Les clients d’Orange Espagne privés d’accès à internet durant quelques heures
Le fournisseur d’accès à l’Internet Orange Espagne a souffert d’une cyberattaque mercredi 3 janvier 2024. Si l’opérateur mentionne que l’installation était pratiquement revenue à la normale le jour même, la secousse du dysfonctionnement a bien été ressentie. La personne, dont le pseudo est « Snow » à l’origine de cette intrusion explique que le mot de passe n’était pas approprié. Des bots auraient été utilisés, mais une compromission par un infostealer semble plus que probable, comme le célèbre Raccoon stealer.
La société Orange en Espagne a subi mercredi 3 janvier 2024 dans l’après-midi une cyberattaque. La conséquence fut la chute de l’accès à l’Internet pour l’ensemble de ses clients ibériques. Ce que confirme la société de téléphonie mobile via le réseau social X (ex-Twitter) : « Le compte d’Orange au Centre de coordination du réseau IP (RIPE) a subi un accès non autorisé qui a affecté la navigation. » Snow déplore sur le niveau de sécurité, indiquant même que le mot de passe serait « ripeadmin » et le manque d’authentification à double facteur (2FA).
Les équipes de vx-underground ont dévoilé une capture d’écran relayée sur X (ex-Twitter) de la compromission d’Orange. Celle-ci démontre que l’enquête d’Hudson Rock indique le même mot de passe mentionné par Snow.
Des informations indiquent que la famille d’info stealer est de type Raccoon, que la détection remonte au 4 septembre 2023 peu après 15 h 30. Le fait de prendre le contrôle d’un compte d’administration d’un opérateur tel qu’Orange, permet d’administrer vers des routes nouvelles. Donc d’attribuer des possibilités vers de nouvelles plages d’adresses IP.
(Crédits : Hudson Rock)
Le RIPE NCC se définit par « Réseaux IP Européens – Network Coordination Centre », elle est une organisation à but non lucratif. Son but la distribution des ressources internet, telles que les adresses IPv4, IPv6, les numéros d’Autonomous System (ASN) utilisés pour le routage entre opérateurs (avec l’utilisation du protocole BGP). Le RIPE dessert l’Europe, le Moyen-Orient et une partie de l’Asie.
Mais qu’est-ce que c’est que ça ?
Internet est une toile, un réseau de réseaux. Deux ordinateurs connectés forment un réseau. Mais ils ont besoin de protocole pour échanger. C’est à ce moment qu’intervient l’AS. L’Autonomous System est un très grand réseau ou groupe de réseaux ayant une politique de routage interne cohérente. « Chaque AS se voit attribuer un ASN unique, qui est un numéro permettant d’identifier l’AS ».
Chaque AS contrôle un certain nombre d’adresses IP. « En général, chaque AS est exploité par une seule grande organisation, par exemple un fournisseur d’accès à Internet, une grande entreprise technologique, une université ou une agence gouvernementale », explique Cloudflare.
Le BGP (Border Gateway Protocol) est un protocole d’échange de route externe, issu de l’EGP (exterior gateway protocol), utilisé sur le réseau Internet. En 1966, aux États-Unis, le premier réseau à transfert de paquets de données est conçu par la DARPA (Defense advanced research Projects Agency). Il est connu comme l’ancêtre de notre Internet, le fameux réseau ARPAnet.
(Crédits : RÜŞTÜ BOZKUŞ/Pixabay)
Chaque AS utilise ce protocole pour indiquer les adresses IP de direction pour la distribution des paquets. L’Internet Protocol (IP) est utilisé pour le routage. Sans lui ils rebondissent sur l’internet sans trouver la destination. Le BGP est un élément fondateur de l’Internet. Boris Rogier écrit sur Kadiska que « comme elle doit être configurée manuellement, elle est sujette aux erreurs humaines ainsi qu’aux attaques de sécurité. Dans un contexte de services numériques mondiaux, la surveillance du comportement de BGP en termes de découverte de chemins, de surveillance des performances, ainsi que de changements de chemins, devient critique ! »
Le voleur de mots de passe : Raccoon stealer
Le mot de passe est partout. Par manque de culture « informatique », utopisme ou fainéantise, tout un chacun use du même : un vrai bonheur pour les cybercriminels. D’autant que depuis avril 2019, le plus populaire des infostealer est né : Raccoon. Le 14 août 2023, le raton laveur annonçait son retour. L’information était partagée sur le compte X (ex-twitter) de vx-underground.
Mark Sokolovsky à la genèse du Raccoon infostealer est en prison depuis le mois d’octobre 2022. Sauf qu’à chaque fois qu’un individu, ou un groupe est arrêté, son code demeure. Dans l’acte d’accusation du FBI, plus de 50 millions d’identifiants (courriels, comptes bancaires, numéros de cartes de crédit, sites WEB…) avaient été volés via cet outil en 2022.
« Après la perte de notre coéquipier, nous avons pris la décision de ne pas abandonner notre projet et de continuer notre travail en son honneur. Raccoon Stealer 2.0 a été entièrement codé depuis le début. Nouveau back-end, nouveau front-end, absolument nouveau logiciel de vol », affirme le collectif.
(Crédits : 3export)
Ce logiciel se déploie classiquement. Une fois votre terminal compromis, le cybercriminel peut dérober les données d’environ 60 applications différentes. Le tableau de configuration du Raccoon v1 ci-dessus permet de nombreuses possibilités. « Notre équipe a travaillé sans relâche pour vous apporter nos derniers développements qui enrichiront votre expérience avec le stealer. Nous sommes fiers de vous présenter la mise à jour avec la version numéro 2.3.0. Les changements ont été implémentés sur la base du feedback et de l’analyse des besoins de nos clients et des tendances du marché. »
Ping : Carrefour Financial Services subit une cyberattaque en Espagne avec exfiltration de données clients – Libre Expression