De faux recruteurs piègent des employés de l’aérospatiale avec un défi de code malveillant
(welivesecurity.com)- Des employés d’une entreprise aérospatiale espagnole ont été contactés sur LinkedIn par Lazarus, qui se faisait passer pour des recruteurs de Meta ; l’intrusion initiale a commencé lorsqu’ils ont exécuté sur des appareils de l’entreprise des fichiers présentés comme des tests de recrutement
- Le faux exercice a été livré sous la forme de
Quiz1.exeetQuiz2.exe; après avoir affiché “Hello, World!” et la suite de Fibonacci, ils déclenchaient l’installation de charges utiles supplémentaires depuis des images ISO - Après l’intrusion, NickelLoader, miniBlindingCan et un nouveau RAT, LightlessCan, ont été déployés via chargement latéral de DLL ; ESET attribue avec un haut niveau de confiance cette activité de Lazarus à Operation DreamJob
- LightlessCan semble être le successeur de BlindingCan et reproduit en interne des commandes Windows comme
ipconfig,net,ping,systeminfoetsc, afin de réduire les traces d’exécution dans la console - L’objectif de l’attaque était le cyberespionnage, et l’intégration directe des commandes ainsi que des garde-fous d’exécution qui ne permettent le déchiffrement que sur la machine de la victime compliquent davantage la détection en temps réel et l’analyse forensique a posteriori
Intrusion initiale amorcée par un appât de recrutement sur LinkedIn
- Lazarus a contacté plusieurs employés d’une entreprise aérospatiale espagnole via LinkedIn Messaging
- Les attaquants se faisaient passer pour des recruteurs de Meta, maison mère de Facebook, Instagram et WhatsApp
- Ils utilisaient comme prétexte une demande de preuve de compétences en programmation C++, présentée comme une étape du processus de recrutement
- Les victimes ont téléchargé
Quiz1.isoetQuiz2.isohébergés sur un stockage cloud tiers, puis ont exécuté les fichiers qu’ils contenaient sur des appareils de l’entrepriseQuiz1.exe: déguisé en exercice simple affichant “Hello, World!”Quiz2.exe: déguisé en exercice affichant la suite de Fibonacci jusqu’au plus grand élément inférieur à la valeur saisie- Les deux exécutables traitaient l’entrée et la sortie comme de véritables applications console, puis lançaient l’installation de charges utiles malveillantes supplémentaires
- La première charge utile est un téléchargeur HTTP(S) baptisé NickelLoader par ESET
- NickelLoader peut déployer en mémoire sur l’ordinateur de la victime les programmes souhaités par les attaquants
Éléments d’attribution à Lazarus et Operation DreamJob
- ESET attribue avec un haut niveau de confiance cette attaque en Espagne à Lazarus, en particulier à des activités liées à Operation DreamJob
- Les malwares, l’infrastructure et les cibles recoupent de précédentes campagnes de Lazarus
- La méthode consistant à contacter les cibles sur LinkedIn puis à les pousser à exécuter un fichier malveillant déguisé en test de recrutement est une tactique utilisée par Lazarus depuis Operation DreamJob
- Une nouvelle variante du chargeur intermédiaire et de la famille de portes dérobées BlindingCan observée dans un cas néerlandais en 2022 a été repérée
- Les outils utilisent les chiffrements AES-128 et RC6 avec des clés de 256 bits, un procédé déjà vu dans une campagne sur le thème d’Amazon
- Plutôt que de monter directement des serveurs C&C de premier niveau, les attaquants ont compromis des sites web existants, peu sécurisés ou mal maintenus, pour les utiliser
- Le vol de savoir-faire d’une entreprise aérospatiale correspond aux objectifs de long terme de Lazarus
- Des rapports de l’ONU indiquent que des groupes APT liés à la Corée du Nord ciblent des entreprises aérospatiales pour accéder à des technologies sensibles et à des connaissances du secteur
Outillage déployé après l’intrusion
- Après l’exécution de NickelLoader, les attaquants ont déployé deux types de RAT sur le système de la victime
- miniBlindingCan : variante allégée de la porte dérobée BlindingCan, connue comme outil de Lazarus
- LightlessCan : nouveau RAT qui n’avait pas été documenté publiquement
- La chaîne d’exécution comprend plusieurs étapes de complexité variable, avec des droppers et des loaders placés avant l’exécution finale du RAT
- Les droppers contiennent des charges utiles intégrées et peuvent les charger et les exécuter directement en mémoire sans nécessairement écrire sur le système de fichiers
- Les loaders chargent les charges utiles depuis le système de fichiers sans tableau chiffré embarqué
- Les principaux fichiers reposent pour la plupart sur un schéma de DLL side-loading où un exécutable légitime charge une DLL malveillante
PresentationHost.exe+mscoree.dll: basé sur une version troyanisée de NppyPluginDll, livre NickelLoadercolorcpl.exe+colorui.dll: basé sur LibreSSL 2.6.5, livre miniBlindingCanfixmapi.exe+mapistub.dll: basé sur Lua plugin 1.4.0.0 pour Notepad++, livre LightlessCantabcal.exe+HID.dll: basé sur MZC8051 3.2 pour Notepad++, livre LightlessCan
Principales caractéristiques de LightlessCan
- LightlessCan semble être le successeur de BlindingCan, le RAT HTTP(S) de Lazarus, et son numéro de version interne actuel est
1.0 - Il est conçu pour prendre en charge jusqu’à 68 commandes, dont 43 sont effectivement implémentées dans la version actuelle
- Les autres existent sous forme d’emplacements réservés, sans fonctionnalité réelle
- L’ordre des commandes partagées a été largement conservé, ce qui laisse penser à une base de code issue de BlindingCan
- Le changement majeur est la reproduction en interne de nombreuses commandes natives de Windows
- Exemples de commandes implémentées :
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdir, etc. - Dans de précédentes attaques de Lazarus, ces commandes étaient souvent exécutées à plusieurs reprises dans une console une fois l’accès obtenu sur le système
- Cette approche les traite directement dans le RAT sans lancer visiblement les utilitaires console d’origine, ce qui complique la détection par la surveillance temps réel comme les EDR ainsi que par les outils de forensic numérique a posteriori
- Exemples de commandes implémentées :
- ESET estime probable que les développeurs de LightlessCan aient fait de la rétro-ingénierie sur des binaires propriétaires pour imiter des utilitaires essentiels de Windows
- Le projet Wine contient des implémentations de plusieurs programmes, mais certaines fonctions reproduites par LightlessCan diffèrent de Wine ou n’y existent pas
Chaîne d’intrusion de NickelLoader
- NickelLoader est un téléchargeur HTTP(S) exécuté sur les systèmes infectés et utilisé ensuite pour livrer d’autres charges utiles de Lazarus
- Lorsque la victime lance manuellement l’exécutable du quiz,
PresentationHost.exes’exécute automatiquement et la DLL malveillantemscoree.dll, située dans le même cheminC:\ProgramShared\, est chargée latéralementmscoree.dllest un fichier troyanisé à partir deNppyPluginDll.dlldu projet désactivé en 2011 General Python Plugins DLL for Notepad++- Il contient les exports du
mscoree.dlllégitime ainsi que ceux duNppyPluginDll.dlld’origine, et du code malveillant est placé dans l’exportCorExitProcess
- Le déchiffrement du tableau chiffré embarqué nécessite trois mots-clés de 16 caractères
- Le nom du processus parent
PresentationHost - Le paramètre interne codé en dur dans le binaire
9zCnQP6o78753qg8 - Le paramètre externe transmis en ligne de commande
‑embeddingObject - Les trois mots-clés sont combinés par XOR octet par octet pour former la clé de déchiffrement AES-128
- Le nom du processus parent
- NickelLoader reconnaît quatre commandes de 5 lettres
abcde: demande immédiatement la commande suivante sans longue temporisation de sleep classiqueavdrq: charge la DLL du tampon reçu et exécute l’export codé en durinfogabnc: charge la DLL du tampon reçudcrqv: se termine lui-même
- ESET a nommé cette charge utile NickelLoader en référence à la structure en commandes de 5 lettres, qui lui a rappelé le surnom de la pièce américaine de 5 cents, le nickel
Chaîne d’exécution de miniBlindingCan
- L’une des charges utiles téléchargées puis exécutées par NickelLoader est miniBlindingCan
- Il s’agit d’une version simplifiée du RAT BlindingCan, signalée pour la première fois en septembre 2022 par Mandiant sous le nom AIRDRY.V2
- Le chargement utilise le
colorcpl.exelégitime exécuté depuisC:\ProgramData\Adobe\et la DLL malveillantecolorui.dllcolorui.dllest une DLL malveillante 64 bits obfusquée avec VMProtect- Elle contient des milliers d’exports, et
LaunchColorCplgère l’exécution de l’étape suivante
- Le dropper utilise dès le début des fonctions d’évasion de l’analyse
- Il effectue de l’anti-debugging en vérifiant la valeur
BeingDebuggedde la structure PEB - Il utilise des techniques anti-sandbox pour éviter la détection en environnement sandbox
- Il vérifie explicitement si le processus parent est
colorcpl.exe, sinon il se termine immédiatement
- Il effectue de l’anti-debugging en vérifiant la valeur
- Le déchiffrement de la charge utile finale utilise comme clé XOR une longue chaîne obtenue en concaténant le nom du processus parent, le nom du fichier dropper et le paramètre externe de la ligne de commande
- Exemple de chaîne résultante :
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
- Exemple de chaîne résultante :
- miniBlindingCan possède une logique de traitement des commandes similaire à celle de BlindingCan, mais avec des fonctions fortement réduites
- Il prend en charge l’envoi d’informations système, la mise à jour de l’intervalle de communication, l’envoi et la mise à jour de configuration, le téléchargement et le déchiffrement de fichiers, ainsi que l’exécution de shellcode transmis
- La configuration déchiffrée fait 9 392 octets et contient 5 URL d’une taille maximale de 260 caractères wide chacune
Chaîne d’exécution simple de LightlessCan
- La chaîne simple de LightlessCan utilise le
fixmapi.exelégitime exécuté depuisC:\ProgramData\Oracle\Java\et la DLL malveillantemapistub.dll mapistub.dllest une DLL troyanisée à partir de Lua plugin 1.4 pour Notepad++- Les exports du
mapi32.dlllégitime de Windows y ont été copiés - L’export
FixMAPIse charge du déchiffrement et du chargement de l’étape suivante - Les autres exports sont remplis avec du code légitime provenant d’un projet d’exemple public MineSweeper
- Les exports du
- Ce dropper met en place la persistance via une tâche planifiée
- ESET précise manquer de détails sur cette tâche, mais indique que le processus parent apparaît comme
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
- ESET précise manquer de détails sur cette tâche, mais indique que le processus parent apparaît comme
- Le déchiffrement des données embarquées utilise trois mots-clés
- Le nom du processus parent
fixmapi.exe - Le paramètre interne
IP7pdINfE9uMz63n - Le paramètre externe de la ligne de commande
AudioEndpointBuilder - Les mots-clés sont combinés par XOR octet par octet, et le résultat devient une clé AES 128 bits
- Le nom du processus parent
Chaîne d’exécution complexe de LightlessCan et garde-fous d’exécution
- La chaîne plus complexe de LightlessCan comprend une application légitime, un dropper initial, un dropper complet, un dropper intermédiaire, un fichier de configuration, un fichier d’informations système, un loader intermédiaire et le RAT LightlessCan final
- Le dropper initial est la DLL malveillante
HID.dll, chargée latéralement par letabcal.exelégitime exécuté depuisC:\ProgramData\Adobe\ARM\HID.dllest un fichier troyanisé à partir deMZC8051.dlldu projet plugin compilateur C 8051 pour Notepad++- L’export
HidD_GetHidGuidse charge de déposer l’étape suivante
- La première étape de déchiffrement nécessite trois mots-clés
- Le nom du processus parent
tabcal.exe - Le paramètre interne
9zCnQP6o78753qg8 - Le contenu du fichier
%WINDOWS%\system32\thumbs.db, à savoirLocalServiceNetworkRestricted - Les trois valeurs sont combinées par XOR pour produire une clé AES 128 bits
- Le nom du processus parent
- Le dropper complet généré possède une ressource InternalName appelée
AppResolver.dllet contient deux tableaux de données chiffrées- Un petit tableau de 126 octets et un grand tableau de 1 807 464 octets
- Le petit tableau est déchiffré avec RC6 à l’aide d’une clé de 256 bits pour produire les chemins
C:\windows\system32\oci.dlletC:\windows\system32\grpedit.dat - Le résultat du déchiffrement du grand tableau contient LightlessCan, un dropper intermédiaire, et un fichier de configuration chiffré de 14 948 octets déposé sous
%WINDOWS%\System32\wlansvc.cpl
- Le dropper complet enregistre plusieurs caractéristiques identifiant le système infecté dans
%WINDOWS%\System32\4F59FB87DF2F- Les valeurs proviennent principalement du chemin de registre
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS - Elles incluent
SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductName, ainsi que la valeurIdentifiersous le contrôleur de disque - La chaîne résultant de la concaténation de ces valeurs est nécessaire pour déchiffrer
grpedit.dat, stocké de manière chiffrée sur le système de fichiers
- Les valeurs proviennent principalement du chemin de registre
- Cette structure agit comme des garde-fous d’exécution
- Elle garantit que la charge utile ne peut être déchiffrée que sur l’ordinateur visé, ce qui complique le déchiffrement sur d’autres machines utilisées par des chercheurs en sécurité
Évasion de la détection et impact sur l’analyse
- LightlessCan peut fortement réduire les traces d’exécution des programmes en ligne de commande Windows couramment utilisés dans les phases post-compromission
- Il remplace les fonctions de commande par des implémentations internes afin d’éviter l’exécution des utilitaires console d’origine
- Cela diminue les traces observables dans la journalisation des commandes et dans la détection en temps réel
- L’ensemble de la chaîne d’attaque combine plusieurs techniques d’évasion des défenses
- DLL side-loading
- Obfuscation VMProtect
- Résolution dynamique des API Windows
- Charges utiles embarquées
- Injection réfléchie de DLL
- Injection de processus
- Évasion face aux débogueurs et aux sandbox
- Outils et configurations chiffrés sur le système de fichiers
- Les communications C&C sont elles aussi conçues pour compliquer l’analyse et la détection
- LightlessCan et miniBlindingCan communiquent avec le C&C en HTTP/HTTPS
- Le trafic C&C est chiffré en AES-128
- Un encodage en base64 est utilisé pour le trafic
- LightlessCan dispose également de capacités d’exfiltration et peut envoyer des données vers le serveur C&C
Résumé des IoC et de MITRE ATT&CK
- Principaux IoC des fichiers initiaux
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, dropper initial déguisé en défi “Hello World”38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, dropper initial déguisé en défi sur la suite de FibonacciC136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, dropper de NickelLoaderE61672B23DBD03FE3B97EE469FA0895ED1F9185D: téléchargeur HTTPS NickelLoader
- Principaux IoC de fichiers liés à LightlessCan
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper de LightlessCanC7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan déposé parmapistub.dllE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper initial de la chaîne complexe3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, LightlessCan déposé dans la chaîne complexe247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, dropper intermédiaire
- Le C&C utilise des sites légitimes compromis
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- Selon MITRE ATT&CK, cela se mappe à la reconnaissance sur réseaux sociaux, aux liens et services de spear phishing, à l’exécution de fichiers malveillants par l’utilisateur, aux tâches planifiées, au DLL side-loading, aux garde-fous d’exécution, à l’affaiblissement de la journalisation de l’historique des commandes, au C&C via protocoles web, aux canaux chiffrés symétriques et à l’exfiltration via le canal C2
1 commentaires
Commentaires sur Hacker News
S’introduire via un exercice LeetCode à faire chez soi, c’est malin
Je développe des logiciels Apple, et les projets Xcode peuvent aller assez loin. Apple affiche bien un avertissement quand on ouvre un projet téléchargé, mais si l’on pense qu’il s’agit d’un exercice à faire chez soi, on a tendance à l’ignorer
Les exercices en ligne peuvent aussi demander des droits d’accès délicats, et ces personnes ont probablement des droits assez élevés sur les actifs clés de l’entreprise. Bien sûr, personne n’utiliserait les ressources de l’entreprise pour chercher un emploi, mais si cela arrive assez souvent, tout le monde ici réagit avec beaucoup de prudence
Un candidat n’a même pas réussi à lancer le REPL de son propre projet et, après avoir galéré, a marmonné : « j’aurais dû simplement utiliser l’ordinateur de l’entreprise ». Le fait qu’il ne puisse même pas exécuter le strict minimum sur son ordinateur personnel signifiait qu’il avait fait l’exercice sur l’ordinateur de l’entreprise
Il faut tenir compte du fait qu’en 1996, les adresses e-mail personnelles n’étaient pas aussi courantes qu’aujourd’hui, mais c’était tout de même une erreur de débutant. Depuis longtemps, je respecte le principe de ne pas faire d’affaires personnelles sur l’ordinateur de l’entreprise, mais ce n’était pas une attitude répandue
Ce n’est probablement pas une solution parfaite, mais ce serait bien de pouvoir ouvrir un projet dans un mode où toutes les étapes de build s’exécutent dans une sandbox. Si ça échoue, il suffit de regarder ce qu’il essayait de faire
Honnêtement, je ne pense pas que la plupart de mes collègues fassent le même niveau de due diligence
Je suis toujours surpris quand je vois des gens faire des exercices à domicile, répondre à des e-mails de chasseurs de têtes ou prendre des appels d’entretien pour d’autres entreprises avec le matériel de leur entreprise actuelle
Beaucoup de gens disent le faire, mais je ne comprends pas. Les conséquences potentielles sont trop nombreuses. Un manager trop zélé a même déjà convaincu un futur employeur, via ses contacts personnels, de ne pas m’embaucher, simplement parce qu’il l’avait découvert
Même si c’est contraire à l’éthique ou illégal, ce genre de choses arrive réellement, y compris dans de grandes entreprises tech. L’idée de partager volontairement avec son employeur les détails de sa recherche d’emploi me paraît étrange. Le travail et la vie privée devraient être séparés comme l’Église et l’État, non ?
Ce sont des développeurs logiciels, et ils ont largement les moyens d’acheter un portable. Le maximum que je me permette de mélanger, c’est regarder des vidéos YouTube inoffensives en faisant la vaisselle sur le petit portable de l’entreprise, léger et compatible Bluetooth. Avant, il m’arrivait aussi de l’utiliser pour imprimer au bureau
Je suis totalement d’accord sur le fait que le risque est important et qu’il ne faut pas le faire, mais si les gens n’y réfléchissent pas vraiment ou ne restent pas constamment vigilants, cela peut tout à fait arriver
Je ne vois pas pourquoi ajouter un risque inutile. Peut-être qu’ils aiment cette montée d’adrénaline
La victime a-t-elle reçu un fichier .exe sous prétexte qu’elle devait répliquer une fonctionnalité en C++ ? Dès que quelqu’un vous envoie un fichier .exe, cela devrait être un signal fort qu’il s’agit d’une attaque, ou au moins que l’expéditeur est d’une incompétence technique difficile à croire
Cela dit, c’est peut-être parce que j’ai connu l’époque de Windows 95. Certaines leçons semblent devoir être réapprises par chaque génération
On ne sait pas combien de personnes ont reçu un test bizarre et ont répondu : « dans ce cas, je ne le ferai pas ». De nos jours, il est assez facile d’exécuter des applications dans une sandbox, et ne pas le faire est stupide. Sandboxie est gratuit et ne garantit pas toujours que tout fonctionne, mais il aurait pu réussir, ou au moins rendre visibles des comportements étranges. Windows Pro a aussi eu pendant un certain temps une option dans le menu contextuel pour exécuter des exécutables dans une sandbox
En voyant le titre, j’ai d’abord cru à une infection via l’IDE. Les questions du type « faites-vous confiance à l’auteur de ce projet ? » existent pour une raison, et dans le cas de VS Code, des astuces de configuration Git permettent même d’exécuter du code avant l’invite
Je serais prudent avant d’exécuter un programme, mais si un recruteur m’envoyait un exercice de code sous la forme d’un projet inachevé dans un dépôt Git, je serais susceptible de cliquer sur le bouton « autoriser l’exécution du code ». Surtout si, lors d’un entretien à distance, on regarde le code en direct en disant vouloir « voir mon approche du problème ». L’attaque actuelle est très basique, mais il ne serait pas difficile de rendre l’infection initiale difficile à détecter à temps
Faire télécharger ou exécuter une pièce jointe exécutable est simple, mais semble rester efficace. Une méthode plus vicieuse et efficace consisterait à pointer vers un dépôt GitHub contenant le projet « exercice », puis à faire en sorte que, lorsque la victime teste sa solution, elle référence un paquet compromis qui fait ce que l’attaquant veut
Je sais que ce ne sont pas de simples script kiddies, mais je serais curieux de voir comment ils réagiraient à une tentative de contre-attaque. S’ils me donnent un .exe et me disent de l’exécuter, je ne l’exécuterai pas : je l’ouvrirai dans un éditeur hexadécimal pour l’inspecter. Si un fichier qui prétend être un « hello world » ou un générateur de Fibonacci est beaucoup plus gros que prévu, ou contient des données qui semblent chiffrées ou des tentatives d’obfuscation, je ne l’exécute pas
Si l’on peut verrouiller le code source et faire varier les détails pour chaque candidat, les solutions publiées en ligne ne servent à rien
Quand je faisais du consulting pour des programmes gouvernementaux, j’évitais délibérément de mettre mon CV en ligne
Je n’avais pas d’accès qui aurait pu intéresser un espion, mais avec certains mots-clés, ça pouvait en donner l’impression. Un peu comme ces recruteurs qui spamment tous ceux qui ressortent dans une recherche par mots-clés sur LinkedIn
Je savais qu’il fallait signaler tout incident de sécurité, et je me disais que mes contrats et mes revenus pourraient s’arrêter le temps qu’une bureaucratie prudente traite l’incident. J’ai donc supprimé mon CV en ligne et pris des mesures pour qu’un voleur au hasard ne puisse pas voler par erreur mon ordinateur portable de travail
Maintenant que j’ai quitté ce poste, je profite comme tout le monde du spam de recrutement pour des postes du genre Junior Python Leetcode Hazing Engineer sur LinkedIn
Dans certains métiers ou secteurs, ne pas rendre public son emploi peut être une mesure de sécurité ordinaire pour éviter les attaques ciblées. Dans le monde réel, les agents de la CIA ne se promènent probablement pas à l’étranger en distribuant des cartes de visite avec le tampon de la CIA
Moi aussi, j’aimerais que certaines personnes ne sachent pas où je travaille, mais je pense qu’on peut très bien laisser en ligne un ancien CV qui ne mentionne pas son employeur actuel. J’ai aussi demandé à la responsable RH de faire en sorte que mon nom n’apparaisse jamais sur la page publique « notre équipe »
Effet secondaire : je rigole à chaque formation obligatoire de sécurité en entreprise qui explique comment réagir aux attaques ciblées et montre des exemples d’e-mails de phishing. Jusqu’ici, à part les tests de sociétés de pentest, je n’ai jamais reçu le moindre phishing ciblé
Quel idiot fait des trucs personnels sur du matériel de l’entreprise ?
Je ne parle pas des gens pauvres, mais de ceux qui ont largement les moyens d’acheter leur propre matériel
Mon ordinateur personnel est une sorte de radiateur capable de faire tourner des jeux vidéo, donc je ne l’utilise pas par défaut. Je pourrais me permettre un troisième appareil, mais j’ai mieux à faire de cet argent
Bien sûr, j’essaie de respecter les règles de sécurité de l’entreprise. Je fais confiance à mon employeur. Je n’ai pas envie de travailler pour une entreprise à qui je ne pourrais pas confier mes cookies de navigateur. Et dans la juridiction où je vis, la loi est aussi de mon côté. Une entreprise ne peut pas me licencier simplement parce que j’ai fait sur son portable quelque chose qui ne lui plaît pas ; il lui faut une très bonne raison
Quand j’étais stagiaire étudiant et beaucoup plus pauvre, j’ai fait la même chose
Je ne me connecte pas à mes comptes, mais regarder des films sur le portable de travail, ça me va très bien
Dans ce cas, la victime travaillait dans l’aérospatiale. Je connais un peu des gens de ce secteur, et ils travaillent tous des horaires absurdes. En plus, c’était une entreprise espagnole, donc faire plus de 10 heures par jour pouvait être considéré comme normal
Sujet un peu différent, mais si les Nord-Coréens n’ont quasiment pas accès à Internet avant de devenir employés du gouvernement, je me demande comment Lazarus/HIDDEN COBRA peut être un acteur étatique aussi sophistiqué
Sans accès à la recherche moderne en sécurité, aux projets open source, aux ressources de programmation et aux malwares réellement diffusés, il me semble difficile de former une génération de hackers brillants. Peut-être qu’ils arrêtent les gens qui contournent le pare-feu et leur proposent un poste dans une unité
Et je me demande aussi comment tu imagines qu’on forme des hackers. Il ne suffit pas de leur apprendre à créer une appli de tâches avec une nightly build de React. Ils connaissent probablement Ethernet et la pile TCP/IP mieux que les gens qui les ont créés, au point de pouvoir les réciter à l’envers, et ça suffit déjà pour hacker beaucoup de choses
Dans un pays où beaucoup de choses manquent, comme la nourriture et l’électricité, c’est un métier très convoité. Pour en savoir plus, il suffit d’écouter le podcast Lazarus Heist
Dans ma région, sur 300 agences de placement, seules 23 ont réellement l’autorisation légale d’opérer comme service, donc ça ne me surprend pas
Vérifier lesquelles sont fausses et lesquelles sont réelles, c’est un fil que la plupart des entreprises et des candidats n’ont pas vraiment envie de tirer
Il existe aussi des arnaques au faux recrutement. Elles consistent à attirer un employé avec une offre de rémunération alléchante, puis un concurrent récupère des données et le pousse dehors avant la fin de la période d’évaluation, généralement en 6 à 10 mois. Plusieurs acteurs malveillants diffusent aussi des PDF infectés avec des promesses exagérées
Il faut être prudent, et 86Box prend en charge les images de backing en lecture seule et les sessions, comme Bochs/kvm : https://github.com/86Box/86Box/releases
Ça fonctionne aussi sur les portables Apple M1, mais c’est lent
Ce genre de mauvaise chose arrive vraiment
En 2019, mon portable a été piraté via le Wi-Fi gratuit fourni par le siège, et j’ai dû remplacer toutes mes clés SSH
« Deux exécutables malveillants… le premier est un projet Hello World… le second affiche la suite de Fibonacci jusqu’au plus grand élément inférieur à l’entrée » : ça aurait dû être le premier signe que quelque chose clochait
Chez Meta, ils auraient commencé par du LeetCode medium ou hard
La sécurité de ce site est fantastique
Ils ont empêché l’utilisation des touches fléchées pour faire défiler le contenu de la page. C’est sûrement à cause d’un vecteur d’attaque inconnu via le clavier. Magnifique