Discussion :

[Siguillaume]

Une cyberattaque se prépare contre plusieurs banques
Un groupe de hackers russes menace des institutions financières américaines et internationales

La firme Root9B spécialiste mondiale des technologies de cyber sécurité, et au service de plusieurs organisations internationales, a détecté une cyberattaque dont les cibles principales sont des institutions financières américaines et internationales. Selon elle, cette attaque massive est planifiée par le groupe de hackers russes Sofacy Group, aussi connu sous le nom de APT 28.

Sofacy Group est une organisation de hackers russes active depuis 2007, et qui est bien connue par ses méthodes d’hameçonnage (ou phishing) très élaborées et de cyber squattage (ou cybersquatting), qui est une technique qui consiste à réserver des noms de domaines similaires à ceux de sites existants, ou susceptibles d’être exploités. Au vu des attaques qu’elle a perpétrées pendant plusieurs années, certains l’apparentent aux services secrets russes.

C’est depuis quelques jours que Root9B a repéré une attaque de ces hackers russes contre plusieurs banques telles que TD Bank, Bank of America, UAE Bank, United Bank for Africa et d’autres organisations internationales comme UNICEF. La stratégie utilisée repose sur un backdoor* intégré à des emails ou des logiciels téléchargeables qu’ont reçus des membres du personnel de ces institutions. D’après les analyses effectuées, APT 28 fait du cybersquatting sur une banque du Moyen-Orient en créant un site web dont le nom de domaine ressemble à l’URL du site de celle-ci. Ensuite il charge sur cet espace web un ensemble d’outils et de logiciels malveillants en vue de perpétrer une attaque. C’est cet hébergement décelé qui a mis la puce à l’oreille de la spécialiste de cyber sécurité qu’une attaque massive se préparait. Toutefois, rien n’indique que l’invasion n’a pas déjà été entamée.

Le PDG de Root9B exprime sa satisfaction sur le travail abattu par ses équipes et précise avoir passé plus de trois jours à informer les autorités américaines et celles des Emirats Royaumes Unis sur les mesures préventives et curatives à prendre devant cette menace qualifiée de spear-phishing ou harponnage*.

La firme américaine de cyber sécurité a publié ce rapport complet disponible au grand public. Selon cette publication, c’est plus de 900 millions de dollars qui ont été volés par les cybercriminels russes à travers le monde, l’année dernière.


*Un backdoor est une portion de script introduite dans le code source d’un logiciel ou un email, par un pirate, en vue d’une cyberattaque. Les backdoors constituent des risques majeurs de sécurité informatique.
*Un spear-phishing ou harponnage est un dérivé d’hameçonnage ciblé contre un groupe précis sur la base de plusieurs informations personnelles recueillies.

Source : Root9B Technologies News

Et vous ?

Pensez-vous que cette menace puisse être vraiment circonscrite ?

Quelles suggestions feriez-vous pour lutter efficacement contre ces cyberattaques ?

[Invité]

Comment lutter contre les cyber-attaques ?

D'une, sensibiliser beaucoup plus les étudiants en informatique aux risques en matière de sécurité.
De deux, allouer du budget pour des formations destinées aux admins réseaux.
Et de trois, sensibiliser VRAIMENT les employés au social-engineering et aux "attention aux pièces jointes des mails".

[RyzenOC]

intégré à des emails

Je ne suis pas un spécialiste, mais j'ai jamais compris comment les piratent faisait pour intégrer du code malveillant dans des emails (en dehors des pieces jointes), je vois pas quels boites mail autoriserais du contenue flash/ applets java ou pire des activX.

Clairement si les salariés lances des exe contenue dans des boites mail, on ne peut pas vraiment y faire grand chose.

Pour moi la meilleur des sécurité serait d'utiliser des machines virtuel pour ouvrire les pieces jointes

Et même d'utiliser 1 machine virtuel par catégorie de travail, 1 pour le surf/consultation de mail, 1 autre hautement sécurisé/restrainte pour les opérations banquaire...

[miky55]

Je ne suis pas un spécialiste, mais j'ai jamais compris comment les piratent faisait pour intégrer du code malveillant dans des emails (en dehors des pieces jointes), je vois pas quels boites mail autoriserais du contenue flash/ applets java ou pire des activX.

Clairement si les salariés lances des exe contenue dans des boites mail, on ne peut pas vraiment y faire grand chose.

Le vecteur de propagation est bien les pièces jointes ou lien de téléchargement dans le mail. Souvent l’exécutable téléchargé possède une icone imitant un document word ou pdf, voir un vrai pdf exploitant une faille 0day de acrobat reader.

Je ne pense pas que des VMs soient une solution viable pour des non informaticiens. Il faut restreindre au maximum les postes et complètement bannir les pièces jointes/ téléchargements pour tous les utilisateurs qui peuvent faire des transactions bancaires. Ou qu'ils aient carrément 2 machines physique une pour la bureautique/mails une pour les transactions complètement déconnectée d'internet.

[RyzenOC]

Je ne pense pas que des VMs soient une solution viable pour des non informaticiens.

On peut rendre l'utilisation des VM très simple, on peut même crée un intranet avec une belle interface qui lance des vm dans le navigateur. Avec VMware et virtualBox en tous cas c'est possible.
On peut même lancer les vm a distance pour pas bouffer la puissance du pc de l'utilisateur.

L'idée serait de virer Windows, et mettre un truc comme cubeOS, qui lui utilisera plusieurs OS

[miky55]

On peut rendre l'utilisation des VM très simple

Outre le problème de la simplicité il y a celui de la sécurité et on a déjà vu des malawares infecter l'hôte d'une vm ou d'une sandbox. Séparer physiquement les systèmes sensibles des clients aux réseaux est l'idéal

[Aiekick]

d'autant que il y a une news récente de DVP qui explique le fonctionnement d'un malware qui justement détecte qu'il tourne dans une VM et a ce moment ne fait rien du tout..

[miky55]

d'autant que il y a une news récente de DVP qui explique le fonctionnement d'un malware qui justement détecte qu'il tourne dans une VM et a ce moment ne fait rien du tout..

S'il fait rien du tout pour le coup, c'est pas bien grave mais si il arrive carrément à s'installer sur l’hôte...

[arkhamon]

Pour le coup, le malware ne fait rien s'il détecte qu'il se trouve dans un bac a sable. Ca le rend d'autant plus dangereux car on ne le detecte pas. A moins de déclarer 2 cores sur la VM de bac à sable, masi dans ce cas, ils trouveront autre chose.

Je pense que la meilleure protection contre ce genre de choses, c'est la formation et la responsabilisation des utilisateurs, couplés à un éventuel filtre à l'entrée.
Je pense éventuellement à un filtrage systématique des pièces jointes entrantes et des mises en cache des liens inclus dans les messages. On pourrait par exemple comparer le domaine de l'émetteur avec celui des liens dans le message...

Mais je pense que le plus grand facteur de succès contre les malwares reste la formation à la vigilance des utilisateurs.

[dexter74]

Bonjour,

j'aimerai ajouter qu'on peux voir son contenue via : https://www.fireeye.com/resources/pdfs/apt28.pdf
Source: search.com + mot clé