Podcasts about pawn storm

Parce que… c'est l'épisode 0x6xx! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce deuxième épisode sur la Cyber Threat Intelligence (CTI) réunit Nicolas, Alexis Dorais-Joncas et Jordan Theodore pour approfondir les mécanismes de production et de consommation de l'intelligence sur les menaces. La conversation explore les défis techniques, organisationnels et éthiques auxquels font face les professionnels de la sécurité dans ce domaine en constante évolution. Les deux univers de la CTI Alexis établit une distinction fondamentale entre deux « clusters » dans l'écosystème de la CTI. D'un côté, les producteurs : entreprises de réponse d'incident et fournisseurs de services de cybersécurité comme CrowdStrike, Microsoft, Kaspersky ou Proofpoint, qui observent directement les attaques chez leurs clients et génèrent des rapports détaillés. De l'autre, les consommateurs : organisations qui utilisent ces rapports pour comprendre leurs risques et se protéger contre les attaques potentielles. Cette dichotomie se reflète même dans les rôles professionnels. Un analyste CTI chez un vendeur dispose d'une visibilité globale sur des milliers de clients, tandis qu'un analyste en entreprise se concentre sur son propre environnement. Les mindsets et les résultats sont fondamentalement différents, bien que les compétences de base soient similaires. L'ampleur du défi : naviguer dans l'océan de données Les chiffres partagés par Alexis illustrent l'échelle impressionnante du problème. Chez ESET, environ 300 000 fichiers exécutables malveillants ou suspects uniques arrivent chaque jour. Chez Proofpoint, ce sont 3,5 milliards d'emails quotidiens, avec 50 millions de pièces jointes et 90 millions d'URL à analyser. Face à ce déluge, les équipes de recherche doivent développer des heuristiques sophistiquées et des règles de tri pour identifier ce qui mérite une attention particulière. L'art du clustering : trouver l'aiguille dans la botte de foin Le cœur du travail de CTI réside dans la capacité à regrouper des attaques apparemment distinctes en « clusters » attribuables à un même acteur. Alexis explique que cette attribution repose sur la recherche d'éléments uniques ou de combinaisons uniques d'éléments observables. L'exemple du certificat SSL avec une coquille typographique illustre parfaitement ce concept : un seul détail peut permettre de lier des dizaines de domaines entre eux et de découvrir toute une infrastructure d'attaque. Les indicateurs utilisés pour le clustering sont multiples : similarité de code source, exploits modifiés, choix d'hébergeurs et de registraires, mais aussi des éléments plus « soft » comme le ciblage. Un professeur spécialisé sur l'Iran qui se fait soudainement cibler peut indiquer l'implication de groupes iraniens, même si les indicateurs techniques sont nouveaux. Les niveaux de confidentialité : une cascade d'information Alexis révèle que 95% ou plus de la CTI produite par les vendeurs n'est jamais rendue publique. L'information suit une cascade : d'abord partagée uniquement avec les clients directement ciblés, puis avec l'ensemble des clients payants, et enfin, pour une fraction seulement, avec le public. Cette dernière étape implique des choix délicats : révéler certains indicateurs peut aider la défense, mais aussi alerter l'attaquant et compromettre la capacité à le tracker à l'avenir. La qualité variable de la CTI secondaire Un point de frustration majeur émerge concernant la couverture médiatique et les analyses secondaires. Alexis estime que 80% de la couverture secondaire n'apporte aucune valeur ajoutée, 5% apporte une vraie perspective informée, et 10-15% est carrément nuisible en véhiculant des erreurs ou des exagérations. Cette désinformation force les analystes en entreprise à perdre des journées entières à remonter aux sources originales et à désamorcer les inquiétudes injustifiées des dirigeants. La course à la publication et ses nuances Bien qu'il existe une certaine compétition entre vendeurs pour être le premier à publier sur une nouvelle menace, Alexis nuance fortement ce phénomène. La collaboration informelle entre analystes de différentes entreprises est courante. De plus, même si un concurrent publie en premier, il reste possible d'apporter une valeur complémentaire en confirmant les découvertes depuis une perspective différente ou en ajoutant des observations uniques. L'exemple de Kaspersky et Proofpoint sur un APT illustre comment deux entreprises peuvent enrichir mutuellement la compréhension d'une menace. L'attribution : utile pour qui ? L'attribution géopolitique des attaques s'avère principalement pertinente pour les grandes organisations et les entités gouvernementales ciblées de manière spécifique. Pour la majorité des entreprises victimes d'attaques opportunistes, savoir qu'un ransomware vient de tel ou tel groupe importe peu. L'essentiel est de comprendre les techniques d'attaque et les prochaines étapes possibles. Alexis souligne qu'environ 95% des attaques ciblées chez Proofpoint touchent moins de 5 clients avec moins de 60 emails – un volume extrêmement faible qui contraste avec les attaques opportunistes massives. Le casse-tête des noms de groupes Un problème persistant dans l'industrie concerne la prolifération de noms différents pour les mêmes groupes. APT28 peut être appelé Fancy Bear, Pawn Storm, TA422, ou une quinzaine d'autres noms selon le vendeur. Cette situation s'explique par les différences de visibilité : Proofpoint observe l'infrastructure email, tandis qu'un EDR voit le comportement post-compromission. Chaque vendeur nomme ce qu'il peut observer, créant une confusion considérable pour les praticiens en réponse d'incident. Alexis confirme cependant qu'aucune pression marketing n'a jamais été exercée pour créer des noms propriétaires, et qu'il est inacceptable de renommer un groupe découvert par un autre sans l'avoir observé soi-même. Conclusion Ce podcast met en lumière la complexité et les nuances du monde de la CTI. Entre volumes de données massifs, décisions éthiques sur ce qu'il faut publier, collaboration et compétition entre acteurs, et défis d'attribution, les professionnels naviguent dans un écosystème en constante évolution. La clé réside dans la compréhension que chaque vendeur apporte une perspective unique basée sur sa visibilité spécifique, et que la véritable valeur de la CTI se trouve dans la capacité à corréler ces différentes sources pour obtenir une image complète des menaces. Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Alexis Dorais-Joncas Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

000 LANDR-CU¥A CHACHI PILONGUI IDEM LARGA 001-Balanced-Medium.wav 001 Buenos Aires.mp3 002 Voyager.mp3 003 Mi‚nteme.mp3 004 In My Head.mp3 005 MERCHO (feat. Nico Valdi).mp3 006 Havana.mp3 007 Los Tragos.mp3 008 Illusions.mp3 009 Me Enter‚.mp3 010 Diatoms.mp3 011 Un Finde CROSSOVER #2.mp3 012 On the Floor.mp3 013 Ulala.mp3 014 Don't Mind Ya Weight.mp3 015 FINDE LARGO #2 (FIESTERO).mp3 016 Inferno (Afro-Tech Mix).mp3 017 P.M.mp3 018 Never (Colyn Remix).mp3 019 Hips Don't Lie (feat. Wyclef Jean).mp3 020 Domino (Rework Edit).mp3 021 Devu‚lveme La Vida.mp3 022 Let Go of This Acid.mp3 023 CONOCERTE.mp3 024 Atomic (Radio Edit).mp3 025 Ley Seca.mp3 026 Escontria.mp3 027 Traductor.mp3 028 Oblivion.mp3 029 BEACHY.mp3 030 Djorolen (Themba's Herd Remix).mp3 031 WATATI (feat. Aldo Ranks).mp3 032 Midnight Blood.mp3 033 EL TONTO.mp3 034 Nights of the Jaguar.mp3 035 El Wey.mp3 036 Hyrde.mp3 037 Playa Del Ingl‚s.mp3 038 Ayla.mp3 039 Mon Amour (Remix).mp3 040 Sunday Song.mp3 041 Arranca (feat. Omega).mp3 042 TechMo.mp3 043 Gafas de Sol.mp3 044 Pawn Storm.mp3 045 Quiero Decirte.mp3 046 Asphyxiation.mp3 047 Me He Pillao x Ti.mp3 048 Metropolis.mp3 049 Cupido.mp3 050 Timelines.mp3 051 Los del Espacio.mp3 052 Suburban.mp3 053 mariposas.mp3 054 Radiance (Mixed).mp3 055 farfalle.mp3 056 Genuine.mp3 057 Berlin.mp3 058 Brainosauros.mp3 059 Nochentera.mp3 060 My Home.mp3 061 El Merengue.mp3 062 Foundation.mp3 063 Me Encantar¡a.mp3 064 Ghosts of Detroit.mp3 065 La Noche Perfecta.mp3 066 Why Dont You Play the B Side.mp3 067 La Bachata.mp3 068 Rebirth.mp3 069 VAGABUNDO.mp3 070 Dirty Secret.mp3 071 Formentera.mp3 072 Living In a Land.mp3 073 Quevedo_ Bzrp Music Sessions, Vol. 52.mp3 074 Golden Sky.mp3 075 Bailando Bachata.mp3 076 Dirty Darlins (Undo Remix).mp3 077 tqum.mp3 078 You're Welcome.mp3 079 Clava¡to.mp3 080 Open Eye Signal (George FitzGerald Remix).mp3 081 WHERE SHE GOES.mp3 082 Compliance (Baxton Mainstage Mix).mp3 083 CONTIGO VOY A MUERTE (feat. Camilo).mp3 084 Adapt.mp3 085 AUTOMµTICO.mp3 086 Montag.mp3 087 Correcaminos.mp3 088 Peritia.mp3 089 Perd¢n.mp3 090 Beyond the Milkyway.mp3 091 Fiera.mp3 092 Kyoshu.mp3 093 Los Cachos.mp3 094 Dark Color.mp3 095 Besos Moja2.mp3 096 Highway.mp3 097 BESO.mp3 098 Yura.mp3 099 Lagunas.mp3 100 She's Like the Wind (Original Instrumental Mix).mp3 101 Isla Desierta.mp3 102 The Secrets of Clouds (Edvard Hunger Remix).mp3 103 VISTA AL MAR.mp3 104 Satin Drone (Original Mix).mp3 105 Delincuente.mp3 106 Vooh-Maah.mp3 © DJ Jorge Gallardo © DJ Jorge Gallardo Entertainment S.L.

Depuis 2016, les pirates russes se sont invités dans les processus électoraux de plusieurs pays, sous forme de trolls et de tentatives de déstabilisations. Avec les élections canadiennes qui se pointent à l’horizon, à quoi peut-on s’attendre des pirates russes ici au pays? Est-ce que quelqu’un a pensé à nous protéger contre d’éventuelles offensives? Avec Baptiste Zapirain et Charles Trahan

В конце июля 2018 года вице-президент Microsoft, Том Берт (Tom Burt) выступил на мероприятии Aspen Security Forum, где рассказал о том, что в текущем году специалисты компании обнаружили и помогли властям США предотвратить атаки, направленные как минимум против трех кандидатов в Конгресс. Ответственность за эти атаки, предположительно, лежит на российских «правительственных хакерах». Дело в том, что осенью 2018 года в США пройдут так называемые «промежуточные выборы» — это выборы в Сенат и Палату представителей, а также губернаторские выборы в ряде штатов. Теперь, спустя месяц, представители Microsoft заявили, что раскрыли еще одну попытку вмешательства в грядущие выборы. На этот раз компании удалось обнаружить готовящуюся фишинговую кампанию, за которой якобы стояли работающие на ГРУ хакеры из группировки APT28, также известной под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit и Tsar Team. Президент Microsoft Брэд Смит (Brad Smith) сообщил, что сотрудники Digital Crimes Unit выполнили предписание суда и перехватили управление шестью доменами, созданными группировкой: my-iri.org; hudsonorg-my-sharepoint.com; senate.group; adfs-senate.services; adfs-senate.email; office365-onedrive.com. Первый и второй домены пытаются имитировать настоящие домены Международного республиканского института и Института Хадсона. Еще три домена — это попытка подделать различные ресурсы, связанные с ИТ-инфраструктурой Сената. Предполагается, что все они должны были стать частью узконаправленных фишингововых кампаний, хотя конкретные цели хакеров идентифицировать не удалось, и злоумышленники так и не успели воспользоваться доменами по назначению. Смит сообщает, что за последние два года Microsoft «закрыла» уже 84 домена, так или иначе связанных с APT28 и фальшивыми сайтами, создаваемыми группой. Нужно отметить, что каких-либо доказательств и технических подробностей заявление Microsoft не содержит. Специалисты ограничиваются общими словами о том, что схема действий хакеров зеркально повторяет паттерны, которые ранее наблюдались во время атак на президентские выборы в США в 2016 году и прошлогодние президентские выборы во Франции. Обвинения Microsoft уже прокомментировали представители МИД РФ и пресс-секретарь президента РФ Дмитрий Песков. «Мы не знаем, о каких хакерах говорится [в заявлении компании], в чем заключается влияние на выборы, — заявил Песков. — Из Америки мы слышим подтверждения о том, что никакого влияния на выборы не было. О ком именно идет речь? Что является доказательствами и на основании чего делаются выводы вот такой категории — мы не понимаем. Такие данные отсутствуют. Соответственно мы к таким утверждениям и относимся». «Жаль, что крупной международной компании, к тому же давно, активно и успешно работающей на российском рынке, приходится участвовать в захватившей Вашингтон охоте на ведьм,— говорится в сообщении Министерства иностранных дел. — Это их выбор. Нам же придется сделать необходимые выводы».

In today's podcast, we follow the story of Fancy Bear (a.k.a. Pawn Storm, a.k.a. APT28) and France's elections. Why clever phishing continues to succeed, and what's up with 0Auth abuse. Information operations distinguished from simple "hacking." Another point-of-sale compromise suggests identity management issues. The University of Maryland's Jonathan Katz explains a JSON encryption vulnerability. Stan Black from Citrix explains the pros and cons of the IoT. And can hackers really blow up a submarine by driving their car fast and furiously? You be the judge.

In today's podcast we discuss a warning from US-CERT and Onapsis against some old but active SAP vulnerabilities. Pawn Storm is back, and active against German political targets. DDoS-for-hire is proving lucrative, as is ransomware. Joe Carrigan from Johns Hopkins University Information Security Institute explains what you should do when you get suspicious-looking email. IBM speaks with us about their cyber security plans for their Watson AI.

Daily: Looking back at RSA. "Transparent Tribe" and "Pawn Storm" expand target sets. Mac ransomware found, blocked. Apple's amici. Plus, Jonathan Katz from the University of Maryland on SSL browser security and Jay Botelho from Savvius on their Vigil 2.0 packet capture tool.