| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Memcrashed : Le point sur cette vulnérabilité aux effets dévastateurs

Memcrashed, la vulnérabilité impactant les serveurs memcached qui a permis de mener une attaque DDoS contre GitHub, n’a pas encore fini de faire parler d’elle. Arbor Networks a annoncé avoir observé via ses outils de monitoring une attaque de 1.7Tbps qui ciblait un client dont le nom n’est pas communiqué. Cette attaque dépasse largement celle contre GitHub qui avait atteint 1.35Tbps.
D’autre part, selon Netlab, près de 10000 attaques ayant ciblé 7131 adresses IPs ont eu lieu en l’espace de 7 jours.
Des codes d’exploitations permettent de lancer des attaques DDoS en exploitant cette vulnérabilité ont aussi été publiés. L’un utilise une liste de 17000 serveurs memcached vulnérables et l’autre se base sur Shodan pour produire une liste dynamique des serveurs memcached vulnérables.
Pour rappel, il est conseillé de mettre à jour le plus rapidement les serveurs vulnérables, de filtrer les flux UDP 11211 via un firewall ou de désactiver le service memcached en UDP.
En cas d’attaque, une technique de défense nommée “kill switch” a été découverte par les chercheurs de Corero. Le serveur attaqué doit envoyer la commande « shutdown\r\n », ou « flush_all\r\n » en réponse aux serveurs memcached utilisés par l’attaquant afin d’enrayer l’amplification de l’attaque. Un outil nommé Memfixed a ainsi été mis à disposition sur GitHub.

 

https://thehackernews.com/2018/03/memcached-ddos-attack.html [EN]

http://blog.netlab.360.com/memcache-udp-reflection-amplification-attack-ii-the-targets-the-sources-and-breakdowns-en/ [EN]

https://www.arbornetworks.com/blog/asert/netscout-arbor-confirms-1-7-tbps-ddos-attack-terabit-attack-era-upon-us/ [EN]

https://twitter.com/hypoweb/status/971326135975006209 [EN]

https://www.corero.com/company/newsroom/press-releases/corero-network-security-discovers-memcached-ddos-attack-kill-switch-and-also-reveals-memcached-exploit-can-be-used-to-steal-or-corrupt-data/ [EN]

https://github.com/649/Memfixed-Mitigation-Tool [EN]

Crypto mineur : 500000 infections en 12 heures

La semaine dernière, Microsoft a observé, grâce aux données collectées via Windows Defender, la prolifération rapide d’un nouveau malware. Ce dernier a infecté près de 500000 machines en 12 heures. Sur les 500000 infections, 73% sont localisées en Russie, 18% en Turquie et 4% en Ukraine. Le malware de type crypto mineur est déposé sur le système par un autre malware nommé Smoke Loader (ou encore Dufoil) déjà connu par les experts.
Smoke Loader lance l’application de minage en utilisant la technique du process hollowing. Elle permet de faire passer le mineur pour un processus légitime tel qu’Explorer.exe.
Afin d’assurer sa persistance sur le système, le malware se copie dans le dossier Roaming AppData sous le nom ditereah.exe et créé ou modifie une clé de registre Run.
Microsoft annonce que la fonctionnalité de machine learning et l’intelligence artificielle utilisées par Windows Defender ont permis de détecter et bloquer cette prolifération massive. Cependant aucune information n’a été donnée sur le vecteur d’attaque. Il s’agit peut-être d’une campagne massive de type “malspam” ou l’exploitation d’une vulnérabilité via des exploit-kits.

https://cloudblogs.microsoft.com/microsoftsecure/2018/03/07/behavior-monitoring-combined-with-machine-learning-spoils-a-massive-dofoil-coin-mining-campaign/ [EN]

Espionnage à grande échelle : l’appliance PacketLogic de Sandvine utilisé par les gouvernements et FAI

Suite aux révélations faites l’année dernière par ESET de cas d’espionnage à grande échelle distribuant le malware FinFisher dans certains pays, les chercheurs de Citizen Lab ont mené de leur côté des investigations plus poussées.
C’est ainsi qu’ils affirment l’usage de l’appliance PacketLogic dans des pays comme la Turquie afin de rediriger les journalistes, avocats ou défenseurs des droits de l’homme vers des sites malveillants hébergeant le malware FinFisher qui permet de les espionner. Ces interceptions de trafics sont effectuées au niveau des fournisseurs d’accès à internet. Le même procédé a aussi été observé en Syrie où un malware développé spécialement pour ce besoin est distribué aux personnes ciblées.
En Égypte, l’appliance est utilisée afin de bloquer l’accès à des sites dont le thème est consacré aux droits de l’homme, à la politique, etc. Citizen Lab a aussi detecté qu’un opérateur télécom utilise l’appliance afin d’injecter des scripts de minage de monnaies électroniques sur les pages web que visitent ses clients.
Sandvine, de son côté, a entièrement réfuté ces révélations.

 

https://thehackernews.com/2018/03/cryptocurrency-spyware-malware.html [EN]

https://citizenlab.ca/2018/03/bad-traffic-sandvines-packetlogic-devices-deploy-government-spyware-turkey-syria/ [EN]

https://www.theregister.co.uk/2018/03/09/citizen_lab_claims_sandvine_hardware_used_to_enable_government_spyware/ [EN]

Réseau 4G LTE : Plusieurs vulnérabilités critiques compromettent la sécurité du protocole de télécommunication

Un nouveau papier de recherche publié récemment par des chercheurs des universités de Purdue et Lowa, démontre 10 nouvelles attaques contre le protocole de télécommunication 4G LTE. Ces attaques permettent d’espionner, de traquer, d’usurper et de spammer les clients connectés à des antennes 4G LTE. Elles exploitent des faiblesses de design dans les 3 procédures clés du protocole 4G LTE : association , dissociation et “paging”.
Parmi les 10 attaques découvertes par les chercheurs, la plus critique concerne le relais d’authentification qui permet à un pirate d’usurper l’emplacement d’un utilisateur légitime au réseau central sans posséder les informations d’identification appropriées.
Ce qui est d’autant plus intéressant c’est qu’on peut mener ces attaques avec des budgets peu coûteux, variant entre $1300 et $3900. Les chercheurs ne planifient pas pour le moment de fournir des preuves de concept à moins que les vulnérabilités soient corrigées.

 

https://thehackernews.com/2018/03/4g-lte-network-hacking.html [EN]
https://www.lemondeinformatique.fr/actualites/lire-des-failles-decouvertes-dans-le-protocole-4g-lte-71056.html [FR]

http://wp.internetsociety.org/ndss/wp-content/uploads/sites/25/2018/02/ndss2018_02A-3_Hussain_paper.pdf [EN]

Slingshot : Une attaque APT exploite des routeurs vulnérables en Afrique et au Moyen-Orient

L’équipe de recherche GReAT de Kaspersky a divulgué une nouvelle menace de type APT détectée dans plusieurs pays du Moyen-Orient et d’Afrique. La menace serait opérationnelle depuis au moins 2012 d’après la date de compilation trouvée dans les souches.
Il exploite une vulnérabilité dans les routeurs produits par l’entreprise Lettonienne Mikrotik. L’exploit utilisé n’est pas formellement identifié, mais les chercheurs de Kaspersky soupçonnent l’usage de ChimayRed dont le code source a fuité avec le leak Vault 7 de la CIA divulgué par Wikileaks.
Une fois le routeur compromis, les attaquants y déposent une DLL malveillante nommée ipv4.dll. Cette DLL infectera tous les postes qui utiliseront l’application Winbox Loader pour administrer le routeur. Une fois exécutée sur le poste de la victime, elle se connecte sur une adresse IP codée en dure et qui correspond à celui du routeur, afin d’y récupérer le malware final Slingshot.
Slingshot est un malware composé de deux modules : Cahnadr ( kernel mode ) and GollumApp ( user mode). Le but de ses deux modules est de récupérer des informations, de les exfiltrer ainsi que d’assurer une persistance sur le système. Cahnadr, sur les systèmes qui requièrent des drivers signés, exploitent des vulnérabilités telles que CVE-2007-5633; CVE-2010-1592, CVE-2009-0824 afin de passer en mode kernel.
Pour le moment aucune attribution n’a encore était faite. Cependant les chercheurs de Kaspersky supposent que les attaquants sont soutenus par un état et seraient d’origine anglophone.

https://securelist.com/apt-slingshot/84312/ [EN]

https://github.com/BigNerd95/Chimay-Red [EN]

https://www.undernews.fr/malwares-virus-antivirus/slingshot-lespion-qui-venait-du-routeur.html [FR]

https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/2018/03/09133534/The-Slingshot-APT_report_ENG_final.pdf [EN]

NSA : Les fuites de données de la NSA révèlent des outils servant à traquer les pirates

Un an après la publication par Shadow Brokers de plusieurs données appartenant à la NSA, des chercheurs du Lab CrySyS et de Ukatemi ont fait de jolies trouvailles provenant de ce dump. En effet ce dernier contient des scripts permettant à la NSA d’identifier la présence d’autres pirates sur un système compromis. Ces scripts sont produits par la Territorial Dispute (TeDi), une équipe de la NSA spécialisée dans le développement de ces scripts.
Ces scripts utilisent des indicateurs de compromissions (IoC) qui leur permettent de traquer la présence d’autres attaquants. Ceci permet à la NSA d’adapter son comportement ou tout simplement de renoncer à la machine s’il y’a risque de se faire détecter ou que leurs outils d’attaques soient dérobés.
Selon le rapport, la TeDi disposerait d’une base contenant des signatures d’au moins 45 groupes spécialisés dans les attaques APT.

 

https://theintercept.com/2018/03/06/leaked-files-show-how-nsa-tracks-other-countries-hackers/ [EN]

Cyberattaques des JO : Retour sur l’origine de cette attaque et la difficulté de l’attribution

Dans un blog post très bien rédigé, l’équipe GReAT de Kaspersky Lab nous présente les résultats de leur recherche concernant la cyberattaque qui a visé l’infrastructure IT des JO de Pyeongchang. Le nom du propriétaire des domaines malveillants, la backdoor powershell utilisés, ainsi qu’un service VPN, ont permis de lier cette attaque à des campagnes de spam délivrées quelques jours avant l’ouverture. Ces campagnes de spam, dont l’une des plus vieilles traces remonte au 29 Décembre 2017, visait principalement les partenaires des JO comme Atos, mais aussi des hôtels. On apprend aussi à travers ce rapport que les attaquants n’ont pas lancé directement le malware sur les systèmes compromis. Ces derniers ont observé les réseaux des partenaires après infection, afin de repérer des machines clés pouvant servir de pivot au déploiement du malware. Cette propagation manuelle aurait été effectuée grâce à PsExec et meterpreter.

https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/ [EN]

https://www.undernews.fr/malwares-virus-antivirus/olympique-destroyer-le-malware-qui-a-ete-concu-pour-tromper-la-communaute-de-la-cybersecurite.html [FR]

Cyber espionnage : Hacking Team aurait-il repris les activités ?

Hacking Team, la fameuse entreprise italienne spécialisée dans la vente d’outils d’espionnage aux états et services de renseignement, aurait repris du service. En effet depuis que l’entreprise a été victime d’une grosse attaque informatique ayant entraîné la fuite de ses outils (400 Go de données), beaucoup spéculent sur la fin de son existence. D’après les experts d’ESET ce n’est pas le cas, ces derniers ont trouvé dans la nature une nouvelle souche du malware phare de Hacking Team RCS. RCS permet l’extraction de fichiers à partir d’un appareil ciblé, l’interception de courriels et de messages instantanés, ainsi que l’activation à distance de la webcam et du microphone d’un appareil . D’après les chercheurs d’ESET, il ne s’agit pas de souches faites par d’autres acteurs qui se seraient inspirés des codes qui ont fuités. Ces nouvelles souches, compilées entre septembre 2015 et octobre 2017, présentent toutes des certificats de signatures avec des dates de validité qui suivent une suite logique. Un de ces certificats est attribué à Valeriano Bedesch qui est le co-fondateur de Hacking Team. Ces souches sont toutes protégées par VMProtect afin de rendre difficile leur analyse comme dans les habitudes des développeurs de Hacking Team. En dernier les modifications apportées à ces nouvelles souches, montrent que l’auteur a une bonne maîtrise du code source. De plus cette reprise d’activité concorde avec la reprise financière apparente de Hacking Team.

 

https://www.welivesecurity.com/2018/03/09/new-traces-hacking-team-wild/ [EN]

https://www.welivesecurity.com/fr/2018/03/13/retour-hacking-team-espiongiciels/ [FR]