TLP WHITE

01 MARS 201906 12 JUILLET 2019

En 2018, British Airways a été victime d’un vol de données affectant 500.000 de ses clients qui ont vu leurs nom, prénom, adresse mais aussi et surtout leurs données bancaires prendre leur envol vers les cieux sombres de l’Internet cybercriminel. L’at-taque se serait déroulée entre le 21 août et le 5 sep-tembre 2018. Elle a touché le système de réservation en ligne depuis le site Internet de la compagnie et depuis son application mobile. L’insertion de code Javascript malveillant sur une page du site Web de la compagnie a rendu possible l’exfiltration des don-nées volées. Ce qui ressemble comme deux gouttes de thé Earl Grey au mode opératoire Magecart qui fait office d’usual suspect.

Magecart est un nom générique qui désigne 7 ou 12 groupes cybercriminels, selon les sources, spé-cialisés dans le déploiement de codes malveillants sur des sites de commerce en ligne dans le but de voler des données bancaires. Il constitue une des principales menaces auxquelles s’expose le secteur du e-commerce. Chacun des groupes Magecart agit de manière indépendante - parfois même concur-rente - et selon des modes opératoires qui peuvent diverger. De même, tous ne ciblent pas les mêmes victimes.

Selon la société RiskIQ, c’est l’équipe n°6 qui aurait compromis British Airways. Cette équipe a pour ha-bitude de choisir ses victimes parmi des entreprises

For God’s sake ! La compagnie aérienne British Airways a été victime d’une cyberattaque qui pour-rait lui coûter 204 millions d’euros. Encore une entreprise victime d’un rançongiciel ? Non ! Encore un cas de fraude au président ? Non plus !

Le THREAT INTELLIGENCE WEEKLY REPORT

est publié publiquement et gratuitement chaque

semaine pour faciliter la compréhension des cy-

bermenaces dans ses dimensions tant techniques

que géopolitiques. Abonnez-vous pour le recevoir

automatiquement par e-mail.

SEKOIA THREAT INTELLIGENCE WEEKLY REPORT

TLP WHITE

Vous retrouverez en dernière page des détails sur nos offres

de Cyber Threat Intelligence. Ces publications sont réservées à

nos clients, adaptées à leur secteur d’activité et à leurs besoins

spécifiques. Pour plus d’informations : threatintel@sekoia.fr

BRITISH AIRWAYS : WE’LL TAKE MORE CARE OF YOUR DATA

1

TLP WHITE

01 MARS 2019SEKOIA THREAT INTELLIGENCE WEEKLY REPORT06TLP WHITE

12 JUILLET 2019

BRITISH AIRWAYS : WE’LL TAKE MORE CARE OF YOUR DATA

Sources et références

https://nakedsecurity.sophos.com/2019/07/11/gdpr-superpowers-lead-to-whopper-ico-fines-for-ba-marriott/https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdfhttps://www.cyberscoop.com/magecart-group-12-adverline-riskiq-trend-micro/https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/https://www.riskiq.com/blog/labs/magecart-british-airways-breach/

de premier choix et de privilégier le volume de données volées plutôt que la durée (contrairement aux macarons). Les données bancaires volées aux clients de British Airways ont ainsi été mises en vente sur des forums cybercriminels, la dernière annonce postée datant du 13 septembre 2018.

Le groupe 6 aurait modifié la librairie Javascript Mo-dernizr pour y ajouter les 22 lignes activant le vol de données. Le script malveillant interagissait avec une API hébergée sur un serveur Web associé à une adresse IP localisée en Roumanie. Le domaine baways[.]com avait préalablement été déposé par les fraudeurs pour ne pas trop attirer les regards.

Ce n’est cependant pas Magecart/Group 6 qui est responsable de la perte potentielle de 204 millions d’euros supportée par la compagnie mais un acteur d’un tout autre genre : l ’ICO. Cet acronyme est celui de la UK Information Commissioner’s Office. L’ICO est un organisme public de réglementation indépendant qui dépend du Parlement britannique. Il est chargé de l’application du Data Protection Act et de la Ge-neral Data Protection Regulation au Royaume-Uni. En résumé : c’est au titre de la RGPD que l’ICO envi-

sage d’infliger une amende de 204 millions d’euros à British Airways. La sanction est lourde mais dura RGPD, sed RGPD.

Dans un communiqué, l’ICO justifie le montant de l ’amende par la faiblesse de la sécurité du site In-ternet de British Airways. L’ICO reconnaît aussi que la compagnie a coopéré durant l’enquête et qu’elle a d’ores et déjà renforcé ses mesures de sécurité. Le montant final de la sanction infligée à British Airways sera fixé au regard des améliorations apportées par BA. De quoi remettre au goût du jour le slogan utili-sée par la compagnie pour ses campagnes publici-taires durant les années 1980 : “We’ll Take More Care of You”. La seule sanction dont a souffert la compa-gnie pour le moment est la baisse du titre d’IAG, pro-priétaire de British Airways.

Une autre société est “menacée” par l’ICO : le groupe hôtelier Marriott, victime d’accès non autorisés à sa base de réservation depuis… 2014 ! Le montant de l’amende pourrait avoisiner les 110 millions d’euros. Le précédent record détenu par Facebook à la suite du scandale Cambridge Analytica - 572.000 eu-ros - serait ainsi pulvérisé. Mais cette sanction avait été infligée avant l’entrée en vigueur du RGPD et le Brexit tardant à venir, Marriott espère peut-être qu’il sera sauvé par le gong (save the Queen). L’ICO in-dique cependant que la sortie du Royaume-Uni de l’Union européenne ne modifiera pas le niveau des exigences en matière de protection des données personnelles et sa volonté de la faire respecter.

2

TLP WHITE

SEKOIA THREAT INTELLIGENCE WEEKLY REPORT06 12 JUILLET 2019

Même après avoir été exposé pu-bliquement début 2019, le groupe derrière la campagne de détour-nement DNS Sea Turtle continue de mener à bien des attaques. D’après Cisco Talos, de nouvelles techniques ainsi que de nouvelles victimes associées à ce groupe au-raient pu être découvertes.

En avril, les attaquants derrière Sea Turtle ont compromis des fournis-seurs de services Internet et DNS afin de rediriger les visiteurs d’un site Web vers un serveur malveil-lant de type man-in-the-middle, capturant leurs données. Les cibles seraient essentiellement des institu-

tions gouvernementales du Moyen-Orient et de l’Afrique du Nord, des unités militaires et des organisations énergétiques.

De nouvelles déclarations de Talos ont révélé que le même groupe a accédé entre le 19 et 24 avril, au ré-seau de l’Institut d’informatique de la Fondation pour la recherche et la technologie - Hellas (ICS-Forth), l’or-ganisation qui supervise le domaine de premier niveau national (ccTLD) de la Grèce.

Par ailleurs, le C2 utilisé pour intera-gir avec le réseau ICS-Forth aurait également été utilisé pour accéder

[TALOS] LE GROUPE «SEA TURTLE» CONTINUE DE MENER DES ATTAQUES VIA DES

DÉTOURNEMENTS DE DNS

SOURCES ET RÉFÉRENCES :https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming.html

MOTS CLEFS : DNS / DÉTOURNEMENT / ESPIONNAGE

à une organisation localisée en Sy-rie. Depuis le précédent rapport de Talos, il semblerait que Sea Turtle ait ciblé davantage d’organisations gouvernementales et de sociétés énergétiques, ainsi que des think tanks, des organisations non gou-vernementales internationales et au moins un aéroport.

Une nouvelle technique de détour-nement DNS a pu être identifiée, même si l’organisation de sécurité l’évalue avec un niveau de confiance modéré. Cette nouvelle technique a été utilisée avec parcimonie et n’a permis jusqu’à présent d’identifier que deux entités ciblées en 2018.

L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

En février 2019 les garde-côtes américains sont intervenus pour secourir un navire marchand qui faisait route vers le port de New York, et dont le réseau informatique interne était signi-ficativement dégradé par une infection par malware.

Heureusement, les systèmes essentiels au contrôle du navire n’étaient pas affectés. Ni le type de malware ni la fonction du malware ne sont précisé, il ne s’agit donc probablement pas d’un malware conçu spécifique-ment pour attaquer les navires.

[US DHS] UNE INFECTION PAR MALWARE PERTURBE UN NAVIRE MARCHAND

Néanmoins, le communiqué indique que le niveau de cybersé-curité du navire laissait à désirer et enjoint les acteurs maritimes à mieux assurer la sécurité des systèmes informatiques à bord de leurs navires.

SOURCES ET RÉFÉRENCES :https://www.dco.uscg.mil/Portals/9/DCO%20Documents/5p/CG-5PC/INV/Alerts/0619.pdf

MOTS CLEFS : CYBERSÉCURITÉ / MARITIME

3

TLP WHITE

SEKOIA THREAT INTELLIGENCE WEEKLY REPORT06 12 JUILLET 2019

La Russie n’est pas le seul pays à s’engager dans des opéra-tions d’influence sur les réseaux sociaux, la Chine utilise cette pratique également.

Aux Etats-Unis, une propagande douce vantant les meilleurs côtés de la Chine a été décrite par les chercheurs de Recorded Future. Mais à Taiwan, la Chine utilise-

rait plutôt la recette russe. Le journaliste Paul Huang soutient en effet que le gouvernement Chinois serait derrière une cam-pagne de désinformation ciblant le Parti Démocrate-Progressiste (DPP) actuellement au pouvoir pour favoriser les candidats pro-chinois du Kuomintang (KMT), plus favorables à un rappro-chement avecla Chine. De faux

[FOREIGNPOLICY] LES OPÉRATIONS D’INFLUENCE DANS L’ESPACE CYBER MISES EN

OEUVRE PAR LA CHINE LORS DES ÉLECTIONS TAÏWANAISES

groupes Facebook (utilisé par plus de 80% des taïwanais) et de faux profils propagent des «fake news» sur les divers réseaux so-ciaux taïwanais et amplifient des messages de haine. Les opinions divergent cependant concernant les entités étatiques chinoises responsables de ces campagnes.

SOURCES ET RÉFÉRENCES :https://foreignpolicy.com/2019/06/26/chinese-cyber-operatives-boosted-taiwans-insurgent-candidate/https://www.recordedfuture.com/china-social-media-operations/

MOTS CLEFS : ÉLECTIONS / FAKE NEWS / TAÏWAN / CHINE

L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

[MEDIUM] UNE VULNÉRABILITÉ IMPACTE LE CLIENT MAC DU SERVICE ZOOM

SOURCES ET RÉFÉRENCES :https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5https://blog.zoom.us/wordpress/2019/07/10/security-update-and-our-ongoing-efforts/

MOTS CLEFS : VULNÉRABILITÉ / MAC / VISIOCONFÉRENCE

Une vulnérabilité impactant le client Mac du service de vi-déoconférence Zoom à été dévoilée par le chercheur Jona-than Leitschuh.

Par cette vulnérabilité, en visitant une page web contenant une iFrame malveillante, un utilisateur se voit automatiquement invité dans une conférence Zoom avec

activation de sa caméra par dé-faut. Le chercheur a, de plus, mis en garde contre de mauvaises pratiques de sécurité présentes.

En effet, lors de l’installation du client, un serveur web est installé et persiste après dé-sinstallation du client. Selon Jonathan Leitschuh, la solution web Ringcentral - utilisant le

système Zoom - serait elle aussi impactée par cette vulnérabilité.

La société Zoom prévoit une mise à jour le 13 juillet empêchant l’ac-tivation de la caméra par défaut.

Mercredi 10 juillet, Apple a dé-ployé une mise à jour supprimant le server web local de toutes les machines Mac.

4

TLP WHITE

SEKOIA THREAT INTELLIGENCE WEEKLY REPORT06 12 JUILLET 2019

L’ACTUALITÉ CYBER DE LA SEMAINE SÉLECTIONNÉE PAR SEKOIA

A la suite d’une attaque de type Business Email Compromise (BEC), la ville de Griffin, dans l’Etat amé-ricain de Géorgie, a essuyé une perte de plus de $800 000.

Cette forme d’extorsion permet d’in-citer des entreprises à transférer volontairement de l’argent ou des données sensibles. Dupé par un mail de phishing, le département des Fi-

nances de la ville pensait s’acquitter d’une facture en virant des fonds vers les comptes d’une entité de confiance. En réalité, l’argent a atterri dans des comptes détenus par les attaquants.

La première transaction d’un mon-tant de $581 190.51 s’est déroulée le 21 juin dernier, et la seconde a eu lieu 5 jours plus tard, pour un mon-

[BLEEPINGCOMPUTER] UNE VILLE AMERICAINE ESCROQUÉE DE 800 000 DOLLARS

SOURCES ET RÉFÉRENCES :https://www.bleepingcomputer.com/news/security/over-800-000-stolen-by-scammers-in-atlanta-area-city-bec-fraud/

MOTS CLEFS : BEC / FRAUDE

tant de $221 318.78.

Le département des Finances s’est uniquement rendu compte de la su-percherie lorsque l’entité légitime lui a signalé ne toujours pas avoir reçu les fonds.

La ville de Griffin a depuis déclaré qu’elle était en bonne voie pour ré-cupérer l’intégralité de la somme.

NOS DERNIERS BILLETS MEDIUM

Augmented SOC — How to rethink your security center?

Facing the constant changing tactics of attackers and the endless growing number of log data, the SOC need to evolve to better anticipate the threats.

—> Le billet complet

The Pyramid of Pain ou l’échelle de la cyber-dou-leur

En 2013, David Bianco publiait sur le concept de « Py-ramid of Pain » (PoP) que l’on peut traduire en français en « échelle de la cyber-douleur ». Cette échelle définit le degré et le niveau de dommages qu’il est possible d’infliger à un adversaire en fonction de ses capacités détruites, neutralisées ou dégradées par les actions des équipes de cyberdéfense de ses cibles.

—> Le billet complet

Threat Intelligence data storage: make it easy with ArangoDB!

At SEKOIA we heavily use STIX (Structured Threat Information eXpression) to manipulate Threat Intelli-gence information. As soon as a piece of information enters our system it is converted to the STIX format. Using a common standard presents some advantages but raises a few issues. In this blog post we are going to study how ArangoDB helps us store STIX data in an easy and efficient manner.

—> Le billet complet

| medium.com/cyberthreatintel | medium.com/sekoia-io-blog |

5

TLP WHITE

SEKOIA THREAT INTELLIGENCE WEEKLY REPORT06 12 JUILLET 2019

sekoia.fr | formation.sekoia.fr | jobs.sekoia.fr medium.com/cyberthreatintel | medium.com/sekoia-io-blog

SEKOIA — PARIS18-20,

Place de la Madeleine, 75008 Paris

SEKOIA — RENNES1137A

Avenue des Champs Blancs35510 CESSON-SÉVIGNÉ

—Tél. +33 1 44 43 54 13

—

POUR SIGNALER UN INCIDENTSi vous êtes victime d’une attaque, si vous avez un doute ou si vous désirez revenir et investiguer sur un incident de sécurité, prenez contact avec le CERT SEKOIA.

cert@sekoia.fr+33 (0) 805 692 142

SEKOIA accompagne les premières sociétés du CAC40 dans la mise en place de leurs CERTs internes.

Depuis 2013 SEKOIA active son CERT inter-entreprises et offre ses services à des OIV et autres acteurs du CAC40 et du SBF120.

LA THREAT INTELLIGENCE,PIERRE ANGULAIRE DE LALUTTE INFORMATIQUE DEFENSIVE

SEKOIA dispose d’une offre complète en matière de Cyber Threat Intelligence :

• conseil & accompagnement, • formation,• veille et rapport sur les cybermenaces :

SEKOIA THREAT INTELLIGENCE BRIEFING REPORT

SEKOIA THREAT INTELLIGENCE FLASH REPORT

SEKOIA THREAT INTELLIGENCE SPECIAL REPORT

• flux d’IoCs :

SEKOIA THREAT INTELLIGENCE FEED

A PROPOS DE SEKOIA Pure player et acteur français majeur de la cybersécuri-té, SEKOIA accompagne au quotidien grands comptes, institutions et entreprises innovantes pour les conseiller sur leur stratégie, les préparer et leur offrir support et assistance dans l’exercice de leurs métiers comme dans les phases les plus critiques d’exposition aux menaces. Découvrez une structure, un modèle et une stratégie innovante dans le secteur de la cybersécurité.

VÉLOCE, SCALABLE, INTÉROPÉRABLE ET COLLABORA-

TIVE, SEKOIA.IO PERMET D’ADAPTER SA POSTURE DE

DÉFENSE AUX NOUVEAUX ENJEUX DE LA CYBERDÉ-

FENSE.

SEKOIA.IO, une solution SaaS pour la détection et la

réponse aux incidents de sécurité à un nouveau rythme.

SEKOIA.IO exploite une CTI exclusive, des technologies

innovantes d’orchestration et d’automatisation et repose

sur une infrastructure scalable pour répondre au désé-

quilibre croissant existant entre les équipes de défense

et les attaquants.

INTELLIGENCE-DRIVEN CYBERSECURITY

6