le.cricket Admin
Messages : 51875 Date d'inscription : 23/09/2010 Age : 72 Localisation : Mont de Marsan - 40000 - France
| Sujet: Opération Watering Hole by Zataz.com Lun 7 Jan - 23:02 | |
| Opération Watering HoleUn 0Day exploité pour infecter un maximum d'Internaute. L'Institut français des relations internationales dans l'armement des pirates. Depuis la fin décembre, ZATAZ.COM vous fait suivre une attaque de masse ayant déjà visé plusieurs centaines de sites Internet (Banque, entreprises, ...). Cette attaque a été baptisée "watering hole". Elle est toujours en cours. Les pirates exploitent un 0DAY, une faille connue que par eux, qui permet d'infiltrer les ordinateurs utilisant Internet Explorer 8. Les "malveillants" passent par des sites préalablement piratés pour s'inviter dans les machines non patchées. Parmi les serveurs exploités à l'insu de leur plein grés, celui de l'Institut français des relations internationales est victime.Le 29 Décembre, la campagne pirate "watering hole" a été détectée sur le site CFR.org (Council on Foreign Relations). Cette attaque vise les utilisateurs d'Internet Explorer 8. Intéressant, l'attaque ne fonctionne qu'à la condition ou les navigateurs visés soient configurés pour parler Anglais, taiwanais, Chinois, Japonais, Coréen et Russes. L'infiltration se base sur l'infection par un malware de sites web, sélectionnés à l'avance, pour que ces supports numériques piègent sans le savoir des visiteurs ciblés. Cette infection à comme objectif l'espionnage industriel et l'espionnage politique.Cette campagne a été découverte initialement par la société FireEye [1] et ensuite très rapidement analysée Eric Romang. FireEye et ZATAZ ont été les premiers à avoir remontés cette campagne "watering hole" à la presse [2]. Le 30 Décembre, Microsoft à émis un bulletin d'alerte MSA-2794220 [3] proposant des contre-mesures habituelles (comme par exemple, utiliser EMET) [4]. Toujours le 30 Décembre, Metasploit à publier un module PoC a été mise à disposition [5]. Très rapidement, il s'est avéré que CFR.org n'était pas le seul site ciblé par cette campagne "watering hole". Un fabriquant de micro-turbine, utilisé dans le secteur de l'énergie, Capstone Turbine Corporation, était aussi une victime de cette campagne [6]. Un site dissident de la minorité ethnique chinoise Uygur, était, elle aussi, dans le collimateur des pirates. [7] ZATAZ.COM fait le lien avec les campagnes "watering hole" précédentes (Septembre), que Symantec va confirmer et lier aux groupes Elderwood. [8] Le 31 Décembre, Microsoft a publié un "Fix-It" pour tenter de combler rapidement la faille, toujours dans le bulletin MSA-2794220. Malheureusement des chercheurs en sécurité informatique on trouvé un moyen de contourner ce "Fix-it" pour continuer à exploiter la vulnérabilité. [9]. Au fur et à mesure du temps, l'on se rend compte de la dimension de cette campagne "watering hole" :- Agence de voyage à Taiwan. - Site dissident Tibetain. - Site de chercheurs scientifiques russe - Site web d'un industriel Iranien (naedco.com). A noter que ce site va être impliqué, par le biais de l'Institut français des relations internationales. Celui-ci est utilisé par infecté les visiteurs du site web, par le biais d'un partenaire récoltant des statistiques de visites (dbg.fr)Ce partenaire infecté fait appel à du contenu malveillant hébergé sur le site web de l'industriel iranien. - Clinique française - Site web d'un industriel australienMicrosoft doit normalement sortir ses patchs mensuels demain soir, malheureusement ces patchs ne fixeront pas cette vulnérabilité. Les Exploits Kits (Nos fameux couteaux Suisses Pirates, ndlr zataz.com), profitent de cette aubaine pour intégrer cette vulnérabilité et infecter en masse tous les utilisateurs de IE8 [10]. Des attaques que nous vous avons expliquées sur zataz.com. Liens connexes1. CFR WATERING HOLE ATTACK DETAILS - FireEye2. Attack and IE 0day Informations Used Against Council on Foreign Relations - ZATAZ3. Microsoft Release Security Advisory MSA-2794220 for CFE Internet Explorer 0day - ZATAZ
Source : [Vous devez être inscrit et connecté pour voir ce lien]
| |
|