Archives par mot-clé : fbi

FBI : la police fédérale américaine est victime d’une attaque informatique

Durant le week-end dernier, le Federal Bureau of Investigations en abrégé FBI a déclaré lors d’un communiqué d’urgence qu’il subissait une compagne de spamming qui aurait été initié par des pirates informatiques dans le but de prendre d’assaut son propre serveur de messagerie.

Bien évidemment cette situation n’est pas banale du tout. Car c’est de la police fédérale américaine qu’il s’agit. La cyberattaque aurait commencé durant le vendredi soir. Les pirates informatiques par l’envoi de dizaines de milliers de courriels, tous provenant d’une adresse email légitime venant de la police fédérale elle-même.

Cet article va aussi vous intéresser : La justice américaine autorise le FBI à pirater les ordinateurs

Sans hésiter, l’autorité policière américaine à automatiquement communiquer sur la compromission de son serveur de messagerie. Une manière de rappeler à l’ordre et à la vigilance le grand public les dangers de ce genre de menaces informatiques.

Dans son communiqué, la police fédérale américaine à donner quelques informations sur la cyberattaque. L’autorité policière a souligné que le serveur de messagerie qui a été compromis a été automatiquement mais hors ligne. Cependant les pirates informatiques rue du temps pour causer suffisamment de dégâts quand bien même que ceci ne sont pas suffisamment grave. Cependant mais FBI à mentionner que c’est près de 100 000 personnes qui auraient reçu ces mails frauduleux provenant des pirates informatiques. Si les messages sont si la question provenait d’une adresse légitime à savoir « @ic.fbi.gov », ils ont été expédiés par des pirates informatiques.

Alors, on s’interroge de savoir qu’elle aurait pu être l’objectif de cette campagne d’envoi massif les spams. Pour quelle raison les bras des pharmacies quand procédé ainsi ? Autant de questionnements assez légitimes sans grande réponse pour le moment. Même la méthode utilisée par les pirates informatiques pour compromettre le système n’a pas été défini par la police fédérale américaine, ni mais par la Cyber Security and Infrastructure Security Agency (CISA, CHARGÉE DE VEILLER À LA SÉCURITÉ INFORMATIQUE DES ORGANISMES GOUVERNEMENTAUX). À ce niveau il est encore trop tôt pour pouvoir répondre à ce genre de question.

Même l’identité les pirates informatiques derrière ce piratage informatique n’est pas encore connue. Cependant avec le contenu des e-mails qui ont été distribués, il sera facile pour les enquêteurs de pouvoir déterminer leurs sources. Il y a quelques e-mails qui font référence directement un collectif de pirates informatiques très actifs sur le territoire américain connu sous la dénomination de The Dark Overlord.

À la lecture des courriers électroniques qui ont été distribués par les pirates informatiques, il semblerait qu’il a contribué à mettre en garde contre de potentielle attaque informatique. Quelque chose d’imminent peut-être. Selon les spécialistes de l’organisme européen en sécurité informatique Spamhaus, le contenu des e-mails serait effrayant. Ces courriers électroniques contenaient des messages qui étaient signés faussement par l’organisme gouvernemental américain chargé de l’analyse des menaces cyber. Un organe rattaché directement au département de la sécurité intérieure américaine.

« Ils causent de nombreuses perturbations, car les en-têtes sont réels, et les emails proviennent vraiment de l’infrastructure du FBI », souligne l’organisme européen. Il précise par ailleurs que « les emails envoyés depuis le serveur compromis ont été diffusés à des adresses figurant au registre internet distribuant directement des adresses, aux États-Unis et au Canada notamment, l’ARIN. ».

Dans leur communiquer publié le samedi dernier, le FBI et la CISA on a interpellé le grand public sur la menace en mettant en évidence le fait que la situation est dans un état continu. « Nous continuons d’encourager le public à se méfier des expéditeurs inconnus et nous invitons à signaler toute activité suspecte », conseillent les agences gouvernementales qui s’adressent plus particulièrement aux sites web répertoriés dans le registre américain des numéros internet.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les autorités américaines réussissent à saisir la rançon versée aux pirates informatiques par Colonial Pipeline

Durant le mois de mai dernier, le géant américain Colonial Pipeline a été victime d’une attaque de type rançongiciel.

Une attaque qui a fait la une des journaux et il y avait de quoi. En effet, la cyberattaque a eu des conséquences lourdes pour la société à savoir les perturbations au niveau de son activité qui a conduit à un défaut d’approvisionnement en essence et un kérosène affectant toute la côte est des États-Unis.

Cet article va aussi vous intéresser : DarkSide : qui se cache derrière la cyberattaque du pipeline Américain

La société avait alors signifié à la police fédérale américaine que les pirates informatiques avaient réussi à accéder à son système informatique, et exigeait à cet effet le paiement d’une rançon s’élevant à 75 bitcoins. Rançon qui a bien évidemment été payée par la société pour récupérer le fonctionnement normal de son système.

Croyant que cette affaire était terminée quelques temps qui suit à savoir le lundi dernier, les autorités américaines, à savoir le ministère de la justice déclarait publiquement avoir réussi à récupérer 63,7 bitcoin en sur le 75 versés par la société. La réussite de cette opération serait due à une opération d’envergure initiée par la police fédérale américaine ainsi qu’une clé privée dans quelle disposait.

On se rappelle que à mi mai 2021, le groupe de pirate informatique à l’origine de l’attaque dirigée contre Colonial Pipeline, DarkSide, avait annoncé cessé toute activité. L’une des raisons aurait été que les autorités avaient réussi à saisir leur réserve des cryptomonnaies ainsi que leurs serveurs. Nous nous rendons compte alors que le communiqué du département de la justice américaine est bel et bien conforme à ce qui a été signifié par les cybercriminels. En tout, c’est 2,3 millions de dollars saisis par le FBI. L’opération a été conjointe avec les services du ministère de la justice du nom de Ransomware and Digital Extortion Task Force (Groupe de travail sur les ransomwares et l’extorsion numérique).

La somme récupérée par les autorités américaines représenterait la moitié de la rançon versée par Colonial Pipeline, soit 4,4 millions. Malgré avoir verser la rançon, le PDG de la société américaine affirme que l’outil de déchiffrement n’a pas servi à grand-chose. En effet, selon ce dernier, il a fallu pour reconstruire le système par d’autres moyens.

Toutefois, il ne faut pas nier que la saisie a quand même quelque chose de remarquable. Avec cela, les autorités américaines espèrent supprimer la motivation de ses attaques aux rançongiciels.

« Aujourd’hui, nous avons privé une entreprise cybercriminelle de l’objet de son activité, de son produit financier et de son financement », a signifié Paul M. Abbate, le directeur adjoint du FBI, lors d’une conférence de presse. « Pour les cybercriminels motivés financièrement, en particulier ceux qui sont vraisemblablement situés à l’étranger, couper l’accès aux revenus est l’une des conséquences les plus importantes que nous puissions imposer » ajoute ce dernier. « Suivre l’argent reste l’un des outils les plus basiques, mais les plus puissants, dont nous disposons », a signifié ce lundi, Lisa Monaco, le procureur général adjoint, lors de l’annonce du département de la justice. « Les paiements de rançon sont le carburant qui propulse le moteur de l’extorsion numérique, et l’annonce d’aujourd’hui démontre que les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles », note cette dernière.

« Les extorqueurs ne verront jamais cet argent », a fait remarquer Stephanie Hinds, le procureur américain par intérim pour le District Nord de la Californie. « Les nouvelles technologies financières qui tentent d’anonymiser les paiements ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».

Au-delà de tout ceci, on sait que grâce à une clé privée, le FBI a réussi à remonter jusqu’aux bitcoins et les saisir.

« Comme l’indique la déclaration sous serment, en examinant le grand livre public de Bitcoin, les forces de l’ordre ont pu suivre de multiples transferts de bitcoins et identifier qu’environ 63,7 bitcoins, représentant le produit du paiement de la rançon par la victime, avaient été transférés à une adresse spécifique, pour laquelle le FBI possède la « clé privée », ou l’équivalent approximatif d’un mot de passe nécessaire pour accéder aux actifs accessibles à partir de l’adresse Bitcoin spécifique. Ces bitcoins représentent le produit d’une intrusion informatique et des biens impliqués dans le blanchiment d’argent et peuvent être saisis en vertu des lois sur la confiscation pénale et civile », Pouvait-on lire dans le communiqué département de la justice américaine.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La justice américaine autorise le FBI à pirater les ordinateurs

Dans une décision de justice, un tribunal de Houston donne la permission à la police fédérale américaine à savoir le FBI de pouvoir « copier et supprimer » les portes dérobées issu de la faille de sécurité des serveurs de messagerie de Microsoft Exchange sur le territoire américain.

Et cela quelques mois juste après que les vulnérabilités qui n’ont pas vite été découvertes aient été la cause de plusieurs attaques informatiques touchant des milliers de réseaux à travers le monde entier.

Les ordinateurs concernés par la faille de sécurité ont permis aux cybercriminels d’exécuter des versions corrompues de site internet du logiciel de Microsoft Exchange entre le mois de janvier et de février 2021.  Les autorités ont qualifié cette opération de réussie.

Cet article va aussi vous intéresser : Les agences gouvernementales Américaines et entreprises privées aurait été ciblées par des pirates informatiques selon le FBI

 Et ce n’est pas tout, dans la même lancée, le géant américain du numérique Microsoft découvre que des pirates informatiques qui seraient parrainés par l’État chinois connu sous la dénomination d’Hafnium ciblent les entreprises qui utilisent toujours les serveurs Exchange infectés.

On peut retenir que lorsque les quatre failles de sécurité sont utilisées convenablement, les pirates informatiques ont la possibilité de voler le contenu du serveur Exchange de l’entreprise.

Les conséquences ont été plus que dramatiques en sommes. Surtout lorsqu’on sait que 3 000 organisations américaines ont été pendant 2 mois compromises. Les 4 failles de sécurité citées précédemment ont permis d’installer sur plusieurs milliers d’ordinateurs des portes dérobées.

Parmi les victimes, on compte de nombreuses petites entreprises, des organismes du gouvernement américain et des collectivités territoriales et des villes. Même si des correctifs de sécurité ont été déployés par Microsoft depuis lors, cela n’a pas pour autant mis fin à la présence de portes dérobées déjà déployé sur certains serveurs. Conséquences, les pirates informatiques continuent d’attaquer certes et serveur qui sont toujours vulnérables à cause décès même faille de sécurité.

« Le nombre de serveurs infectés par des Web shells illégaux placés sur les ordinateurs a diminué à mesure que les correctifs étaient appliqués par les propriétaires des systèmes infectés. Mais des centaines de serveurs Exchange sont restés vulnérables parce que les portes dérobées sont difficiles à trouver et à éliminer – d’autres propriétaires semblaient incapables de le faire (ou peut-être même inconscients de la présence de la porte dérobée) » déclare le ministère de la Justice lors d’un récent communiqué de presse.

Ce qui explique alors l’intervention de la police fédérale américaine.

« Cette opération a permis de supprimer les derniers Web shells d’un groupe de pirates qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains », précisait le communiqué du département de la justice. « Le FBI a procédé à la suppression en envoyant une commande au serveur par le biais du Web Shell, conçue pour que le serveur supprime uniquement le Web Shell (identifié par son chemin de fichier unique) », continue le communiqué.

Si dans le fond Microsoft a été long pour déployer les patch de sécurité nécessaires pour combler les failles, les entreprises concernées ne sont pas exemptes de tout reproche. En effet, ils ont eu plus de 1 mois pour corriger le propre serveur après les différents alertes liés aux attaques informatiques.

« La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés », a signifié le mois dernier un porte-parole de la firme de Redmond. « Nous continuons à aider nos clients en leur fournissant des conseils supplémentaires en matière d’investigation et d’atténuation. Les clients touchés doivent contacter nos équipes d’assistance pour obtenir une aide et des ressources supplémentaires », continue ce dernier.

Malheureusement avant l’intervention du FBI, des centaines de terminaux informatiques étaient toujours vulnérables et compromis.

Dans ce contexte la justice américaine, donne à la police fédérale américaine une mission de nettoyage de réseau privé chose que le FBI avait déjà commencé avec succès.

« La suppression des Web shells malveillants, autorisée par le tribunal aujourd’hui, démontre l’engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires », a signifié John C. Demers, le procureur adjoint de la division de la sécurité nationale du ministère de la justice

« Si l’on ajoute à cela les efforts déployés jusqu’à présent par le secteur privé et d’autres agences gouvernementales, notamment la publication d’outils de détection et de correctifs, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays. Il ne fait aucun doute qu’il reste du travail à faire, mais il ne fait aucun doute non plus que le ministère s’engage à jouer son rôle intégral et nécessaire dans ces efforts », ajoute ce dernier.

De son côté, la police fédérale américaine mentionne que son opération est un succès en amont. Elle profite de l’élan pour mettre en gardant les pirates informatiques potentiels.

« Notre action réussie doit servir à rappeler aux cyberacteurs malveillants que nous imposerons des risques et des conséquences pour les cyber intrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux. Le FBI continuera d’utiliser tous les outils à sa disposition en tant que principale agence nationale d’application de la loi et de renseignement pour tenir les cyberacteurs malveillants responsables de leurs actions », souligne la directrice adjointe par intérim de la division Cyber du FBI, Tonya Ugoretz.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les agences gouvernementales Américaines et entreprises privées aurait été ciblées par des pirates informatiques selon le FBI

Le mois dernier, la police fédérale américaine, le FBI (Federal Bureau of Investigation) envoyait un avertissement aux organes de sécurité de plusieurs organisations gouvernementales et entreprises privées américaines.

Selon cette dernière, les cybercriminels auraient profité d’une faille de sécurité présente sur la plate-forme sans se servir à la vérification des erreurs dans le code de SonarQube. Ainsi, ces derniers ont pu accéder au dépôt de code source.

Cet article va aussi vous intéresser : Sécurité informatique : le FBI alerte les entreprises étrangères installée en Chine

Un piratage informatique qui a exposé plusieurs code source venant de plusieurs organismes gouvernementaux et privées.

La police fédérale américaine n’a pas hésité à mettre en garde automatiquement les propriétaires de la plate-forme web, qui permet aux organisations de tester les codes sources de leurs logiciels, pour un détecter des failles de sécurité, avant tout le lancement de l’application dans une quelconque chaîne de production. Bien sûr comme on le sait, il faut tester d’abord les codes de source avant de déployer l’application.

Ce genre de contexte, est très favorable aussi aux cybercriminels. En effet, en exploitant les failles de sécurité, ils peuvent obtenir les codes des applications pour être en mesure de facilement les infiltrer. La suite est un jeu de vol de données et de piratage classique. À ce propos, la police fédérale américaine a déjà pu observer plusieurs tentatives d’intrusions ou des intrusions concrètes réalisées par des cyberacteurs. Tous associés à SonarQube.

Il faut préciser que les applications SonarQube sont installées sur des serveurs ou connectées aux systèmes d’hébergement de codes sources célèbre tel que GitHub, BitBucket ou encore GitLab. Ces mêmes applications sont présentes dans des systèmes tels que Azure DevOps. Sinon la police fédérale américaine, des entreprises n’ont même pas pris la peine de modifier certaines configurations par défaut tel que les identifiants et les mots de passe. Il a été dit que les cybercriminels profitent de la faille de sécurité depuis maintenant avril 2020.

« Depuis avril 2020, des cyberacteurs non identifiés ont activement ciblé des instances vulnérables de SonarQube pour accéder aux dépôts de code source des agences gouvernementales américaines et les entreprises privées. Les acteurs exploitent des vulnérabilités de configuration connues, leur permettant d’accéder à du code propriétaire, l’exfiltrer et afficher les données publiquement. Le FBI a identifié de multiples intrusions informatiques potentielles en corrélation avec les fuites associées aux vulnérabilités de la configuration de SonarQube », pouvait-on lire dans le document du FBI.

Les pirates informatiques selon le FBI en profiter pendant tout ce temps de cette vulnérabilité pour infiltrer les applications et les systèmes informatiques, exécuter des programmes malveillants sur les applications propriétaire du secteur privé ou public. Deux exemples palpables fournis par la police fédérale américaine justifient cet état de fait. Des incidents qui ont eu lieu durant le mois dernier.

« En août 2020, des acteurs de la menace inconnue ont divulgué des données internes de deux organisations par le biais d’un outil de dépôt public de cycle de vie. Les données volées provenaient d’instances SonarQube qui utilisaient des paramètres de port par défaut et des identifiants d’administration fonctionnant sur les réseaux des organisations concernées ».

« Cette activité est similaire à une précédente fuite de données en juillet 2020, dans laquelle un cyberacteur identifié a exfiltré le code source propriétaire d’entreprises par le biais d’instances SonarQube mal sécurisées et a publié le code source exfiltré sur un dépôt public auto hébergé », note le FBI dans son rapport.

Sécurité informatique du nom de Till Kottmann avait signalé durant le mois d’août que certaines instances de la plateforme web avaient été mal configurées. Pour prouver ce qu’il avance, il rassemble sur une plateforme publique, des codes sources provenant de grandes entreprises technologiques.

« La plupart des gens semblent ne modifier absolument aucun des paramètres, qui sont en fait correctement expliqués dans le guide de configuration de SonarQube », a dit Kottmann dans une déclaration. « Je ne connais pas le nombre actuel d’instances SonarQube exposées, mais je doute que cela ait beaucoup changé. Je pense qu’il y a encore plus de 1000 serveurs (indexés par Shodan) qui sont « vulnérables », soit parce qu’ils ne nécessitent pas d’authentification, soit parce qu’ils laissent des créneaux par défaut », note le chercheur.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cybersécurité : un nouveau virus fait son apparition selon le FBI et la NSA

En début de semaine, les deux agences fédérales américaines à savoir la National Security Agency en abrégé « NSA » et Le Federal Bureau of Investigation (FBI) ont tiré la sonnette d’alarme.

Elles prévenaient les différents administrateurs de réseaux de l’existence d’un nouveau programme malveillant. La menace a été détaillée dans un document publié par les deux agents conjointement, qui fait environ 45 pages est accessible à tout le monde.

Cet article va aussi vous intéresser : Les antivirus arrivent à mieux détecter les logiciels de harcèlement

Le document en question décrit un programme informatique malveillant qui touche en particulier les systèmes informatiques qui tourne sous le système d’exploitation de IBM, Linux.

Dans ce rapport les agences américaines de manière détaillée, l’impact de ce programme malveillant ainsi que sa fonctionnalité principale d’être indétectable en quelques manières que ce soit. Selon ces dernières, les coupables à l’origine de ce virus informatique sur un groupe de pirates qui a été localise précisément en Russie. Pour le moment cela n’est qu’une simple présomption vue que des preuves concrète n’ont pas encore été fournies. Cependant le groupe indexé est reconnu pour avoir initié plusieurs cyberattaques en d’envergure internationale.

Le programme informatique malveillant dont il est question ici a été dénommé Drovorub, traduit par « bûcheron » selon le FBI et la NSA. Certains spécialistes de la sécurité informatique l’appellent plutôt en terme de « tueuse de drivers ».

En bref, on retiendra que c’est un virus hyper puissant, qui aurait été créé par des pirates informatiques assez doués. Le groupe de cybercriminels Russes accusé par les agences américaines est connu sous la dénomination de Fancy Bear. Mais on le connaît aussi sous plusieurs appellations telle que : Advanced Persistent Threat 28 en abrégé APT28, Tsar Team ou encore Pawn Storm. On retient seulement que ce groupe de pirates informatique est le principal suspect pour ce qui concerne l’attaque informatique qui aurait frappé la chaîne française TV5 Monde en 2015, ainsi que l’ingérence lors des élections américaines de 2016 tant décriée par la justice américaine.

Sinon le rapport édité par les agences fédérales américaines, la composition des virus laisse supposer que ces éditeurs ne sont pas le premier coup d’essai. Ce sont des spécialistes en la matière. Le caractère très furtif du virus ne laisse supposer aucun doute à ce niveau. Il n’a été identifié que très récemment alors qu’il serait en circuler depuis un bon moment.  Sa fonctionnalité principale est de permettre à des utilisateurs d’exfiltrer le maximum d’informations, en particulier les plus sensibles. Mais ce n’est pas tout, il peut permettre aussi de contrôler à distance plusieurs outils informatiques. Selon l’un des responsables de l’entreprise américaine de cybersécurité McAfee, Steve Grobman, le programme malveillant est comparable à un « couteau suisse », à cause notamment de ses nombreuses fonctionnalités et qu’il est susceptible de bien les cacher.

Grâce à de nombreux algorithmes qui sont greffés, il peut être décrit fortement comme le signifie les spécialistes à « une boîte à outils » qui peut facilement s’intégrer au noyau Linux des systèmes. Et cela à l’insu de l’utilisateur principal.

Pour s’en protéger, la NSA et le FBI ont recommandé dans le rapport aux différents administrateur de réseau de mettre constamment à jour leur système d’exploitation. Ils conseillent aussi de faire très attention aux fichiers dont l’origine est inconnue, car c’est potentiellement par ce genre de moyens qu’est véhiculé ce code malveillant. La stratégie principale utilisée par les cybercriminels pour propager leurs programmes malveillants serait alors l’hameçonnage. C’est d’ailleurs pour cette qu’il est demandé de redoubler de vigilance et d’informer au maximum le personnel au niveau de la gestion des identifiants de connexion tels que les mots de passe et les noms d’utilisateurs. Un regard particulier doit être dirigé vers les sites sensibles et les infrastructures d’importance vitale.

Pour le moment, les spécialistes n’ont pas encore développé de patch de sécurité pour lutter contre ce programme malveillant.  Il semble que cela ne saurait tarder cependant. Pour le moment la seule mesure de sécurité, c’est la vigilance. Par ailleurs les employés doivent être formés pour maîtriser suffisamment les rudiments nécessaires à une bonne hygiène numérique. Le rapport ne mentionnant pas exactement la date du déploiement de ce programme malveillant, on peut donc déduire que plusieurs organisations ont déjà été victimes et continue même de l’être semble-t-il.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage