Actualité cyberattaque, cyberwar, cyberterrorisme

Discussions et revue de presse sur des thèmes ne relevant ni de la politique ni de l'économie et des finances: technologies, emploi, écologie, transport, sport...
Message
Auteur
Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#201 Message par slash33 » 15 févr. 2021, 23:44

Parlons un peu des (vrais) hackers organisés de l'ombre.

En France, une cyberattaque qui fait penser à celles des hackers russes
AFP, le 15/02/2021
https://www.boursorama.com/actualite-ec ... 5a4cd96d12
L'Anssi, le gardien de la sécurité informatique française, a révélé lundi soir ces intrusions dans une note d'information technique à l'intention des responsables de la sécurité informatique.

"Les premières compromissions identifiées par l'Anssi datent de fin 2017 et se sont poursuivies jusqu'en 2020", a indiqué l'Anssi dans sa note.
La durée de l'attaque avant d'être découverte laisse en tout cas entrevoir des attaquants "extrêmement discrets, plutôt connus pour être dans des logiques de vol de données et de renseignements", a-t-il ajouté.
Selon l'Anssi, la campagne a "principalement touché des prestataires de services informatiques, notamment d'hébergement web".

Mais elle pourrait aussi avoir touché de grands groupes et institutions.

"Il est possible que des clients de ces prestataires aient été touchés par rebond", a souligné Loïc Guezo, le secrétaire général du Clusif, une association de spécialistes français de la cybersécurité.
Modifié en dernier par slash33 le 16 févr. 2021, 08:30, modifié 1 fois.

Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#202 Message par slash33 » 16 févr. 2021, 08:09

Comme toujours rien ne vaut la source. Donc la voici.

Campagne d’attaque du mode opératoire Sandworm ciblant des serveurs Centreon
https://www.cert.ssi.gouv.fr/uploads/CE ... TI-004.pdf
L’ANSSI a été informée d’une campagne de compromission touchant plusieurs entités françaises. Cette campagne ciblait le logiciel de supervision Centreon, édité par la société du même nom.Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se sont poursuivies jusqu’en 2020.

Cette campagne a principalement touché des prestataires de services informatiques, notamment d’hébergement web.

L’ANSSI a constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plu-sieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S.dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par l’éditeur ESET[1].

Cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm.

Ce rapport présente les informations techniques liées à cette campagne d’attaque : équipement ciblé (section 1),analyse détaillée des codes malveillants (section 2), infrastructure (section 3), techniques, tactiques et procédures(section 4) et liens avec le mode opératoire Sandworm (section 5). Des recommandations (section 6) et des méthodes de détection (section 7) sont enfin proposées afin de permettre une meilleure protection contre ce type d’attaque ainsi que la recherche d’une éventuelle compromission.
Centreon est un outil développé par la société CENTREON. Il permet la supervision d’applications, de réseaux et de systèmes. Il en existe une version disponible en source ouverte sous licence GPL 2.0. L’image distribuée par l’éditeur est basée sur le système d’exploitation CENTOS, bien que cet outil soit utilisable sur d’autres systèmes d’exploitation LINUX.

L’architecture logicielle simplifiée d’un serveur Centreon est décomposée entre le cœur de supervision, nommé Centreon Engine, et l’interface graphique, nommée Centreon Web UI[2]. Cette interface est par défaut servie par un serveur APACHE sur l’URLhttp://<IP>/centreon.

Les serveurs compromis identifiés par l’ANSSI étaient sous le système d’exploitation CENTOS. Les installations de l’outil Centreon n’avaient pas été tenues à jour. Ainsi, sur les systèmes compromis étudiés, la version de Centreon la plus récente identifiée est la 2.5.2.

Le chemin de compromission initiale exploité par l’attaquant n’est pas connu.
C'est une architecture extrêmement répandue dans l'industrie. La dernière phrase signifie que l'ANSSI n'a pu que constater les dégâts et n'a pu ni identifier la provenance de l'attaquant ou comment il est entrée ni quelles sont les données dérobées et l'usage qui a pu en être fait.

Avatar du membre
Pi-r2
Modérateur
Modérateur
Messages : 34578
Enregistré le : 08 juil. 2005, 19:31

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#203 Message par Pi-r2 » 16 févr. 2021, 17:09

deuxième attaque d'un hôpital en France:
https://www.francetvinfo.fr/internet/se ... 98319.html

ils ne reculent devant rien. Des hôpitaux. ça mérite une bonne balle dans la nuque.
Les bonnes idées triomphent toujours. D'ailleurs c'est à cela qu'on reconnait qu'elles étaient bonnes.
mon statut de modérateur ne m'interdit pas de participer aux discussions. Je ne modère pas les discussions auxquelles je participe.

sanglier78
Messages : 842
Enregistré le : 28 avr. 2020, 19:43

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#204 Message par sanglier78 » 16 févr. 2021, 18:20

Les serveurs compromis identifiés par l’ANSSI étaient sous le système d’exploitation CENTOS. Les installations de l’outil Centreon n’avaient pas été tenues à jour. Ainsi, sur les systèmes compromis étudiés, la version de Centreon la plus récente identifiée est la 2.5.2.
Si c'est comme dans ma boite, les premiers responsables des non mise à jour, c'est la sécurité elle même, entre les proxy à la noix (on a un panel représentatif des 20 dernières années), les mises à jour windows gérées en interne, donc toujours en retard de 6 mois, les packs nécessaires aux outils de travail (framework 3.5 per exemple) non disponible, nécessitant de les récupérer sur le web (vous pouvez faire la demande, mais vous serez en retraite quand elle sera acceptée), je ne parle même pas du désastre des pare feu, conduisant notre ami le tunnel ssh à tout va. Et le pompom, avoir un certificat officiel pour du https ... une autorisation de VPN pour un client ...
J'essaye de mettre à jour régulièrement les OS, qui sont configurés à minima, mais tout les 3 mois, c'est la galère de découvrir que le proxy toto n'autorise plus le ftp vers "centos", dieu seul sait pourquoi, et donc quand on a pas le temps, et bien on abandonne les mises à jours

Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#205 Message par slash33 » 16 févr. 2021, 20:26

rajoute sslVerify=false à la liste (démo pas plus tard qu'aujourd'hui)

Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#206 Message par slash33 » 17 févr. 2021, 12:35

Cyberattaque: Centreon réhabilité, aucun client du groupe touché
AFP, le 17/02/2021
https://www.boursorama.com/actualite-ec ... bfbff562c3
"L'Anssi précise que seule une quinzaine d'entités ont été la cible de cette campagne, et qu'elles sont toutes utilisatrices d'une version open source (libre et gratuite, NDLR) obsolète, qui n'est plus supportée depuis 5 ans", a précisé Centreon dans un communiqué.

Une version confirmée quelques heures plus tard par l'agence gouvernementale, selon laquelle "aucun élément (...) ne permet de supposer de compromission du logiciel avant sa mise en production, ni dans ses dépôts libres, ni chez l'éditeur".
La riposte a été rapide... il faut dire que les noms des clients ont été communiqués, et là forcément ça rigole moins. Les médias ne sachant pas décrypter le jargon technique, ne comprennent pas la portée de la déclaration non plus.
Modifié en dernier par slash33 le 17 févr. 2021, 12:38, modifié 2 fois.

Avatar du membre
lecriminel
~~+
~~+
Messages : 23359
Enregistré le : 01 oct. 2005, 20:34

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#207 Message par lecriminel » 17 févr. 2021, 12:37

Pi-r2 a écrit :
16 févr. 2021, 17:09
deuxième attaque d'un hôpital en France:
https://www.francetvinfo.fr/internet/se ... 98319.html

ils ne reculent devant rien. Des hôpitaux. ça mérite une bonne balle dans la nuque.
mais non,
greed is good !
Si t'as un couple qui gagne 6000 euros par mois et un apport de 100 K€, il y a moyen d'acheter un bien de 500 k€ en étant au taquet. C'est un beau trois pièces en petite couronne. Pourquoi tu trouves ça drôle ?

Avatar du membre
squamata
-+
-+
Messages : 2402
Enregistré le : 01 mars 2011, 22:09

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#208 Message par squamata » 17 févr. 2021, 13:16

slash33 a écrit :
17 févr. 2021, 12:35
La riposte a été rapide... il faut dire que les noms des clients ont été communiqués, et là forcément ça rigole moins. Les médias ne sachant pas décrypter le jargon technique, ne comprennent pas la portée de la déclaration non plus.
Centreon est assez pratique quand il est mal configuré ( droit root coté agent nrpe par exemple ) quand on n'a pas assez de droit sur les machines supervisées.
Cela permet d'exécuter n'importe quelle commande sur la cible.
Exfiltrer des fichiers est un peu plus galère mais avec un gz | b64, cela passe

Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#209 Message par slash33 » 22 févr. 2021, 08:06

Beneteau va ralentir sa production après une cyberattaque
Reuters, le 22/02/2021
https://www.boursorama.com/bourse/actua ... b86e3f6cae
Le constructeur de bateaux explique dans un communiqué avaoir détecté dans la nuit de jeudi à vendredi l'intrusion d'un logiciel malveillant sur certains de ses serveurs.

Avatar du membre
sim_v
Messages : 1315
Enregistré le : 22 oct. 2012, 13:59
Localisation : Bretagne

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#210 Message par sim_v » 22 févr. 2021, 17:25

ils ont attaqué trop tôt, d'habitude c'est le vendredi soir que cela commence...
Le lundi, plus de SI !
Électricité, arrêtez de payer plus cher : viewtopic.php?f=204&t=95281&p=2237509

hydronium92
-+
-+
Messages : 1834
Enregistré le : 16 juil. 2008, 17:51

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#211 Message par hydronium92 » 22 févr. 2021, 20:40


Avatar du membre
divorce
Messages : 410
Enregistré le : 19 oct. 2010, 17:31

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#212 Message par divorce » 22 févr. 2021, 23:29

L'AFNOR, cette <<association>> qui chapeaute la NF (norme francaise), à la manière de l'IEEE/ISO en créant des normes opposables et payantes : je vais faire mon Choron : qu'ils crèvent.

Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#213 Message par slash33 » 23 févr. 2021, 22:56

Fuite de données médicales en France avec une liste de près de 500.000 noms
AFP, le 23/02/2021
https://www.boursorama.com/actualite-ec ... 4a77e8465d
Le fichier comporte 491.840 noms associés à des coordonnées (adresse postale, téléphone, email) et un numéro de sécurité sociale. Ils sont parfois accompagnés d'indications sur le groupe sanguin, le médecin traitant ou la mutuelle, ou encore de commentaires sur l'état de santé (dont une éventuelle grossesse), des traitements médicamenteux, ou des pathologies (notamment le VIH).
Chuuuuuuper. Là on a le trio des informations personnelles les plus sensibles.
"Il y a eu 27 cyberattaques d'hôpitaux en 2020 et depuis le début de l'année 2021, c'est une attaque par semaine", relevait ainsi la semaine dernière le secrétaire d'Etat chargé du numérique, Cédric O.
"On peut retrouver ce fichier à 7 endroits différents sur internet", a indiqué de son côté à l'AFP Damien Bancal, journaliste spécialiste de la cybersécurité, qui a le premier identifié la fuite le 14 février sur son blog Zataz.
"500.000 données, c'est déjà énorme et rien n'empêche de penser que les pirates en possèdent encore beaucoup plus", a-t-il déclaré à l'AFP.

Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#214 Message par slash33 » 26 févr. 2021, 08:00

https://www.ouest-france.fr/societe/cyb ... ne-7167738
Les données proviennent d’une trentaine de laboratoires de biologie médicale, situés pour l’essentiel dans le quart nord-ouest de la France (Morbihan, Eure, Loiret, Côtes-d’Armor, et dans une moindre mesure Loir-et-Cher).
Et l'ouest remporte la timbale. Après avoir vérifié, en navigation privée, avec le site mis à disposition, je ne suis pas concerné.

moinsdewatt
~~+
~~+
Messages : 12549
Enregistré le : 14 avr. 2013, 19:41

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#215 Message par moinsdewatt » 08 mars 2021, 19:24

L'Autorité bancaire européenne victime d'une cyber-attaque
REUTERS•08/03/2021
https://www.boursorama.com/actualite-ec ... 77e84d57a0

Avatar du membre
slash33
~~+
~~+
Messages : 43521
Enregistré le : 21 mai 2005, 12:37

Re: Actualité cyberattaque, cyberwar, cyberterrorisme

#216 Message par slash33 » 08 mars 2021, 19:29

Le régulateur, qui détient des données sensibles sur les établissements bancaires de l'Union européenne et leurs niveaux d'encours de crédit, a déclaré qu'elle redoublait d'efforts pour se protéger contre une cyber-attaque mondiale exploitant des failles du logiciel de serveur de messagerie de Microsoft.
Ah la fameuse faille zéro day du serveur Exchange... :roll: