EternalRocks encore plus inquiétant que WannaCry

Après l’attaque du ransomware WannaCry, les chercheurs ont identifié le ver de réseau EternalRocks. Celui-ci utilise jusqu’à 7 outils de hacking ayant été volés à la NSA puis exposés par le groupe Shadow Brokers.

Selon Malwarebytes, WannaCry a recherché les ports SMB vulnérables avant d’utiliser EternalBlue pour rentrer sur le réseau et le backdoor DoublePulsar pour installer le ransomware. EternalRocks utilise aussi ces deux outils. (crédit : D.R.)

Une semaine après l’attaque perpétrée par le ransomware WannaCry au niveau mondial, un autre logiciel d’exploitation de failles fait parler de lui. Selon des chercheurs en sécurité, il y a au moins une personne qui utilise 7 des outils d’attaque volés à la NSA dans un ver de réseau dénommé EternalRocks par ceux qui l’ont identifié. Les chercheurs ont constaté que ce ver ciblait la même vulnérabilité du protocole SMB de Windows, en s’avérant plus menaçant et plus difficile à contrer. Comme WannaCry, EternalRocks utilise EternalBlue, l’un des outils de la NSA. Malwarebytes pense que WannaCry n’a pas été diffusé par une campagne de spams malveillant mais par une opération de scanning qui a d’abord recherché les ports SMB accessibles publiquement et vulnérables avant d’utiliser EternalBlue pour rentrer sur le réseau et d’utiliser la porte dérobée DoublePulsar pour installer le ransomware.

EternalBlue fait partie des outils de hacking de la NSA exposés en avril par le groupe Shadow Brokers. Presque immédiatement, des attaquants ont commencé à repackager EternalBlue. Le spécialiste en sécurité Secdo a de son côté signalé que trois semaines avant l’attaque de WannaCry, au moins trois acteurs différents se servaient d’EternalBlue pour infecter des réseaux, y installer des backdoors et extraire des identifiants d’utilisateurs à travers le monde, Etats-Unis inclus. L’attaque n’a laissé aucune trace. En s’infiltrant dans des applications légitimes et en se faisant passer pour elles, l’attaque peut échapper aux solutions anti-virus avancées. Selon Secdo, ces intrusions pourraient présenter un risque supérieur à celui de WannaCry parce que de nombreux terminaux pourraient demeurer compromis même après avoir installé les derniers correctifs de sécurité.

EternalRocks recourt à 7 outils d’attaque de la NSA

La firme pense que l’un des attaquants a volé des identifiants en utilisant une adresse IP russe, tandis qu’un autre semble avoir utilisé EternalBlue dans des attaques opportunistes pour créer un botnet chinois. « Même si les entreprises ont pu bloquer WannaCry et patcher la faille SMB de Windows, il est possible qu’une porte dérobée soit toujours là et les identifiants compromis peuvent être utilisés pour retrouver un accès ». De son côté, le fournisseur Proofpoint a remarqué une attaque utilisant EternalBlue et DoublePulsar pour installer un botnet d’extraction de cryptomonnaie. Cette attaque, qui a également démarré avant WannaCry, pourrait être plus étendue et pourrait même avoir limité la diffusion de WannaCry parce qu’elle a « fermé le réseau SMB pour empêcher d’autres infections avec d’autres malwares à travers la même vulnérabilité », explique Proofpoint. A chaque fois que la firme de sécurité a exposé un environnement vulnérable aux attaques d’EternalBlue, celui-ci était ajouté au botnet d’extraction de cryptomonnaie en une vingtaine de minutes.

L’information qui s’avère peut-être la plus préoccupante à propos de ces attaques vient du chercheur Miroslav Stampar. C’est la plus inquiétante parce le ver de réseau EternalRocks ne recourt pas seulement à EternalBlue et à DoublePulsar comme WannaCry. Il utilise jusqu’à 7 outils différents de la NSA : EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch and SMBtouch.

 

Sécurité

Affaire russe : l'ex-conseiller de Trump invoque le droit au silence

L’ancien conseiller à la sécurité nationale de Donald Trump, Michael Flynn, personnage central dans l’affaire de l’ingérence présumée de la Russie dans la présidentielle, a invoqué son droit au silence pour refuser une injonction du Congrès, selon une source proche du général.

Il refuse ainsi de remettre les documents sur ses liens avec la Russie réclamés par le Congrès, afin de ne pas risquer de s’incriminer, comme le lui permet la Constitution américaine, a précisé cette source ayant souhaité conserver l’anonymat.

« Il va exercer ses droits garantis par le 5e amendement », a-t-elle souligné.

La commission du Renseignement du Sénat sera informée par courrier ce lundi, a ajouté cette source.

La commission – tout comme celle de la Chambre des représentants – enquête depuis de longs mois sur l’ingérence présumée de la Russie dans l’élection présidentielle et sur la possible collusion entre des membres de l’entourage de Donald Trump et Moscou.

Ce dernier volet fait également l’objet d’une enquête du FBI.

Les enquêteurs veulent en savoir plus sur un voyage payé de l’ancien chef des services de renseignement militaires à Moscou en 2015, qui lui a valu de dîner aux côtés du président russe Vladimir Poutine.

Ils souhaitent également des détails sur les multiples conversations de Michael Flynn avec l’ambassadeur de Russie à Washington avant l’investiture de Donald Trump.

Les révélations sur le contenu de ces conversations – sur lesquelles M. Flynn a menti – lui ont coûté son poste, même si le président américain a hésité plus de deux semaines avant de limoger son collaborateur.

Depuis lors, de nouvelles informations de presse ont également mis en doute le comportement de l’ancien conseiller à la sécurité nationale dans la lutte contre le groupe Etat islamique. Selon le groupe de presse McClatchy, M.Flynn aurait bloqué une opération militaire qui déplaisait à la Turquie, alors qu’il était – secrètement – payé par un homme d’affaires turc proche du président Erdogan.

Turquie: ouverture du procès des instigateurs présumés du coup d'Etat

Le procès de plus de 200 instigateurs présumés du putsch manqué du 15 juillet dernier s’est ouvert lundi sous haute sécurité dans une prison près d’Ankara, aux abords de laquelle des dizaines de manifestants ont réclamé la peine de mort pour les accusés.

Parmi les 221 personnes jugées au cours de ce procès, la plupart sont des militaires –dont 26 généraux– et 12 des civils. Deux cents personnes sont actuellement en détention provisoire, 9 comparaissent libres et 12 sont en fuite, a précisé l’agence progouvernementale Anadolu.

Ces personnes sont notamment jugées pour « violation de la constitution », « assassinat de 250 personnes » et « appartenance et direction d’une organisation terroriste » et risquent de multiples condamnations à vie.

Le procès se tient dans la prison de Sincan, près d’Ankara, où une immense salle d’audience a été construite spécialement pour accueillir les procès géants liés au putsch manqué.

Dans la salle, les accusés étaient encadrés par de nombreux gendarmes et militaires. Ils ont, au cours de la matinée, décliné leur identité à tour de rôle.

Dans l’après-midi, l’ancien chef de l’armée de l’air, Akin Öztürk, l’un des accusés les plus en vue du procès, a été le premier à s’exprimer, niant tous les faits qui lui sont reprochés.

« Les commandants qui m’ont formé et mes compagnons d’armes le savent bien, je n’ai pas participé à ce coup d’Etat traître et je n’avais même aucune information à ce propos », a-t-il affirmé depuis la barre des accusés.

Expliquant avoir consacré sa vie à l’armée, il a ajouté que « ces accusations de trahison sont pour moi la plus grande des punitions ».

Parmi les autres accusés de premier plan figurent l’ancien général Mehmet Disli, frère d’un député de l’AKP, le parti au pouvoir, ainsi que le colonel Ali Yazici, ancien aide-de-camp militaire du président Recep Tayyip Erdogan.

L’interrogatoire des accusés s’est poursuivi jusqu’en clôture de séance en début de soirée.

– ‘Traîtres’ –

Au cours de la matinée, le lent énoncé des identités a été interrompu à plusieurs reprises par les cris et les interpellations du public. Quelques dizaines de personnes étaient présentes, certaines femmes brandissant des portraits de leurs proches tués la nuit du 15 juillet.

L’une d’elles, dont le fils a été tué lors du coup d’Etat, a dû être évacuée à deux reprises, ne cessant d’invectiver les accusés en pleurant: « Traîtres! », répétait-elle d’une voix stridente, jusqu’à s’évanouir brièvement et être prise en charge par des urgentistes.

A leur arrivée au tribunal, les accusés ont été hués par des dizaines de manifestants qui scandaient des slogans réclamant la peine de mort. Certains ont lancé en leur direction des cordes nouées.

La peine capitale a été abolie dans le cadre de la candidature turque à l’Union européenne. Mais depuis le putsch manqué, le président turc Recep Tayyip Erdogan a assuré à plusieurs reprises qu’il était disposé à la rétablir, évoquant même un potentiel référendum sur le sujet.

« Nous leur voulons la peine de mort, et pas qu’ils soient logés, nourris, blanchis ici », déclare Cengiz Öztürk, un manifestant qui affirme avoir affronté les putschistes le 15 juillet. « Nous voulons que ces traîtres à la nation soient enterrés dans des cimetières sans drapeaux. »

Aux abords du tribunal, de nombreux policiers étaient déployés, ainsi que quelques véhicules blindés, un drone et des snipers.

– Bête noire –

La tentative de coup d’Etat de la mi-juillet a fait près de 250 morts, sans compter les putschistes, et des milliers de blessés.

Ankara accuse Fethullah Gülen, un prédicateur islamiste installé aux Etats-Unis, d’être le cerveau du putsch manqué, et demande régulièrement à Washington son extradition.

L’intéressé, un ancien allié du président Erdogan devenu sa bête noire, dément tout rôle dans le coup manqué.

Selon l’acte d’accusation, plus de 8.000 militaires ont pris part à la tentative de putsch, au cours de laquelle 35 avions de guerre, 37 hélicoptères, 74 chars, 246 véhicules blindés et près de 4.000 armes légères ont été utilisés par les putschistes, rapporte Anadolu.

Les procédures judiciaires lancées après le putsch avorté sont d’une ampleur sans précédent en Turquie. Plus de 47.000 personnes ont été arrêtées lors de purges engagées après le 15 juillet et l’instauration de l’état d’urgence.

Oracle facilite la migration vers Java 9

Pour accompagner la transition vers Java 9, Oracle propose d’autoriser temporairement un accès réflectif illégal de code à la variable classpath par défaut de façon à permettre à un code plus ancien de fonctionner dans la dernière mouture.

L’arrivée des modules standardisés dans Java 9 est source de préoccupations pour les développeurs et leurs applications Java 8. (Crédit D.R.)

Si le comité chargé de gérer le développement de Java approuve la proposition faite par Oracle pour rendre la modularité, fonctionnalité clé de Java 9, moins perturbante, la migration de code vers cette nouvelle version attendue fin juillet s’en trouvera facilitée. Cette proposition intervient après les fortes réserves émises par la communauté Java au sujet du système de modules standardisés.

Jeudi dernier, Mark Reinhold, l’architecte en chef de Java chez Oracle, a déclaré que la forte encapsulation des API internes au JDK avait suscité des inquiétudes du fait que le code fonctionnant actuellement sur le JDK 8 ne fonctionnerait pas sur le JDK 9 et qu’il n’en avait été fait aucune mention préalable dans le JDK 8. « Afin d’aider l’ensemble de l’écosystème à migrer vers la plate-forme Java avec modules à un rythme plus souple, je propose par la présente de permettre par défaut, jusqu’à une future version, un accès illégal de code à la variable classpath dans le JDK 9 », a-t-il déclaré.

Une évolution attendue par les acteurs Java 

« Si cette proposition est retenue, le « big kill switch » prévu actuellement par l’option « -permettre-accès illégal » sera appliqué par défaut par le runtime JDK 9, et sans avertissements », a encore déclaré Mark Reinhold. « Le comportement actuel du JDK 9, qui interdit les opérations d’accès illégales du code sur le classpath, sera rétabli par défaut dans une version ultérieure. Rien ne changera au moment de la compilation ».

Comme l’a déclaré l’architecte en chef de Java chez Oracle, « ce changement ne résoudra pas comme par magie tous les problèmes d’adoption du JDK 9 ». Les types de chargeurs de classe Java intégrés restent différents, rt.jar n’est plus présent, la disposition d’une image système n’est pas la même et la chaîne de version conserve son nouveau format.

 

Logiciel

L'ANSSI nous parle de SecNumacadémie, sa formation gratuite en sécurité informatique

https://cdn3.nextinpact.com/dlx/68747470733A2F2F63646E322E6E657874696E706163742E636F6D2F696D616765732F62642F776964652D6C696E6B65642D6D656469612F31353235342E6A7067

L’agence de sécurité information de l’État a mis en ligne un MOOC destiné à initier les internautes à la sécurité numérique en entreprise. L’institution renforce son approche pédagogique face à l’ampleur du problème, et envisage de s’adresser à un public plus large à l’avenir.

L’ANSSI lance son MOOC gratuit. Pendant trois ans, elle édite la SecNumacadémie, destinée à apprendre aux étudiants, employés et « curieux » les rudiments de la sécurité informatique en entreprise. Comme nous explique l’agence, ce nouveau support s’inscrit dans la Stratégie nationale pour la sécurité du numérique, qui vise à sensibiliser le public sur ces questions.

Le MOOC se décompose en quatre modules, dont le premier a été publié il y a quelques jours. Les autres doivent suivre dans les mois à venir. C’est la communication la plus large à ce jour pour l’agence, plus habituée à s’adresser aux directeurs informatiques ou responsables de la sécurité, via des documents comme les 42 mesures d’hygiène informatique qu’elle a remis en avant à l’occasion de l’affaire WannaCry.

« On se rend compte que l’ANSSI seule ne peut pas être totalement efficace. Les enjeux et cibles sont tels qu’on a l’obligation d’informer les entreprises. On veut vraiment responsabiliser chaque acteur » nous répond-elle.

Un projet estampillé ANSSI

 

Internet