Un ancien employé de Twitter reconnu coupable d’espionnage pour l’Arabie saoudite

Un ancien employé de Twitter a été reconnu coupable pour son rôle dans la recherche d’informations privées concernant certains utilisateurs de Twitter et dans la transmission de ces données à l’Arabie saoudite.

Ahmad Abouammo, 44 ​​ans, a été condamné par un jury après un procès de deux semaines devant le tribunal fédéral de San Francisco, Bloomberg signalé Mardi. Il risque jusqu’à 20 ans de prison lorsqu’il sera condamné.

La verdict survient près de trois ans après qu’Abouammo, ainsi qu’Ali Alzabarah et Ahmed Almutairi (Ahmed Aljbreen) ont été inculpés en 2019 pour avoir agi en tant qu ‘ »agents illégaux » de l’Arabie saoudite, le premier étant également accusé d’avoir détruit, modifié et falsifié des dossiers dans une enquête fédérale .

La cyber-sécurité

Les procureurs ont accusé Abouammo et Alzabarah, qui ont tous deux rejoint Twitter en 2013, d’avoir été enrôlés par des responsables du Royaume d’Arabie saoudite pour démasquer ses détracteurs sur la plateforme de médias sociaux.

Selon des documents judiciaires, les deux individus ont tiré parti de leur accès aux systèmes internes pour obtenir de manière non autorisée des informations non publiques sur les utilisateurs de comptes spécifiques qui critiquaient le régime.

Ces informations comprenant des adresses e-mail, des numéros de téléphone, des adresses IP et des dates de naissance ont ensuite été remises aux fonctionnaires en échange de quoi Abouammo a reçu 300 000 $ en espèces et une montre Hublot Unico Big Bang King Gold Ceramic d’une valeur de 40 000 $.

De plus, pour tenter d’entraver l’enquête, Abouammo est a dit avoir menti aux agents du Federal Bureau of Investigation (FBI) lorsqu’ils ont été confrontés à son domicile de Seattle en octobre 2018, affirmant que la montre était « junky » et ne valait que 500 $, en plus de fournir une facture falsifiée indiquant qu’elle ne recevait qu’un virement de 100 000 $ pour consultation et le travail de stratégie médiatique.

Alors qu’Alzabarah a demandé l’aide d’Almutairi pour fuir les États-Unis en décembre 2015 et échapper au procès, Abouammo a été arrêté le 5 novembre 2019.

« Ces individus sont chargés de cibler et d’obtenir des données privées de dissidents et de critiques connus, sous la direction et le contrôle du gouvernement saoudien », a déclaré à l’époque l’agent spécial du FBI en charge, John F. Bennett. « Les menaces internes constituent une menace critique pour les entreprises américaines et notre sécurité nationale. »

Twilio subit une violation de données après que des employés ont été victimes d’une attaque de phishing par SMS

La plate-forme d’engagement client Twilio a révélé lundi qu’un acteur menaçant « sophistiqué » avait obtenu un « accès non autorisé » en utilisant une campagne de phishing par SMS visant son personnel pour obtenir des informations sur un « nombre limité » de comptes.

L’attaque d’ingénierie sociale visait à voler les informations d’identification des employés, a déclaré la société, qualifiant l’adversaire non encore identifié de « bien organisé » et de « méthodique dans ses actions ». L’incident a été révélé le 4 août.

« Cette attaque à grande échelle contre notre base d’employés a réussi à tromper certains employés pour qu’ils fournissent leurs informations d’identification », a-t-il déclaré. a dit dans un avis. « Les attaquants ont ensuite utilisé les informations d’identification volées pour accéder à certains de nos systèmes internes, où ils ont pu accéder à certaines données client. »

Le géant de la communication a 268 000 comptes clients actifs, et compte des entreprises comme Airbnb, Box, Dell, DoorDash, eBay, Glassdoor, Lyft, Salesforce, Stripe, Twitter, Uber, VMware, Yelp et Zendesk parmi ses clients. Il possède également le service populaire d’authentification à deux facteurs (2FA) Authy.

Twilio, qui poursuit toujours son enquête sur le piratage, a noté qu’il travaillait directement avec les clients qui ont été touchés. Il n’a pas révélé l’ampleur de l’attaque, le nombre de comptes d’employés compromis ou les types de données susceptibles d’avoir été consultés.

Les schémas de phishing, utilisant à la fois les e-mails et les SMS, sont connus pour s’appuyer sur des tactiques de peur agressives pour contraindre les victimes à transmettre leurs informations sensibles. Ce n’est pas une exception.

Les messages SMS auraient été envoyés aux employés actuels et anciens se faisant passer pour ceux de son service informatique, les attirant avec des notifications d’expiration de mot de passe pour cliquer sur des liens malveillants.

Les URL comprenaient des mots tels que « Twilio », « Okta » et « authentification unique » (abréviation de single sign-on) pour augmenter les chances de succès et a redirigé les victimes vers un faux site Web qui imitait la page de connexion de l’entreprise. Il n’est pas immédiatement clair si les comptes piratés étaient sécurisés par des protections 2FA.

Twilio a déclaré que les messages provenaient de réseaux d’opérateurs américains et qu’il avait travaillé avec les fournisseurs de services de télécommunications et d’hébergement pour arrêter le programme et l’infrastructure d’attaque utilisée dans la campagne. Les efforts de retrait, cependant, ont été compensés par la migration des attaquants vers d’autres opérateurs et hébergeurs.

« De plus, les acteurs de la menace semblaient avoir des capacités sophistiquées pour faire correspondre les noms des employés des sources avec leurs numéros de téléphone », a-t-il noté.

L’entreprise basée à San Francisco a depuis révoqué l’accès aux comptes d’employés compromis pour atténuer l’attaque, ajoutant qu’elle examinait des garanties techniques supplémentaires à titre préventif.

La divulgation arrive alors que le harponnage continue d’être une menace majeure pour les entreprises. Le mois dernier, il est apparu que le piratage d’Axie Infinity de 620 millions de dollars était la conséquence du fait qu’un de ses anciens employés avait été trompé par une offre d’emploi frauduleuse sur LinkedIn.

Le nouveau botnet Orchard utilise les informations de compte du fondateur de Bitcoin pour générer des domaines malveillants

Un nouveau botnet nommé Orchard a été observé en utilisant les informations de transaction du compte du créateur de Bitcoin Satoshi Nakamoto pour générer des noms de domaine afin de dissimuler son infrastructure de commande et de contrôle (C2).

« En raison de l’incertitude des transactions Bitcoin, cette technique est plus imprévisible que l’utilisation du temps commun généré [domain generation algorithms]et donc plus difficile à défendre », ont déclaré des chercheurs de l’équipe de sécurité Netlab de Qihoo 360. a dit dans un article du vendredi.

Orchard aurait subi trois révisions depuis février 2021, le botnet étant principalement utilisé pour déployer des charges utiles supplémentaires sur la machine d’une victime et exécuter les commandes reçues du serveur C2.

Il est également conçu pour télécharger des informations sur l’appareil et l’utilisateur, ainsi que pour infecter les périphériques de stockage USB afin de propager le logiciel malveillant. L’analyse de Netlab montre qu’à ce jour, plus de 3 000 hôtes ont été réduits en esclavage par le logiciel malveillant, la plupart situés en Chine.

Orchard a également fait l’objet d’importantes mises à jour en plus d’un an, dont l’une implique un bref rendez-vous avec Golang pour sa mise en œuvre, avant de revenir à C++ dans sa troisième itération.

En plus de cela, la dernière version intègre des fonctionnalités permettant de lancer un programme de minage XMRig pour monnayer Monero (XMR) en abusant des ressources du système compromis.

Un autre changement concerne l’utilisation de l’algorithme DGA employé dans les attaques. Alors que les deux premières variantes reposent exclusivement sur des chaînes de date pour générer les noms de domaine, la nouvelle version utilise les informations de solde obtenues à partir de l’adresse du portefeuille de crypto-monnaie « 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa. »

Il convient de souligner que l’adresse du portefeuille est l’adresse de réception de la récompense du mineur du Bitcoin Bloc Genèsequi eu lieu le 3 janvier 2009, et serait détenu par Nakamoto.

« Au cours de la dernière décennie environ, de petites quantités de bitcoins ont été transférées quotidiennement vers ce portefeuille pour diverses raisons, il est donc variable et ce changement est difficile à prévoir, de sorte que les informations de solde de ce portefeuille peuvent également être utilisées comme contribution de la DGA », ont déclaré les chercheurs.

Les découvertes surviennent alors que les chercheurs ont dévoilé un malware naissant de botnet IoT nommé RapperBot qui a été repéré en forçant brutalement les serveurs SSH pour mener potentiellement des attaques par déni de service distribué (DDoS).

Nouveau malware IoT RapperBot ciblant les serveurs Linux via SSH Brute-Forcing Attack

Un nouveau malware botnet IoT surnommé RappeurBot a été observé en train d’évoluer rapidement dans ses capacités depuis sa découverte à la mi-juin 2022.

« Cette famille emprunte beaucoup au code source original de Mirai, mais ce qui la distingue des autres familles de logiciels malveillants IoT est sa capacité intégrée à forcer brutalement les informations d’identification et à accéder aux serveurs SSH au lieu de Telnet tel qu’il est implémenté dans Mirai », Fortinet FortiGuard Labs a dit dans un rapport.

Le malware, qui tire son nom d’une URL intégrée à une vidéo musicale de rap YouTube dans une version antérieure, aurait amassé une collection croissante de serveurs SSH compromis, avec plus de 3 500 adresses IP uniques utilisées pour scanner et forcer leur chemin. dans les serveurs.

L’implémentation actuelle de RapperBot le distingue également de Mirai, lui permettant de fonctionner principalement comme un outil de force brute SSH avec des capacités limitées pour mener des attaques par déni de service distribué (DDoS).

L’écart par rapport au comportement traditionnel de Mirai est encore mis en évidence dans sa tentative d’établir une persistance sur l’hôte compromis, permettant ainsi à l’auteur de la menace de maintenir un accès à long terme longtemps après la suppression du logiciel malveillant ou le redémarrage de l’appareil.

Les attaques impliquent des cibles potentielles de force brute à l’aide d’une liste d’informations d’identification reçues d’un serveur distant. Après avoir pénétré avec succès dans un serveur SSH vulnérable, les informations d’identification valides sont exfiltrées vers la commande et le contrôle.

« Depuis la mi-juillet, RapperBot est passé de l’auto-propagation au maintien d’un accès à distance aux serveurs SSH forcés », ont déclaré les chercheurs.

L’accès est obtenu en ajoutant la clé publique SSH des opérateurs à un fichier spécial appelé « ~/.ssh/authorized_keys« , permettant à l’adversaire de se connecter et de s’authentifier auprès du serveur à l’aide de la clé privée correspondante sans avoir à fournir de mot de passe.

« Cela présente une menace pour les serveurs SSH compromis car les acteurs de la menace peuvent y accéder même après que les informations d’identification SSH ont été modifiées ou que l’authentification par mot de passe SSH est désactivée », ont expliqué les chercheurs.

« De plus, puisque le fichier est remplacé, toutes les clés autorisées existantes sont supprimées, ce qui empêche les utilisateurs légitimes d’accéder au serveur SSH via l’authentification par clé publique. »

Ce changement permet également au logiciel malveillant de maintenir son accès à ces appareils piratés via SSH, permettant à l’acteur de tirer parti de la prise de pied pour mener des attaques par déni de service de style Mirai.

Ces différences par rapport aux autres familles de logiciels malveillants IoT ont eu pour effet secondaire de rendre ses motivations principales mystérieuses, un fait encore compliqué par le fait que les auteurs de RapperBot n’ont laissé que peu ou pas de signes révélateurs de leur provenance.

Malgré l’abandon de l’auto-propagation en faveur de la persistance, le botnet aurait subi des changements importants en peu de temps, le principal étant la suppression des fonctionnalités d’attaque DDoS des artefacts à un moment donné, pour être réintroduit un semaine plus tard.

Les objectifs de la campagne, en fin de compte, restent au mieux nébuleux, sans aucune activité de suivi observée après un compromis réussi. Ce qui est clair, c’est que les serveurs SSH avec des informations d’identification par défaut ou devinables sont regroupés dans un botnet à des fins futures non spécifiées.

Pour parer à de telles infections, il est recommandé aux utilisateurs de définir des mots de passe forts pour les appareils ou de désactiver l’authentification par mot de passe pour SSH dans la mesure du possible.

« Bien que cette menace emprunte beaucoup de code à Mirai, elle possède des caractéristiques qui la distinguent de son prédécesseur et de ses variantes », ont déclaré les chercheurs. « Sa capacité à persister dans le système de la victime donne aux acteurs de la menace la flexibilité de les utiliser à toutes les fins malveillantes qu’ils souhaitent. »

Les pirates exploitent la vulnérabilité de Twitter pour exposer 5,4 millions de comptes

Twitter a révélé vendredi qu’un bogue zero-day maintenant corrigé a été utilisé pour lier les numéros de téléphone et les e-mails aux comptes d’utilisateurs sur la plate-forme de médias sociaux.

« En raison de la vulnérabilité, si quelqu’un soumettait une adresse e-mail ou un numéro de téléphone aux systèmes de Twitter, les systèmes de Twitter indiqueraient à la personne à quel compte Twitter les adresses e-mail ou le numéro de téléphone soumis étaient associés, le cas échéant », a déclaré la société. a dit dans un avis.

Twitter a dit le bogue, ce qu’il était mis au courant de janvier 2022, découle d’un changement de code introduit en juin 2021. Aucun mot de passe n’a été exposé à la suite de l’incident.

Le retard de six mois pour rendre ce public découle de nouvelles preuves le mois dernier qu’un acteur non identifié avait potentiellement profité de la faille avant le correctif pour récupérer les informations des utilisateurs et les vendre à profit sur Forums de violation.

Bien que Twitter n’ait pas révélé le nombre exact d’utilisateurs touchés, le message publié sur le forum par l’acteur de la menace montre que la faille a été exploitée pour compiler une liste contenant prétendument plus de 5,48 millions de profils de comptes d’utilisateurs.

Restaurer la confidentialité, qui divulgué la brèche à la fin du mois dernier, a déclaré que la base de données était vendue pour 30 000 $.

Twitter a déclaré qu’il était en train d’informer directement les propriétaires de comptes concernés par le problème, tout en exhortant les utilisateurs à activer l’authentification à deux facteurs pour se protéger contre les connexions non autorisées.

Le développement intervient alors que Twitter, en mai, a accepté de payer une amende de 150 millions de dollars pour régler une plainte du ministère américain de la Justice qui alléguait que la société entre 2014 et 2019 avait utilisé les informations des titulaires de compte fournies pour la vérification de sécurité à des fins publicitaires sans leur consentement.

Des pirates informatiques iraniens sont probablement à l’origine de cyberattaques perturbatrices contre le gouvernement albanais

Un acteur menaçant travaillant à la poursuite des objectifs iraniens aurait été à l’origine d’une série de cyberattaques perturbatrices contre les services gouvernementaux albanais à la mi-juillet 2022.

Cabinet de cybersécurité Mandiant a dit l’activité malveillante contre un État de l’OTAN représentait une « expansion géographique des cyber-opérations perturbatrices iraniennes ».

La Les attentats du 17 juilletselon l’Agence nationale albanaise de la société de l’information, a forcé le gouvernement à « fermer temporairement l’accès aux services publics en ligne et aux autres sites Web du gouvernement » en raison d’une « attaque cybercriminelle synchronisée et sophistiquée provenant de l’extérieur de l’Albanie ».

L’opération perturbatrice à motivation politique, selon Mandiant, impliquait le déploiement d’une nouvelle famille de rançongiciels appelée ROADSWEEP qui comprenait une note de rançon avec le texte : « Pourquoi nos impôts devraient-ils être dépensés au profit des terroristes de DURRES ? »

Un front nommé HomeLand Justice a depuis revendiqué la cyberoffensive, le groupe affirmant également avoir utilisé un logiciel malveillant d’essuie-glace dans les attaques. Bien que la nature exacte de l’essuie-glace ne soit pas encore claire, Mandiant a déclaré qu’un utilisateur albanais avait soumis un échantillon pour ce qu’on appelle ZeroCleare le 19 juillet, coïncidant avec les attaques.

ZeroClear, d’abord documenté par IBM en décembre 2019 dans le cadre d’une campagne ciblant les secteurs de l’industrie et de l’énergie au Moyen-Orient, est conçu pour effacer le master boot record (MBR) et les partitions de disque sur les machines Windows. On pense qu’il s’agit d’un effort de collaboration entre différents acteurs de l’État-nation iranien, y compris Plate-forme pétrolière (alias APT34, ITG13 ou Helix Kitten).

Une porte dérobée auparavant inconnue appelée CHIMNEYSWEEP a également été déployée dans les attaques albanaises, capable de prendre des captures d’écran, de répertorier et de collecter des fichiers, de créer un shell inversé et de prendre en charge la fonctionnalité d’enregistrement de frappe.

L’implant, en plus de partager de nombreux chevauchements de code avec ROADSWEEP, est livré au système via une archive auto-extractible aux côtés de documents Microsoft Word leurres contenant des images de Massoud Radjavil’ancien chef de l’Organisation des Moudjahidine du peuple d’Iran (MEK).

Les premières itérations de CHIMNEYSWEEP remontent à 2012 et il semble que le logiciel malveillant ait pu être utilisé dans des attaques visant le farsi et les arabophones.

La société de cybersécurité, qui a été acquise par Google plus tôt cette année, a déclaré qu’elle n’avait pas suffisamment de preuves reliant les intrusions à un collectif contradictoire nommé, mais a noté avec une confiance modérée qu’un ou plusieurs acteurs malveillants opérant à l’appui des objectifs de l’Iran sont impliqués.

Les liens avec l’Iran découlent du fait que les attaques ont eu lieu moins d’une semaine avant la conférence du Sommet mondial de l’Iran libre les 23 et 24 juillet près de la ville portuaire de Durres par des entités opposées au gouvernement iranien, en particulier les membres du MEK. .

« L’utilisation de rançongiciels pour mener une opération perturbatrice à motivation politique contre les sites Web du gouvernement et les services aux citoyens d’un État membre de l’OTAN la même semaine qu’une conférence des groupes d’opposition iraniens devait avoir lieu serait une opération particulièrement effrontée par la menace du lien avec l’Iran. acteurs », expliquent les chercheurs.

Les découvertes surviennent également deux mois après que le groupe iranien de menace persistante avancée (APT) suivi sous le nom de Charming Kitten (alias Phosphorus) a été lié à une attaque dirigée contre une entreprise de construction anonyme dans le sud des États-Unis

Quitter la version mobile