Si vous croisez un robot-chien Unitree dans un hall d'HLM, sur un parking, un chantier, ou en train de patrouiller dans votre ville, faut que vous sachiez 2 trucs quand même : Un, n'importe qui peut le rooter en moins d'une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C'est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l'infrastructure cybersécurité du g
Cette information provient de Korben, publiée le Mon, 11 Ma. L'activité est associée aux catégories de menaces suivantes : cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Bluetooth, Chine, cve, faille de sécurité.
Les menaces de ce type touchent les organisations qui s'appuient sur des infrastructures exposées sur Internet, des services cloud ou des systèmes d'authentification accessibles aux employés. Le délai entre la divulgation publique d'une campagne et son exploitation active s'est considérablement réduit. Les équipes de sécurité qui attendent plus de 48 heures se retrouvent régulièrement à gérer des incidents qui auraient pu être évités.
Connaître la surface d'attaque de votre organisation est la première ligne de défense. On ne peut pas protéger ce qu'on n'a pas cartographié.
Les organisations disposant de services exposés sur Internet, notamment dans les secteurs financier, des infrastructures critiques et des logiciels d'entreprise, sont les cibles prioritaires de ce type de campagnes. Les techniques impliquées ne sont pas spécifiques à un secteur. Toute organisation disposant de points d'authentification exposés ou d'actifs externes non surveillés est une cible potentielle. Les catégories de menaces concernées (cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Bluetooth, Chine, cve, faille de sécurité) figurent parmi les plus actives actuellement.
Commencez par les indicateurs de compromission ci-dessus. Vérifiez-les dans vos outils de détection endpoint, journaux pare-feu et SIEM. Si vous trouvez une correspondance, isolez immédiatement le système concerné. L'absence de correspondance ne confirme pas que vous n'êtes pas affecté : cela signifie que les indicateurs connus n'ont pas été trouvés. L'analyse comportementale est l'étape suivante.
Fermez les services qui ne devraient pas être accessibles publiquement, renouvelez les identifiants potentiellement compromis et imposez l'authentification multifacteur sur tous les accès externes. Ces mesures prennent quelques heures et réduisent l'exposition à un large éventail de campagnes actives.
Oui. Les catégories de menaces impliquées (cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Bluetooth, Chine, cve, faille de sécurité) sont des techniques polyvalentes utilisées dans tous les secteurs. Toute organisation n'ayant pas revu ses défenses contre ces catégories spécifiques au cours des 90 derniers jours devrait le faire.
Les campagnes nouvelles aujourd'hui exploitent activement des organisations vulnérables dans les 24 à 72 heures suivant leur divulgation. Les révisions hebdomadaires sont le minimum. Une surveillance automatisée en temps réel donne à votre équipe l'avance nécessaire pour agir avant que l'exploitation ne commence.
