IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Opération BugDrop : des pirates écoutent les conversations via les micros de PC et volent des informations


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 554
    Points
    26 554
    Par défaut Opération BugDrop : des pirates écoutent les conversations via les micros de PC et volent des informations
    Opération BugDrop : des pirates écoutent les conversations à travers les micros de PC et volent des informations
    de 70 structures dans plusieurs pays

    Vu les découvertes d’attaques informatiques exploitant des failles toujours nouvelles, certains pourront donner raison à ceux qui prennent des mesures peu communes pour se protéger contre les éventuelles attaques. CyberX, l’entreprise pourvoyeuse de solutions IT dans le domaine de la sécurité, vient de découvrir une campagne d’attaques menée contre au moins 70 structures dont la plupart sont basées en Ukraine et opérant dans les secteurs des médias, des infrastructures critiques et de la recherche scientifique.

    Baptisées opération BugDrop par CyberX, ces attaques ont été possibles en exploitant des failles permettant de contrôler à distance le microphone des PC des cibles afin d’écouter les conversations sensibles pour finalement stocker les fichiers audio sur la plateforme de stockage en ligne Dropbox. Cette attaque nous renvoie aux conseils donnés par le directeur du FBI, James Comey, qui demandait de fermer les webcams des appareils avec du ruban adhésif afin de se prémunir contre l’espionnage. Mark Zuckerberg, le fondateur de Facebook, a adopté cette attitude et même a été déjà photographié avec des rubans sur la webcam et le microphone de son appareil. Toutefois, comme certains le font remarquer, si l’application d’un ruban adhésif sur les webcams fonctionne correctement contre l’espionnage à travers ce type de périphériques, cette action reste inefficace lorsque l’on met du scotch sur les microphones.

    Revenant à l’opération BugDrop, CyberX explique qu’en plus d’écouter les conversations des personnes dialoguant dans l’environnement immédiat des terminaux, les pirates sont également parvenus à effectuer des captures d’écran, à subtiliser des documents et des mots de passe sur les systèmes ciblés.

    Pour infecter les systèmes de leurs victimes, les attaquants leur envoient des emails avec en pièces jointes des documents de type Microsoft Word contenant des macros malveillantes. Selon les données collectées par CyberX, la dernière modification du document remonterait au 22 décembre 2016, avec comme nom d’auteur « Siada » et comme contenu une liste d’informations personnelles du personnel militaire. Tant que la fonctionnalité d’exécution des macros est désactivée dans le document, la victime n’a rien à craindre. Aussi, pour amener l’utilisateur à activer cette fonctionnalité, le document affiche en russe le texte suivant : « Attention ! Le fichier a été créé dans une version plus récente des programmes Microsoft Office. Vous devez activer les macros pour afficher correctement le contenu d’un document ».

    Nom : BugDrop-MicrosoftOfficeMacroDesactivee.jpg
Affichages : 3538
Taille : 25,0 Ko

    Croyant que c’est un message authentique, lorsque la victime active l’exécution des macros, cela a pour effet de libérer un malware qui est exécuté à partir du répertoire temporaire. Ce dernier est conçu avec un tel niveau de sophistication (comprenant le chiffrement du code) qu’il est indétectable par la majorité des solutions d’antivirus usuelles. Sur 54 antivirus utilisés par CyberX pour tester son taux de détection, seuls 4 antivirus ont réussi à détecter la présence d’éléments malveillants.

    Le dropper (application présentée comme inoffensive, mais utilisée pour télécharger un malware) contient 2 DDL qui sont extraits dans le dossier App Data et décomposés en deux parties. La première partie du malware est exécutée et le DLL est chargé en utilisant une injection DLL réflexive. Responsable de la persistance et du DLL de téléchargement du malware, cette première partie va s’enregistrer dans la base des registres avec la clé suivante : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath.

    La seconde partie du malware est responsable du chargement du module principal qui lui est hébergé sur un site d’hébergement gratuit. Cela est efficace, car il n’oblige pas les pirates à fournir des informations compromettantes pour la création du serveur de commande et de contrôle (C&C). Une fois le module principal téléchargé, il est ensuite chargé dans la mémoire du système en utilisant la technique d’injection DLL réflexive. À ce jour, le système infecté déjà connu est Windows.

    Après cette étape, le module principal va se charger de télécharger et exécuter divers plug-ins pour voler les données de la victime. Les données volées seront stockées dans le dossier %USERPROFILE%\AppData\Roaming\Media, puis chiffrées avant d’être envoyées sur Dropbox par le module principal. Parmi les plug-ins utilisés pour voler ces données, nous en avons de plusieurs types dont un plugin qui est chargé de récupérer les fichiers de types doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar, db, txt stockés localement ou sur les lecteurs partagés, un autre qui recherche les mêmes fichiers sur les clés USB, un autre encore qui est utilisé pour écouter les conversations audio provenant des micros, etc. Après la récupération des données chiffrées envoyées sur Dropbox par le pirate, celles-ci sont automatiquement supprimées.

    En plus d’avoir été utilisé pour cibler des structures en Ukraine, BugDrop a également été localisé dans une plus petite proportion sur des cibles en Russie, en Arabie Saoudite et en Autriche. Toutefois, beaucoup plus de cibles ont été répertoriées dans les États séparatistes autoproclamés de Donetsk et de Luhansk classés comme organisations terroristes par le gouvernement ukrainien.

    En analysant le volume des données collectées par jour et la sophistication du code du malware, CyberX soutient que cette opération doit avoir été montée par des hackers très habiles dotés de ressources financières très importantes. Elle va plus loin en affirmant qu’elle serait à l’aise d’affirmer qu’elle a été parrainée par un État.

    Source : CyberX

    Et vous ?

    Que pensez-vous de ces attaques ?

    Qui pensez-vous pourrait être derrière ces attaques ?

    Quelles solutions pouvez-vous suggérer pour vous prémunir de l’espionnage via les micros de PC ?

    Voir aussi

    Le directeur du FBI recommande de fermer les webcams avec du ruban adhésif pour se prémunir contre le cyberespionnage, bonne attitude ou paranoïa ?
    Trump déclare qu'« aucun ordinateur n'est sécurisé » et propose de revenir aux courriers postaux pour lutter contre le piratage des emails

    La Rubrique sécurité, Forum sécurité, Cours et tutoriels sécurtité, FAQ Sécurtié
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 758
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 758
    Points : 7 176
    Points
    7 176
    Par défaut
    Que pensez de ces attaques ?
    Cyberguerre qui ne date pas d'hier.

    Qui est derrière cette attaque ?
    Les américains : une des agences aux trois lettres.

    Comment s'en prémunir ?
    Ne plus achetez de PC avec un micro : le changement d'OS n'y changerait rien = impossible aujourd'hui dans notre monde connecté.
    Arrêter d'utiliser la suite Office ? Quasi impossible et en changer reviendrait du pareil au même.
    Eteindre son PC avant d'entamer une conversation ? Eventuellement. Je retire même la batterie de mon smartphone en milieu sensible.
    Nous contacter pour installer notre solution de sécurité mais qui est prévue pour un environnement d'entreprise et plus efficace sous linux que sous windows qui manque de souplesse.

    Edit : j'ai zeappé la dimension formation de l'utilisateur volontairement étant donné que nul ne peut garantir sur 7 milliards d'individus qu'aucun ne succombera à la tentation
    Ensuite le filtre de spam : lorsque le courriel vient d'une adresse de confiance... si si ça arrive chez les gens les plus sérieux : la DG par exemple.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 532
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 532
    Points : 3 884
    Points
    3 884
    Par défaut
    il reste a parler en code

    allez hop formation navajo comme pendant la guerre

Discussions similaires

  1. lire et utiliser les donnees d'un fichier texte pour afficher des courbes
    Par messaoudi2009 dans le forum Général Java
    Réponses: 1
    Dernier message: 29/04/2009, 22h00
  2. [RegEx] preg_replace pour saisir des caractères et les remplacer
    Par vasilov dans le forum Langage
    Réponses: 6
    Dernier message: 08/09/2008, 18h26
  3. script pour desarchiver des rar et les copier
    Par deny dans le forum Shell et commandes GNU
    Réponses: 0
    Dernier message: 14/03/2008, 18h57
  4. [FPDF] Pb pour ouvrir des PDF depuis les dossiers Web
    Par Diggi dans le forum Bibliothèques et frameworks
    Réponses: 6
    Dernier message: 12/12/2007, 09h51
  5. Idée pour sélectionner des produits et les ajouter
    Par Nulenprogra dans le forum Général JavaScript
    Réponses: 2
    Dernier message: 11/02/2007, 12h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo