Page 15 – learn.hack.repeat

La théière russe explose: l’Ukraine et la Russie, également en guerre numérique

On 24/02/2022

Premier jour de cette nouvelle guerre et le site web de l’armée russe a parlé de lui même hier, 24 février, lorsque le code d’erreur HTTP 418 signifiant « Je suis une théière » s’est affiché à la place du site web.

Le code d’erreur, loin de représenter un nouveau code pour les l’IoT, a été créé comme une blague le jour du poisson d’avril 1998. C’est un moyen non seulement d’empêcher l’accès au web, mais aussi d’exprimer une pensée sûrement partagée par de nombreux collectifs en ces temps de guerre.

Message d’erreur, visible lors de la rédaction de cet article.

Ce n’est pas la seule attaque, d’autres sites web du gouvernement russe ont également subi des cyberattaques qui les ont rendus inopérants. C’est la manière dont la communauté exprime, au moins de manière virtuelle, la stupeur provoquée par ce pays au cours des dernières années, des derniers mois et, évidemment, de ces derniers jours désastreux.

Fil Twitter commentant le message d’erreur 418.

Fil Twitter sur les sites Web du gouvernement russe désactivés.

Ces attaques surviennent après les attaques successives de la Russie contre des centaines de sites web ukrainiens. Une pratique de plus que le gouvernement russe a utilisée pour déstabiliser le pays voisin au début de la guerre actuelle. Parmi ces attaques, un nouveau logiciel malveillant, rapidement analysé par l’analyste Juan Andrés Guerrero-Saade, a retenu l’attention. La coopération entre analystes, dont beaucoup ont partagé cette expérience sur les réseaux sociaux, est toujours un motif de réjouissance.

Fil de discussion sur l’analyse de @juandres_gs

L’analyse complète du malware, appelé HermeticWiper, a été publiée sur le site Web de sentinelLabs. Il porte le nom du certificat utilisé par le malware « Hermetica Digital Ltd » et le fonctionnement de ce malware, visant à détruire les données sur les machines infectées.

Communication sur le compte de recherche ESET.

ABC News donne un aperçu des attaques de ces derniers mois, dont celles du logiciel malveillant susmentionné, qui ont principalement visé de grands entrepreneurs du gouvernement ukrainien en Lettonie et en Lituanie et une institution financière en Ukraine. On ne sait pas encore combien de personnes pourraient être concernées. C’est loin d’être la seule attaque subie, ni la plus dommageable pour le pays ces dernières années (il suffit de se souvenir de NotPetya).

Dans ces conditions, cette guerre se déroule sur plusieurs fronts, et celui du numérique en est un. Comme de nombreux médias le soulignent déjà, l’attrition des cyber-attaques contre l’Ukraine vise à déstabiliser davantage le pays. S’il y avait le moindre doute sur le fait que, dans une guerre physique, le cyberespace ne serait pas pertinent, ce doute devrait avoir été écarté à ce jour.

En outre, il ne semble pas déraisonnable de penser que, compte tenu de la situation, nous n’en sommes qu’au début, et que nous ne pouvons donc pas nous sentir exclus. Non seulement en raison de la situation elle-même, qui est dévastatrice et impensable, mais aussi parce que tout est connecté numériquement.

Nous sommes-nous préparés à cette guerre ?

Plus d’information:
https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack

La vulnérabilité Log4j, exploitée dans VMware Horizon pour le déploiement de ransomware

de jabot

On 24/02/2022

dans CVE, Ransomware, Sécurité

Un groupe de pirates proche du gouvernement iranien utilise la vulnérabilité Log4j pour infecter des serveurs VMware Horizon obsolètes.

Comme le rapportent les chercheurs Amitai Ben Shushan Ehrlich et Yair Rigevsky de la société de sécurité SentinelOne, le groupe cybercriminel appelé « TunnelVison » exploite activement la vulnérabilité Java Log4j (CVE-2021-44228) pour l’exécution de code à distance. Ils peuvent ainsi prendre le contrôle des serveurs affectés et lancer des commandes PowerShell pour activer des portes dérobées, créer des utilisateurs, obtenir des informations et effectuer des mouvements latéraux. VMware utilise généralement Apache Tomcat pour le déploiement d’applications Web Java.

Au cours de l’activité détectée, l’utilisation d’un dépôt Github connu sous le nom de « VmwareHorizon » et de l’utilisateur « protections20 » a été observée.

Il est recommandé de mettre à jour les dernières versions pour éviter ce type d’incident.

Plus d’information:
https://kb.vmware.com/s/article/87073
https://thehackernews.com/2022/02/iranian-hackers-targeting-vmware.html

Nouveau 0-day dans Google Chrome

de jabot

On 21/02/2022

dans CVE, Sécurité

Google a publié lundi dernier une nouvelle version de son navigateur Google Chrome qui applique plusieurs correctifs de sécurité corrigeant huit vulnérabilités, dont une vulnérabilité élevée qui est actuellement activement exploitée, étant la première vulnérabilité de type 0-day corrigée par le géant de l’Internet en 2022.

Les vulnérabilités de sécurité (CVE-2022-0603, CVE-2022-0604, CVE-2022-0605, CVE-2022-0606, CVE-2022-0607, CVE-2022-0608, CVE-2022-0609) présentent un risque élevé tandis que la vulnérabilité (CVE-2022-0610) présente un risque moyen.

Google reconnaît avoir eu connaissance de rapports faisant état de l’existence d’un exploit pour CVE-2022-0609, qui est utilisé dans des attaques actuellement en cours. Adam Weidemann et Clément Lecigne du groupe d’analyse des menaces (TAG) de Google sont responsables de la découverte et du signalement de la vulnérabilité.

L’accès aux détails de la vulnérabilité est actuellement restreint.

Google recommande de passer à la version stable 98.0.4758.102 pour Windows, Mac et Linux, qui sera déployée dans les jours/semaines à venir.

La liste complète des modifications apportées à cette version est disponible dans le journal des modifications.

Plus d’information: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
https://blog.google/threat-analysis-group/
https://sites.google.com/a/chromium.org/dev/Home/chromium-security

La 5ème vague

de jabot

On 18/02/2022

dans Chiffrement, Ransomware, Sécurité

Est-ce que quelqu’un pense encore que les ransomwares ne s’arrêtent que lorsque les données sont chiffrées et qu’un paiement est exigé ? Il existe plusieurs générations de groupes d’extorsion qui se concentrent exclusivement sur les ransomwares d’entreprise, et tant le succès que les opportunités de marché les poussent à innover dans leurs méthodes. En réalité, nous avons affaire à de multiples tentatives d’extorsion qui couvrent tous les flancs pour assurer le succès des attaquants et ne laisser aucune option à la victime.

La première vague d’extorsion consiste évidemment à s’introduire dans l’entreprise et à chiffrer les informations importantes. Si la rançon n’est pas payée, les données restent chiffrées et l’entreprise ne peut pas poursuivre son activité. Il y a quelques années, une nouveauté a été introduite : non seulement les attaquants chiffrent les informations, mais ils les volent également, et plus le paiement est long, plus ils rendent publiques les informations de l’entreprise.

La troisième vague, qui s’ajoute aux précédentes, consiste à faire pression en exécutant des attaques par déni de service sur les pages publiques de l’entreprise attaquée. Ils les font disparaître d’internet. La quatrième qui a été observée est le harcèlement. Les attaquants, parfaitement organisés, contactent les fournisseurs, les partenaires, les clients et même les médias pour les avertir de l’attaque et ruiner la réputation de la victime.

Mais il y en a aussi une cinquième. Depuis quelque temps, LockBit invite les victimes à fournir des données tierces pour les aider à pénétrer dans leur réseau (identifiants VPN, RDP, etc.). Cela pourrait être utilisé pour « diminuer » le paiement de la rançon. Condamner un tiers pour alléger sa propre peine. Pervers mais apparemment efficace.

Ils offrent donc, par le biais de la note de rançon du Ransomware, la possibilité de gagner de l’argent si vous leur fournissez des données d’accès à des sociétés tierces. Il s’agit de la note de rançon typique dans laquelle on peut lire un message comme ci-dessous :

Mettant en évidence du texte suivant :

“Would you like to earn millions of dollars?

Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.

You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. »

Si l’on y regarde de plus près, il s’agit d’une véritable perversion, étant donné qu’en plus du problème posé à l’entreprise touchée, qui doit faire face à la double extorsion du chiffrement et de l’exfiltration des données, l’attaquant tente de persuader l’entreprise attaquée ou même ses employés de fournir des données provenant d’entreprises tierces, de clients ou de fournisseurs de l’entreprise touchée. En d’autres termes, ils essaient de simplifier la manière dont ils entrent dans nombre de ces entreprises. Il existe déjà un marché sur lequel les attaquants peuvent acheter des informations d’identification à d’autres groupes criminels spécialisés dans la fourniture d’un accès initial aux entreprises, appelés Access Brokers. Mais ce modèle permettra à toute personne travaillant dans une entreprise et disposant d’identifiants d’accès à ses systèmes, ou à des systèmes tiers, de devenir Access Broker et de voir ainsi un moyen facile et discret d’obtenir un revenu supplémentaire.

En fait, le message pourrait aussi être lu comme une invitation à échanger l’extorsion contre des informations précieuses permettant à l’attaquant d’effectuer une transaction sur un compte plus important. Par exemple, si je suis le fournisseur d’une grande entreprise et que je suis compromis, j’échange la rançon en fournissant des informations d’identification qui permettent d’accéder à l’entreprise, ou en fournissant une porte dérobée qui permet à l’attaquant d’accéder à l’entreprise.

Ainsi, désormais, dans l’analyse des risques du modèle de ransomware, une nouvelle variable, auparavant mineure, prend une ampleur considérable : le risque qu’un potentiel insider fournisse aux attaquants le jeu de clés du château et leur facilite grandement la tâche pour mener à bien l’opération de compromission de l’infrastructure, ou le risque qu’un collaborateur extorqué donne accès aux systèmes.

Il est plus que probable que le modèle économique des ransomwares continuera d’évoluer et que nous verrons apparaître de nouvelles techniques et stratégies. Il faut donc continuer la sensibilisation au problème majeur que posent ces attaques, en renforçant la sécurité des entreprises et en collaborant avec les différents acteurs du secteur pour tenter de combattre ce fléau.

Plus d’information:
https://www.coveware.com/blog/2022/2/2/law-enforcement-pressure-forces-ransomware-groups-to-refine-tactics-in-q4-2021

Kali Linux version 2022.1, avec des mises à jour visuelles, de nouveaux outils et un SSH traditionnel

de jabot

On 17/02/2022

dans Sécurité

L’équipe Offensive Security vient de publier la première version de Kali Linux de la nouvelle année avec Kali Linux 2022.1. Elle apporte des mises à jour visuelles comme le thème GRUB, de nouveaux outils du ProjectDiscovery comme nuclei, naabu et des ajustements aux fonctionnalités existantes.

Le résumé du changelog depuis la version 2021.4 de décembre 2021 est le suivant :

Rafraîchissement visuel – Fonds d’écran et thème GRUB mis à jour.
Modifications de l’invite du shell – Améliorations visuelles pour améliorer la lisibilité lors de la copie du code.
Page d’accueil des navigateurs rafraîchie – La page d’accueil de Firefox et Chromium a fait peau neuve pour vous aider à accéder à tout ce dont vous avez besoin pour Kali.
Kali Everything Image – Une solution all-in-one maintenant disponible au téléchargement.
Kali-Tweaks Meets SSH – Se connecter à d’anciens serveurs SSH en utilisant les protocoles et les cryptages SSH existants.
Améliorations de VMware i3 – Les fonctionnalités hôte-invité fonctionnent désormais correctement sur i3.
Fonctions d’accessibilité – La synthèse vocale est de retour dans l’installateur de Kali.
Nouveaux outils – Plusieurs nouveaux outils ont été ajoutés, dont beaucoup proviennent de ProjectDiscovery.

Rafraîchissement visuel : Mises à jour des thèmes

Comme promis dans Kali 2021.2, à partir de cette version (2022.1), les versions annuelles 20xx.1 seront les seules à avoir les principales mises à jour visuelles. En utilisant un cycle de vie annuel, il est plus facile de reconnaître les différentes versions de Kali Linux au fil du temps. Cette mise à jour inclut de nouveaux fonds d’écran pour le bureau, la connexion et l’affichage du démarrage, en plus d’un thème d’installation rafraîchi que vous avez peut-être vu si vous avez récemment mis à jour.

De plus, les fonctions, le thème et la disposition du menu de démarrage présent dans les images ISO ont été améliorés. Grâce à ces changements, ils deviennent cohérents partout. Auparavant, les menus de démarrage de l’UEFI et du BIOS comportaient différentes options et conceptions, et étaient également écrits différemment, ce qui les rendait confus. Ajoutez à cela les multiples différences entre les options « installer », « live », « netinstall » et « mini ». Tous ces problèmes ont été résolus et les pages ont désormais un aspect universel.

Page d’accueil du navigateur rafraîchie

Cette version est accompagnée d’un nouveau look pour la page d’accueil par défaut livrée avec Kali. Utilisant les sites de documentation mis à jour (Kali-Docs et Kali-Tools), la fonction de recherche vous aidera à trouver presque tout ce dont vous pourriez avoir besoin en utilisant Kali Linux.

Nouveaux outils dans Kali

Entre les nombreuses mises à jour de paquets, plusieurs nouveaux outils ont été ajoutés. Une brève ventilation de ce qui a été ajouté (dans les dépôts de réseau) :

dnsx – Boîte à outils DNS rapide et polyvalente permettant d’exécuter plusieurs requêtes DNS.
email2phonenumber – Un outil OSINT permettant d’obtenir le numéro de téléphone d’une cible en ayant simplement son adresse e-mail.
naabu – Un scanner de port rapide axé sur la fiabilité et la simplicité
nuclei – Scanner ciblé basé sur des modèles.
PoshC2 – Cadre de travail C2 avec proxy, post-exploitation et mouvement latéral
proxify – Outil Proxy, couteau suisse, pour la capture, la manipulation et la relecture du trafic HTTP/HTTPS en déplacement.

Mises à jour de Kali ARM

Une liste de paquets qui n’étaient pas disponibles pour l’architecture arm64 et qui ont été ajoutés dans cette version :

Le bluetooth devrait maintenant être corrigé sur les images Raspberry, à l’exception de la Zero 2 W, pour laquelle ils sont toujours à la recherche d’un correctif et publieront une image mise à jour lorsqu’elle sera prête. Il y a eu un changement avec le chargeur de démarrage qui a changé le nom du périphérique série utilisé.

Les noms des fichiers d’image ont été modifiés pour être un peu plus explicites dans leur dénomination, au lieu d’utiliser des raccourcis ou des surnoms de périphériques.

Les scripts de construction ont maintenant une page de documentation qui les explique un peu plus en profondeur.

Le périphérique Raspberry Zero 2 W dispose également d’une documentation.

Télécharger Kali Linux 2022.1

Alors, si votre curiosité a été piquée et que vous voulez la télécharger, c’est par ici que ça se passe.

L’équipe de Kali Linux publie également des versions hebdomadaires que vous pouvez utiliser. Si vous ne pouvez pas attendre la prochaine version et que vous voulez les derniers paquets (ou corrections de bugs) lorsque vous téléchargez l’image, vous pouvez simplement utiliser l’image hebdomadaire à la place. De cette façon, vous aurez moins de mises à jour à faire. Sachez simplement qu’il s’agit de constructions automatisées qui ne font pas l’objet d’un contrôle qualité comme c’est le cas pour les images de version standard.

Plus d’information:
https://www.kali.org/blog/kali-linux-2021-4-release/