| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Memcrashed : comment une vulnérabilité permet d’amplifier les attaques DDoS

Des chercheurs de Cloudflare ont détécté la semaine dernière une augmentation considérable du nombre d’attaques DDoS provenant de serveurs memcached. Ces dernières utilisent le port UDP 11211 du protocole memcached afin de s’amplifier. Les attaques par amplification ne sont pas nouvelles, mais celles-ci sont spéciales car elles offrent un facteur multiplicatif de l’ordre de 51200. C’est à dire une requête de 15 octets engendre une réponse de 750 Ko.
L’attaquant envoie une requête UDP sur le port 11211 du serveur memcached en utilisant une IP source spoofée, celle de la cible. Une fois la requête traitée par le serveur memcached, ce dernier renvoi la réponse à l’adresse IP de la cible. Cette attaque reproduite sur plusieurs serveurs memcached, permet de mener des attaques DDoS à fort impact.
Au niveau de la cible, il est très difficile de se protéger contre ce type d’attaque à moins de disposer de services permettant de les atténuer. Par contre les propriétaires de serveurs memcached peuvent protéger leur serveur en filtrant les requêtes via un firewall ou en désactivant le protocole sur le port UDP 11211. Il est théoriquement possible de mener la même attaque sur le port TCP de memcached, cependant le spoofing d’IP est plus compliqué en TCP.
En se basant sur Shodan, près de 88000 serveurs memcached sont ouverts sur Internet.

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/ [EN]

http://www.zdnet.fr/actualites/amplification-d-attaque-ddos-memcached-fait-exploser-les-compteurs-39864804.htm [FR]

Attaque DDoS : GitHub victime de memcrashed

Mercredi 20 Février 2018, entre 17h21 et 17h30, GitHub le plus grand site spécialisé dans l’hébergement de code a été victime de la plus puissante attaque DDoS jamais vue. Ce DDoS volumétrique qui a atteint un pic de 1,35Tbps avec 126.9 millions de paquets par seconde, a réussi à perturber l’infrastructure de GitHUb malgré les nombreux moyens de protection mis en place. Cette attaque dépasse celle du Botnet Mirai sur l’hébergeur français OVH en 2016 et devient ainsi la plus puissante attaque DDoS jamais enregistrée. Elle a été envoyée depuis plus d’un millier d’AS avec plus de 10000 adresses IPs différentes.
Suite à cet événement, les fournisseurs d’accès à internet ont réagi et mis en place des protections permettant de détecter et bloquer cette attaque.
Akamai de son côté a noté une augmentation des scans sur internet à la recherche de serveurs memcached vulnérables. Des attaques contenant des demandes de paiement de rançons ont également été capturées.

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/ [EN]

https://blogs.akamai.com/2018/03/memcached-now-with-extortion.html [EN]

https://www.numerama.com/tech/333329-github-a-subi-ce-qui-semble-etre-la-plus-grosse-attaque-ddos-enregistree-jusquici.html [FR]

Compteurs électriques connectés : le GCHQ lance l’alerte

L’agence de renseignement du Royaume-Uni GCHQ lance l’alerte sur le danger que peut représenter le déploiement massif des compteurs électriques connectés. Près de 8 millions de foyers sur 27 millions ont déjà signé l’accord pour installer les compteurs SMETS 2 chez eux.
Le fait que ces compteurs soient universels à tous les fournisseurs d’électricité du Royaume-Uni, représente un grand danger du point de vu cybersécurité, d’autant plus que des attaques ont déjà été démontrées dans d’autre pays.
Les cybercriminels peuvent abuser de ces IoT afin de modifier les factures d’électricité, de s’infiltrer dans le réseau des particuliers ou encore de s’en servir comme bot pour mener des attaques.
Le GCHQ redoute aussi des attaques menées par des états pouvant provoquer de grosses pannes électriques qui risquent d’impacter fortement le pays.
D’après les experts ces boîtiers sont développés par des personnes qui n’ont pas conscience du danger que peut représenter une vulnérabilité sur ces derniers.

 

https://www.telegraph.co.uk/news/2018/02/18/smart-meters-could-leave-british-homes-vulnerable-cyber-attacks/ [EN]

Malware bancaire Triada : Près de 40 modèles bas de gamme Android infectés

Des chercheurs de la société d’antivirus Dr.Web on découvert le malware Triada préinstallé sur près de 40 modèles de smartphones bas de gammes Android. Parmi les modèles impactés on a Leagoo , ARK Benefit, Nomu, Doogee et Tecno.
Le malware est embarqué dans la librairie système libandroid_runtime.so. Il infecte le processus mère Zygote ce qui lui permet par la suite d’infecter tous les autres processus du système. Il est capable de lancer des composants additionnels récupérés depuis internet.
En se basant sur le modèle Leagoo M9, les chercheurs de Dr.Web suspectent une société de développement basé à Shanghai d’être à l’origine de l’infection. Cette même société aurait fournit une application dans le modèle Leagoo M9 qui est signée avec le même certificat que le malware MulDrop.
A cause du niveau d’implémentation de cette infection, la solution la plus efficace pour nettoyer son téléphone est de réinstaller complètement le système.

https://news.drweb.com/show/?i=11749&lng=en&c=9 [EN]

GandCrab Ransomware : un outil pour décrypter vos fichiers est disponible

GandCrab est un malware de type ransomware. Il se propage via l’Exploit-Kit Rig et des campagnes de spam. En à peine 1 mois GandCrab a infecté près de 50.000 victimes à travers le monde. Une rançon en crypto monnaie DASH variant entre $300 et $500 est demandée par les cybercriminels.
La police roumaine avec l’aide du DIICOT, de Bitdefender et d’Europol a mis au point un outil permettant de décrypter vos fichiers. Aucune information sur la technique utilisée n’est fournie, surement pour éviter que les auteurs du malware ne corrigent le problème.
L’outil est disponible sur le site de Bitdefender et sur nomoreransom.org.

https://www.politiaromana.ro/ro/comunicate/kit-de-recuperare-a-datelor-infectate-de-ransomware-pus-la-dispozitia-publicului [EN]

https://www.europol.europa.eu/newsroom/news/free-data-recovery-kit-for-victims-of-gandcrab-ransomware-now-available-no-more-ransom [EN]

Cannibal RAT : le malware qui cible le Brésil

Des chercheurs de Cisco Talos ont découvert deux versions d’un nouveau malware nommé CannibalRat. Le malware cible principalement les utilisateurs de l’INESAP Institut national d’administration publique au Brésil. Les deux versions 3.0 et 4.0 analysées par les chercheurs de Talos sont écrites entièrement en Python puis transformées en exécutable grâce à l’outil py2exe. L’exécutable est ensuite packé avec UPX.
Les deux versions possèdent les caractéristiques standards d’un RAT : Exécution de commandes, téléchargement de fichiers, miner de la cryptomonnaie, DDoS….
Les serveurs de “commands and control” utilisent la technique du fast-flux afin de modifier rapidement les résolutions des noms de domaines. Les serveurs de noms (DNS) utilisent un TTL faible de 120 secondes.
Le malware se sert de l’encodage base16 afin de cacher les domaines des serveurs C&C. La persistance est assurée via une clé de registre CurrentVersion\Run.
Une des remarques intéressantes avec ce malware, est la réutilisation massive de code disponible sur GitHub.

http://blog.talosintelligence.com/2018/02/cannibalrat-targets-brazil.html [EN]

Cyberguerre : le réseau du gouvernement Allemand piraté

L’agence de presse allemande DPA a signalé mercredi dernier que le réseau du gouvernement allemand a été victime d’une cyberattaque. La compromission a été identifiée en Décembre 2017, mais les attaquants seraient présents dans le réseau depuis près d’une année.
D’après les informations recueillies sur internet, l’attaque aurait été menée par un groupe de pirates russes proche du gouvernement. Les attaquants auraient fait usage du malware Turla. L’implant aurait d’abord infecté le “Bundesakademie für öffentliche Verwaltung” ( Academie de l’administration Publique Allemande ) avant de se propager dans le réseau du ministère des affaires étrangères. Au total 17 postes ont été compromis et des données auraient été exfiltrées.
Le ministre de l’intérieur allemand a de son côté affirmé que l’attaque a été isolée et qu’elle est désormais sous contrôle.
Ce n’est pas la première fois que le gouvernement allemand est ciblé par des pirates russes. En 2015 le parlement avait subi des attaques provenant du groupe APT28 (Fancy Bear).

 


https://twitter.com/RidT/status/969585432567611393 [EN]

https://abcnews.go.com/Technology/wireStory/report-russian-group-hacked-german-government-network-53415065 [EN]

https://securityaffairs.co/wordpress/69682/apt/apt28-hacked-german-government.html [EN]

Cyberattaque des JO : Qui est le vrai responsable ?

L’attribution des cyberattaques reste une tâche très complexe pour les analystes. La récente cyberattaque ayant visée les jeux olympiques d’hiver de Pyeongchang en Corée du Sud en est la preuve parfaite. Dans ce blog, les chercheurs de Talos font une revue de l’ensemble des attributions faites par d’autres chercheurs afin d’en évaluer le degré de certitude. On comprend à travers cette analyse synthétique que le malware utilisé dans l’attaque des JO pourrait provenir des acteurs de Lazarus Group, de APT3 & APT10 ou encore de NotPetya (Nyetya). Les preuves ( artifacts ) ayant permis d’aboutir à ces différentes attributions restent de très faibles indicateurs.

https://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html [EN]