En un coup d'œil.
Le Nerbian RAT est sorti.
Proofpoint décrit, dans un rapport publié ce matin, décrit un nouveau RAT indépendant du système d'exploitation écrit dans le langage Go de plus en plus populaire. Les chercheurs l'appellent "Nerbian" et disent qu'il "exploite plusieurs composants anti-analyse répartis sur plusieurs étapes, y compris plusieurs bibliothèques open source".
Dépendances NPM exploitées, mais à quelle fin ?
Hier, Reversing Labs a blogué sur une confusion de dépendance NPM qui a été exploitée récemment dans des attaques contre de grandes entreprises allemandes. "Les nouveaux packages npm découverts la semaine dernière par ReversingLabs semblent cibler un important conglomérat médiatique allemand ainsi qu'un opérateur ferroviaire et logistique majeur. Les packages sont similaires à ceux découverts par les chercheurs de la société Snyk et divulgués fin avril." On ne sait pas qui était derrière les attaques, quels étaient leurs objectifs, ou même leur succès, mais il semble clair que les attaques du NMP sont plus répandues qu'on ne le croyait jusqu'à présent. jFrog, qui a également suivi les incidents, voit une ambiguïté similaire et pense que les attaques pourraient être l'œuvre d'un acteur sophistiqué ou d'un testeur d'intrusion inhabituellement agressif.
Avis de CISA et de ses partenaires.
L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié hier six avis de sécurité du système de contrôle industriel (ICS). Les avis incluent Adminer dans les produits industriels, Eaton Intelligent Power Protector, Eaton Intelligent Power Manager Infrastructure, Eaton Intelligent Power Manager, AVEVA InTouch Access Anywhere et Plant SCADA Access Anywhere, et Mitsubishi Electric MELSOFT GT OPC UA.
CISA a également ajouté deux vulnérabilités à son catalogue de vulnérabilités exploitées connues : la vulnérabilité d'usurpation LSA de Microsoft Windows (qui "contient une vulnérabilité d'usurpation dans laquelle un attaquant peut contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant à l'aide de NTLM") et l'authentification manquante BIG-IP de F5. Vulnérabilité (qui "contient une authentification manquante dans une vulnérabilité de fonction critique qui peut permettre l'exécution de code à distance, la création ou la suppression de fichiers, ou la désactivation de services"). Les agences civiles fédérales américaines ont jusqu'au 1er juin pour s'occuper de la première, jusqu'au 31 mai pour s'occuper de la seconde. Le SANS Institute a publié une étude plus détaillée du problème BIG-IP, que F5 a abordé dans une mise à jour la semaine dernière.
Et, préoccupés par une menace croissante pour les fournisseurs de services gérés (MSP), les Five Eyes ont publié une alerte conjointe avec des conseils aux MSP et à leurs clients sur la prévention et la réponse aux cyberattaques organisées contre et via les MSP.
The following section pertains directly to the cyber phases of Russia's hybrid war against Ukraine. CyberWire's continuing coverage of the unfolding crisis in Ukraine may be found here.
Plus d'attribution de la cyberattaque Viasat à la Russie.
On a vu hier que l'Union européenne avait formellement attribué à la Russie la cyberattaque contre le réseau KA-SAT de Viasat, qui a eu lieu une heure avant le début des opérations de combat contre l'Ukraine. D'autres gouvernements alliés ont rapidement confirmé cette attribution.
Le département d'État américain a déclaré, après avoir attiré l'attention sur l'utilisation par la Russie de logiciels malveillants d'essuie-glace dans sa cyberpréparation : "Aujourd'hui, en soutien à l'Union européenne et à d'autres partenaires, les États-Unis partagent publiquement leur évaluation selon laquelle la Russie a lancé des cyberattaques fin février. contre les réseaux commerciaux de communication par satellite pour perturber le commandement et le contrôle ukrainiens pendant l'invasion, et ces actions ont eu des répercussions sur d'autres pays européens. L'activité a désactivé des terminaux à très petite ouverture en Ukraine et dans toute l'Europe. Cela comprend des dizaines de milliers de terminaux en dehors de l'Ukraine qui , entre autres, soutiennent les éoliennes et fournissent des services Internet aux particuliers."
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a mis à jour son alerte du 17 mars (AA22-076A) "Renforcement de la cybersécurité des fournisseurs et des clients du réseau SATCOM", pour expliquer que la menace contre les réseaux SATCOM dont elle avait mis en garde était bien une menace russe.
L'attribution proposée par le NCSC britannique est plus précise : il désigne « le renseignement militaire russe, le GRU, comme l'organisation responsable des cyberattaques. ces attaques. » Le gouvernement britannique considère également, comme l'explique le Telegraph, les cyberattaques contre le secteur éolien allemand comme un avantage secondaire du feu de préparation dirigé contre l'Internet ukrainien. Le ministre britannique des Affaires étrangères et le secrétaire d'État américain ont tous deux souligné cette aspect de la cyberattaque russe.
Le Canada, dans une déclaration conjointe des ministres des Affaires étrangères, de la Défense nationale et de la Sécurité publique, a condamné l'attaque russe. « Le Canada estime que l'armée russe est à l'origine de cet incident. L'invasion illégale de l'Ukraine par la Russie, ses cyberactivités malveillantes et ses campagnes de désinformation flagrantes sont inacceptables et doivent cesser. » Les ministres ont ajouté une brève leçon d'histoire pour replacer l'attaque dans le contexte de ce que le Département d'État américain a appelé « le livre de jeu russe » : "Cet incident le plus récent souligne un modèle de cyberactivité perturbatrice qui démontre un mépris répété de l'ordre international fondé sur des règles. Cette activité démontre également la volonté de la Russie d'utiliser ses cybercapacités de manière irresponsable."
Les ministres australiens des affaires étrangères, de la défense et de l'intérieur se sont concentrés sur l'utilisation par la Russie des cyberattaques pour préparer l'espace de combat : « Aujourd'hui, nous nous joignons aux États-Unis et à l'UE pour attribuer au gouvernement russe l'activité suivante... Ces activités inacceptables sont d'autres exemples de L'approche aveugle de Moscou vis-à-vis des cyber-opérations et le mépris flagrant des effets de ces opérations sur le public, y compris par le biais du secteur commercial." Et la déclaration ajoute un rappel pointu à Moscou : "L'Australie s'est engagée à imposer des coûts aux acteurs malveillants basés ou parrainés par l'État qui cherchent à saper un cyberespace ouvert, libre, sûr et sécurisé".
Que de nouvelles attaques doivent être considérées comme au moins possibles, peut-être probables, est une conclusion à tirer de la couverture par le MIT Technology Review de la cyberattaque sur les terminaux Viasat. Les Russes ont utilisé l'essuie-glace AcidRain contre les systèmes, et AcidRain frappe par son adaptabilité à usage général. Technology Review cite le chercheur de SentinelOne, Andres Guerrero-Saade, qui déclare : « Ce qui est extrêmement préoccupant à propos d'AcidRaid, c'est qu'ils ont supprimé tous les contrôles de sécurité. Avec les essuie-glaces précédents, les Russes prenaient soin de ne s'exécuter que sur des appareils spécifiques. Maintenant, ces contrôles de sécurité ont disparu et ils forcent brutalement. Ils ont une capacité qu'ils peuvent réutiliser. La question est, quelle attaque de la chaîne d'approvisionnement verrons-nous ensuite ? »