CYBERSECURITE _ Les infos qu'il ne fallait pas manquer (Ep 8) _ Actualité de la semaine _ CIA, MSI
Cybersécurité : Principales vulnérabilités.
Transcript
00:00 Hello hello, j'espère que tu vas bien dans cette vidéo, je vais te partager dans les
00:03 détails l'actualité cyber décadée des derniers jours.
00:06 Comme d'habitude, je parlerai uniquement des principaux éléments.
00:08 Netlab360 a publié un article intéressant qui parle de XDR33, une variante de Hive,
00:15 le malware créé par la CIA.
00:17 L'objectif principal de XDR33 est de collecter des informations sensibles et fournir un point
00:22 d'entrée pour de futures intrusions.
00:24 XDR33 utilise XTEA ou AES pour le chiffrement du trafic.
00:28 XDR33 utilise également SSL/TLS pour l'authentification du client et du serveur.
00:33 Voici l'infrastructure pour la génération des certificats.
00:36 Une autorité va générer les certificats de XDR33 et le certificat du serveur du pirate.
00:41 Le certificat de XDR33 ressemble à ceci.
00:43 Puis voici le certificat du serveur où tu peux voir qu'il se fait passer pour Kaspersky.
00:48 Et ceci est le certificat de l'autorité qui utilise les paramètres du malware Hive
00:52 de la CIA.
00:53 Les certificats ont été émis à partir du 7 octobre 2022 dont l'attaque a certainement
00:58 commencé en octobre 2022.
01:00 Ensuite, deux principales tâches sont utilisées par XDR33, le beacon et le trigger.
01:05 Le beacon de XDR33 va collecter périodiquement des informations systèmes sur le PC de la
01:10 victime comme la configuration réseau, les services exécutés, les connexions et la
01:14 table de routage.
01:15 Voici un exemple du code qui vérifie la date de démarrage de la machine.
01:19 Ces informations sont envoyées dans une archive BASIP puis seront chiffrées avec XTEA et
01:25 envoyées sur le serveur du pirate.
01:26 En fonction des informations collectées, le serveur du pirate peut par exemple demander
01:30 le téléchargement d'un fichier, la suppression, le lancement d'un shell, etc.
01:35 XDR33 va utiliser un déclencheur afin de rechercher certains mots-clés sur le trafic
01:40 généré par la carte réseau.
01:41 Si un mot-clé spécifique est identifié, une connexion est établie avec le serveur
01:45 du pirate.
01:46 Ce serveur va ensuite envoyer des instructions sur le PC de la victime.
01:49 Parmi ces instructions, on retrouve le téléchargement d'un fichier, l'exécution d'une commande,
01:54 l'exécution d'un shell, etc.
01:55 Le département de la justice américaine et plusieurs pays européens dont la France
02:06 ont participé à l'arrestation d'Anatoly Lekhodimov, aussi appelé Gandalf ou Tolik,
02:11 c'est le cofondateur de la plateforme d'échange de crypto-monnaies Bitslato.
02:15 Cette plateforme aurait permis de blanchir plus de 700 millions de dollars à travers
02:20 le darknet Hydra, un site qui permettait d'acheter ou vendre des produits illicites.
02:24 Hydra a d'ailleurs été fermé en avril 2022.
02:26 Il est reproché à Anatoly Lekhodimov de ne pas avoir suffisamment vérifié l'identité
02:31 des utilisateurs, ce qui a permis à plusieurs cybercriminels d'utiliser sa plateforme
02:35 entre 2018 et 2022.
02:36 Avant de te présenter la prochaine actu, n'oublie pas de t'abonner et liker la vidéo
02:40 si tu aimes ce contenu.
02:42 Je travaille dans la cybersécurité depuis quelques années et je partage quelques astuces
02:45 sur ce domaine et sur les technologies en général et je publie une à deux vidéos
02:48 par semaine.
02:49 Des chercheurs de Bitdefender ont publié un article intéressant sur iSpy qui espionne
02:54 les utilisateurs du service VPN 20speed.
02:57 Petite parenthèse, 20speed n'est plus disponible sur Google Play, le déploiement de ce malware
03:02 a commencé en mai 2022.
03:03 La source de cette attaque est en Iran, les victimes sont en Allemagne ou aux Etats-Unis.
03:08 Voici un résumé des fichiers utilisés par ce spyware pour se déployer rapidement.
03:12 Tout commence avec ce fichier qui contient le vrai client VPN de 20speed.
03:16 Il y a un deuxième outil, syscert.exe qui contient le logiciel malicieux.
03:21 Syscert va lancer plusieurs fichiers BAT qui vont vérifier l'existence de certaines
03:26 applications.
03:27 Puis syshourly va faire appel à sysbus32 dont l'objectif est de collecter des données
03:31 sur le PC de la victime puis envoyer ses informations sur le serveur FTP du pirate.
03:37 Upt32 va permettre de se connecter au serveur FTP du pirate.
03:44 Leepcache32 contient un keylogger qui va enregistrer les touches du clavier dans un fichier boot.tmp.
03:50 Leeptemp32 enregistre le contenu du presse-papier dans sys.tmp.
03:55 Leepchrome.exe va interroger la base de données de Google Chrome pour récupérer les mots
04:00 de passe et les identifiants.
04:01 Sysclean va supprimer quelques fichiers du pirate pour effacer des traces.
04:06 Sysup32 va envoyer des informations collectées sur le serveur FTP du pirate.
04:11 En résumé, l'objectif d'IcePy est d'enregistrer les touches du clavier, récupérer les mots
04:15 de passe et les identifiants, les porte-monnaie numérique de crypto-monnaie, etc.
04:19 Trend Micro a découvert qu'il était possible d'utiliser GitHub Codespace et un code GitHub
04:25 légitime afin de créer un serveur de fichiers malveillants.
04:27 GitHub Codespace permet aux développeurs de créer, de modifier et d'exécuter du
04:31 code directement depuis leur navigateur web.
04:33 En fait, GitHub Codespace va mettre en place une machine virtuelle préconfigurée pour
04:38 réaliser des projets JavaScript, Python et Ruby.
04:40 En d'autres termes, GitHub Codespace est un environnement de développement cloud.
04:44 94 millions de développeurs utilisent cette plateforme et chaque développeur dispose
04:49 de 60 heures gratuites par mois.
04:51 Pour te donner une idée, voici les prix en fonction de la machine virtuelle sélectionnée
04:54 ou en fonction du nombre de développeurs et du nombre d'heures.
04:58 Parmi les fonctionnalités de GitHub Codespace, il est possible de créer des numéros de
05:01 port pour accéder à l'application web créée et réaliser quelques tests.
05:05 Deux accès sont possibles.
05:07 L'accès privé fonctionne pour les membres d'une même organisation.
05:10 Dans ce cas, l'authentification est faite via un cookie sur le navigateur.
05:13 Ce cookie a une durée de 3 heures.
05:15 Pour l'accès public, il n'y a pas d'authentification et c'est dans ce cas que des pirates peuvent
05:19 déposer des scripts ou des malwares sur la machine qui est bêche de leur code.
05:22 Voici un résumé des tests réalisés par Trend Micro pour simuler une attaque.
05:26 Ils ont commencé par créer un conteneur Docker.
05:29 C'est une application qui va isoler certaines ressources sur un système d'exploitation.
05:33 Dès que Docker est prêt, le GitHub Codespace sera créé.
05:36 A partir de ce Codespace, il est possible de télécharger un fichier malicieux.
05:40 Ensuite, le Codespace sera rendu public.
05:43 On a donc un serveur web qui héberge un malware.
05:45 A partir de cet instant, le pirate va utiliser cette infrastructure pour déployer le malware
05:50 ou il peut manipuler le port partagé pour s'infiltrer et déployer du contenu malveillant
05:56 dans l'environnement GitHub d'une victime.
05:58 David Potokhi a publié un article intéressant sur le Secure Boot du constructeur MSI.
06:03 Petite parenthèse, le Secure Boot ou démarrage sécurisé est une fonctionnalité sur le
06:08 BIOS ou UEFI qui permet qu'un ordinateur démarre uniquement les logiciels approuvés
06:13 par le constructeur de l'ordinateur.
06:15 L'objectif ici est d'éviter le démarrage d'un logiciel malveillant.
06:18 Sur le BIOS de son PC MSI, David a constaté que le Secure Boot était à Always Execute
06:24 pour ses 4 paramètres.
06:25 En deux mots, ce sont des paramètres qui permettent de dire si le BIOS fait confiance
06:29 ou pas à des logiciels ou des pilotes non signés.
06:31 Par exemple, l'option ROM est un logiciel qui essue la mémoire morte au ROM.
06:36 Ce logiciel permet d'initialiser un périphérique pour que tu puisses regarder des vidéos ou
06:40 utiliser ta carte réseau.
06:42 Pour Removable Media et Fixed Media, il est recommandé de le fixer à Deny Execute pour
06:47 démarrer uniquement les logiciels de confiance.
06:49 Voici les autres options disponibles.
06:51 David Botocki a fait un script qui liste les cartes mères MSI impactées par cette configuration.
06:56 Je mettrai le lien de cette page dans la description.
06:59 Pour finir, MSI a publié un message sur Reddit.
07:02 Ils utilisent Always Execute dans le Secure Boot pour faciliter l'expérience utilisateur.
07:06 Ils vont publier une nouvelle version du BIOS avec Deny Execute dans le Secure Boot.
07:10 Voilà, c'est tout pour cette vidéo sur l'actu décalée sur la cybersécurité.
07:14 J'espère que tu as aimé ce contenu.
07:15 En attendant la prochaine actu, je te recommande cette autre vidéo.
07:18 A bientôt.
07:19 [Musique]