Press "Enter" to skip to content

Q4857

Last updated on octobre 19, 2020

no 4857
14-Oct-2020 13:35:50 PM EDT
Q !!Hs1Jq13jV6
[1]
cisa.gov/sites/default/files/publications/PSA_CyberThreats_Final-508.pdf
[2]
us-cert.cisa.gov/ncas/alerts/aa20-283a
Lisez attentivement les deux.
Q

============
MON ANALYSE
============

Q demande de bien lire et comprendre les deux documents attachés, qui sont en lien avec le post précédent, #4856. Les voici:

[1]

Annonce de service public

23 septembre 2020
Le FBI et la CISA publient ce message d’intérêt public dans le cadre d’une série sur les menaces qui pèsent sur les élections de 2020 afin de permettre au public américain d’être préparé, patient et de participer aux élections.

Les cybermenaces qui pèsent sur les processus de vote pourraient ralentir, mais n’empêcheraient pas le vote

Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) publient cette annonce pour informer le public que les tentatives des cyberacteurs de compromettre l’infrastructure électorale pourraient ralentir mais pas empêcher le vote. Le FBI et la CISA n’ont identifié aucune menace, à ce jour, capable d’empêcher les Américains de voter ou de modifier le décompte des voix pour les élections de 2020. Toutes les tentatives suivies par le FBI et la CISA sont restées localisées et ont été bloquées, minimes ou facilement atténuées.

Le FBI et la CISA ne disposent d’aucun rapport suggérant que la cyberactivité a empêché un électeur inscrit de voter, a compromis l’intégrité de tout bulletin de vote déposé ou a affecté l’exactitude des informations relatives à l’inscription des électeurs. Toutefois, même si les acteurs ont eu un tel impact, le public doit savoir que les responsables électoraux ont mis en place de multiples mesures de protection et plans – tels que des bulletins provisoires pour garantir que les électeurs inscrits puissent voter, des sauvegardes sur papier et des registres électoraux de secours – pour limiter l’impact et se remettre d’un incident cybernétique avec un minimum de perturbation du vote. Le FBI et la CISA continuent d’évaluer qu’il serait difficile de manipuler les votes à l’échelle sans être détecté.

Néanmoins, les cyberacteurs poursuivent leurs tentatives contre les systèmes électoraux qui enregistrent les électeurs ou hébergent les informations relatives à l’inscription sur les listes électorales, gèrent les processus électoraux sans vote ou fournissent des rapports non officiels le soir des élections. Ces tentatives pourraient rendre ces systèmes temporairement inaccessibles aux agents électoraux, ce qui pourrait ralentir, mais pas empêcher, le vote ou la communication des résultats.

Le FBI et la CISA continueront à répondre rapidement aux menaces potentielles, fournir des recommandations pour renforcer l’infrastructure électorale, notifier les parties prenantes des menaces et des activités d’intrusion, et imposent des risques et conséquences sur les cyber-acteurs qui cherchent à menacer les élections américaines.

Recommandations:

  • Recherchez des informations auprès de sources fiables.
  • Tenez toujours compte de la source d’information sur le vote. Posez-vous la question suivante : « Peut-on Je fais confiance à ces informations? »
  • Recherchez des informations sur les élections auprès de sources fiables, vérifiez qui a produit le contenu, et considérez leur intention. Restez attentifs à ces régimes et d’autres qui peuvent avoir une incidence sur les activités normales pratiques.
  • Pour obtenir des informations sur l’inscription sur les listes électorales, les lieux de vote, le vote par correspondance, le processus de vote provisoire et les résultats définitifs des élections, adressez-vous aux fonctionnaires électoraux des États et des collectivités locales.
  • Vérifiez auprès de sources multiples et fiables tout rapport concernant des compromis en matière d’information des électeurs ou de systèmes de vote, et envisager la recherche d’autres sources fiables avant de partager ces informations via les médias sociaux ou d’autres moyens.
  • Signalez les crimes potentiels, tels que le cyberciblage des systèmes de vote, au FBI.

Le FBI est chargé d’enquêter sur les crimes électoraux et de les poursuivre, les opérations d’influence étrangère malveillantes et le ciblage des cyberactivités malveillantes l’infrastructure électorale et les autres institutions démocratiques américaines. La CISA aide les propriétaires et les exploitants d’infrastructures essentielles, y compris ceux du milieu électoral, à rester résistants aux menaces physiques et cybernétiques. Le FBI et la CISA fournissent des services et des informations afin de préserver la sécurité, l’intégrité et la résilience des processus électoraux américains.

Déclaration des victimes et informations complémentaires

Le FBI et la CISA encouragent le public à communiquer des informations concernant des activités suspectes ou criminelles à leur bureau local du FBI (www.fbi.gov/contact-us/field). Pour une aide supplémentaire:
termes communs et les meilleures pratiques, telles que l’éducation aux médias, veuillez consulter le site les sites web suivants:

 

[2] (je ne traduit que le sommaire car le tout est hautement technique, et à mon avis, superflu pour ce que Q veut nous faire comprendre.)

Les acteurs de la menace persistante avancée (APT) qui enchaînent les vulnérabilités contre les SLTT, les infrastructures critiques et les organisations électorales.

Résumé
Ce conseil conjoint sur la cybersécurité utilise le cadre MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®). Voir le cadre ATT&CK pour l’entreprise pour toutes les techniques référencées des acteurs de la menace.

Remarque : l’analyse de ce conseil conjoint sur la cybersécurité est en cours et les informations fournies ne doivent pas être considérées comme exhaustives. L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) mettra à jour cet avis dès que de nouvelles informations seront disponibles.

Cet avis conjoint sur la cybersécurité a été rédigé par la CISA avec la contribution du Federal Bureau of Investigation (FBI).

La CISA a récemment observé des acteurs de menaces persistantes avancées (APT) exploitant de multiples vulnérabilités héritées du passé en combinaison avec une nouvelle vulnérabilité d’escalade de privilèges – CVE-2020-1472 – dans Windows Netlogon. Cette tactique communément utilisée, connue sous le nom de chaînage de vulnérabilité, exploite de multiples vulnérabilités au cours d’une seule intrusion pour compromettre un réseau ou une application.

Cette récente activité malveillante a souvent, mais pas exclusivement, été dirigée contre les réseaux des gouvernements fédéraux et des États, locaux, tribaux et territoriaux (SLTT). Bien qu’il ne semble pas que ces cibles soient choisies en raison de leur proximité avec les informations électorales, il peut y avoir un certain risque pour les informations électorales hébergées sur les réseaux gouvernementaux.

La CISA a connaissance de certains cas où cette activité a entraîné un accès non autorisé à des systèmes de soutien aux élections; cependant, la CISA n’a aucune preuve à ce jour que l’intégrité des données électorales a été compromise. Il existe des mesures que les fonctionnaires électoraux, leur personnel informatique de soutien et les fournisseurs peuvent prendre pour aider à se défendre contre cette cyberactivité malveillante.

Parmi les tactiques, techniques et procédures (TTP) couramment utilisées par les acteurs de l’APT, on peut citer l’exploitation des vulnérabilités des anciens accès au réseau et des réseaux privés virtuels (VPN) en association avec la récente vulnérabilité critique CVE-2020-1472 de Netlogon. La CISA a connaissance de plusieurs cas où la vulnérabilité VPN CVE-2018-13379 de Fortinet FortiOS Secure Socket Layer (SSL) a été exploitée pour accéder aux réseaux. Dans une moindre mesure, la CISA a également observé des acteurs de la menace exploitant la vulnérabilité MobileIron CVE-2020-15505. Si ces exploits ont été observés récemment, cette activité est en cours et se poursuit.

Après avoir obtenu un accès initial, les acteurs exploitent le CVE-2020-1472 pour compromettre tous les services d’identité de l’Active Directory (AD). Des acteurs ont ensuite été observés utilisant des outils d’accès à distance légitimes, tels que le VPN et le Remote Desktop Protocol (RDP), pour accéder à l’environnement avec les identifiants compromis. L’activité observée cible de multiples secteurs et ne se limite pas aux entités SLTT.

La CISA recommande au personnel et aux administrateurs de réseaux d’examiner les infrastructures orientées vers l’internet pour y détecter ces vulnérabilités et d’autres qui ont ou pourraient être exploitées dans un but similaire, notamment les réseaux Juniper CVE-2020-1631, Pulse Secure CVE-2019-11510, Citrix NetScaler CVE-2019-19781 et Palo Alto Networks CVE-2020-2021 (cette liste n’est pas considérée comme exhaustive).

Cliquez ici pour une version PDF de ce rapport.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-neuf − 11 =