; Backdoor.Win32.Carbanak ; Operator.Carbanak ; Fichiers Microsoft Office contenant un téléchargeur malveillant). Un nouveau virus mobile de vol de données, qui se déguise en codec ou en plug-in, tente de tromper les utilisateurs et de les amener à prendre un selfie montrant également leur carte d'identité, et leur demande également leurs numéros de carte bancaire et de téléphone mobile, qui pourraient être utilisés pour le vol d'identité et l'accès à des comptes bancaires. Le cheval de Troie bancaire Dyre, dont l'activité a cessé presque complètement depuis février 2016 suite à l'arrestation de ses auteurs, semble avoir refait surface sous le nom de TrickBot. Il vise des banques australiennes. Les deux logiciels malveillants partagent de nombreuses fonctionnalités similaires et du code de base. Certaines améliorations ont été apportées à TrickBot, telles qu'un meilleur mécanisme de chiffrement de ses communications. Son analyse a également révélée une relation avec les logiciels malveillants Vawtrak, Pushdo et Cutwail, ce dernier étant le bot de spam utilisé dans les anciennes campagnes Dyre. © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels |2 10 - 17 octobre 2016 Les blades Check Point Anti-Virus et Anti Bot offrent une protection contre ces menaces (Trojan-Banker.Win32.TrickBot.A ; Trojan-Banker.Win32.Dyre ; Operator.Vawtrak ; Trojan.Win32.Cutwail ; Operator.Cutwail ; Backdoor.Win32.Pushdo ; Operator.Pushdo). Commentaires ou questions : [email protected] © 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels |3