COVID-19 : VEILLE CYBERSÉCURITÉ #1 – 20 mars 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • d’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • de partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • de mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories : Menaces, Fraudes, Ressources utiles et Autres actualités.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Menaces 

Attaque : Corona-virus-Map.com.exe
Procédé : Modèle du Malware AZoRult
Surface d’attaque: Carte qui diffuse en temps réel la propagation du virus
Date de publication : 03/03/2020
Description : Ce malware cible les visiteurs qui recherchent des présentations cartographiques de la propagation du COVID-19 pour voler des mots de passe et autres informations personnelles.
Lien(s) : https://blog.reasonsecurity.com/wp-content/uploads/2020/03/Threat-Analysis-Report-Corona-Virus-as-a-Malware.pdf

 

Attaque : Fausses déclarations politiques sur le nombre d’infection
Attaquants : Potentiellement le groupe TEMP.Hex
Procédé : Malware SOGU et COBALSTRIKE et utilisation d’une porte dérobée « POISONIVY »
Cibles: Vietnam, Philippines, Taiwan, Mongolie
Date de publication : 12/03/2020
Description : Envois de pièces jointes malveillantes contenant des informations sur les cas de contaminations par le COVID-19.
Lien(s) : https://www.technologyreview.com/s/615346/chinese-hackers-and-others-are-exploiting-coronavirus-fears-for-cyberespionage/
https://www.globalsecuritymag.fr/FireEye-constate-une,20200313,96630.html

 

Attaque : Malware sur Microsoft office
Procédé : Malware, phishing, porte dérobée
Surface d’attaque : Microsoft Office
Date de publication : 20/02/2020
Description : Diffusion d’un document Microsoft Office de trois pages sur le thème des coronavirus censé provenir du centre de santé publique du ministère de santé ukrainien.
Lien(s) : https://media.cert.europa.eu/static/MEMO/2020/TLP-WHITE-CERT-EU-THREAT-ALERT-Coronavirus-cyber-exploitation.pdf

 

Attaque : « CovidLock »
Procédé : Ransomware
Surface d’attaque : Application Android
Date de publication : 08/03/2020
Description : Le site web « coronavirusapp [.] site » prétendait fournir une application de suivi des épidémies de COVID-19 pour smartphone Android pour ensuite propager un ransomware forçant la victime à modifier son mot de passe de téléphone pour finalement accéder au contenu du téléphone.
Lien(s) : https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware
https://www.hackread.com/coronavirus-tracking-app-ransomware-scam-locks-phones-ransom/

 

Attaque : Paralysie des systèmes informatiques du Ministère de la Santé états-unien par une cyberattaque en pleine crise sanitaire
Procédé : Ransomware
Cible : Le Ministère de la Santé et des Services Sociaux américain
Date de publication : 16/03/2020
Description : Le département « U.S. Health and Human Services » soupçonne un État étranger d’être à l’origine d’une attaque à l’encontre de ses systèmes informatiques, accompagné de la diffusion de fakenews à propos des mesures prises par le gouvernement pour faire face à la propagation du coronavirus.
Lien(s) : https://www.bloomberg.com/news/articles/2020-03-16/u-s-health-agency-suffers-cyber-attack-during-covid-19-response

 

Attaque : Un communiqué prétendument officiel de l’OMS cache une campagne de phishing
Procédé : Phishing
Cible : Messagerie
Date de publication : 05/02/2020
Description : Des attaquants se faisant passer pour l’Organisation Mondiale de la Santé (OMS) profitent du COVID-19 pour hameçonner des victimes au travers d’emails contenant un lien vers un site imitant l’officiel, afin de récupérer adresses e-mails et mots de passe.
Lien(s) : https://www.who.int/about/communications/cyber-security

 

Attaque : Des hackers piègent les entreprises sous couvert de préventions Covid-19
Procédé : Phishing
Cible : L’industrie des transports, les industries lourdes, le secteur bancaire
Date de publication : 10/02/2020
Description : Un malware caché dans un e-mail ayant pour objet « Coronavirus – Consignes pour l’industrie des transports » exploite la faille CVE-2017-11882 pour extraire des données sensibles des ordinateurs piégés grâce au téléchargement du logiciel malveillant AZORult.
Lien(s) : https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/

 

Attaque : Phishing exploitant les mesures préventives contre le virus
Procédé : Phishing & malwares Emotet, Trickbot, Formbook
Cible : Messagerie
Date de publication : 13/03/2020
Description : Une recherche publiée par F-Secure note la croissance exponentielle des cyberattaques par phishing (usant des malwares Emotet, Trickbot, Formbook) exploitant les inquiétudes du grand public à propos du COVID-19 à travers des emails de prévention ou d’achat de masques chirurgicaux.
Lien(s) : https://blog.f-secure.com/coronavirus-email-attacks-evolving-as-outbreak-spreads/

 

Fraudes

Attaque : Extorsions financières sur le darknet liées au coronavirus 
Procédé : Scams
Surface/Applications : Darknet
Date de publication : 12/03/2020
Description : Recensement de plusieurs scams : fausses vaccinations, ventes de masques, solutions hydro alcooliques…
Lien(s) : https://www.darkowl.com/blog-content/coronavirus-on-the-darknet

 

Attaque : La vente de fausses attestations de déplacement dérogatoire se multiplie sur Internet
Procédé : Scams
Surface/Applications : Sites marchands frauduleux
Date de publication : 17/03/2020
Description : Suite aux annonces du Président de la République française, relatives au confinement général de la population, plusieurs sites prétendant vendre des attestions de déplacement sans limites à 5, 10 ou 100€ ont vu le jour.
Lien(s) : https://www.zataz.com/non-lattestation-de-deplacement-derogatoire-ne-coute-pas-5-10-ou-100e/

 

Ressources utiles 

Type de ressources : MISP Dashboard
Surface d’application: MISP
Date de publication : NR
Description : Tableau de bord pour suivre l’évolution du virus en direct.
Lien(s) : https://covid-19.iglocska.eu/users/login     https://twitter.com/MISPProject/status/1239864641993551873?s=03

 

Type de ressources : Liste des noms de domaine (NDD) déposés liés au nom du virus 
Date de publication : 14/03/2020
Description : Cette liste recense tous les noms de domaine déposés en lien avec le virus (actualisation toutes les minutes).
Lien(s) : https://twitter.com/dustyfresh/status/1238925029057925122
https://1984.sh/covid19-domains-feed.txt

 

Type de ressources : SANS Security Awareness publie un kit gratuit pour sécuriser le télétravail
Cible: Les employés en télétravail
Date de publication : NR
Description : Kit destiné aux entreprises recensant les procédures de sécurité qui s’appliquent au télétravail, et une feuille de route pour les particuliers.
Lien(s) : https://www.sans.org/security-awareness-training/sans-security-awareness-work-home-deployment-kit

 

Type de ressources : Référencement des solutions de téléconsultation et de télésuivi pour la prise en charge des patients atteints de COVID-19
Cible: Médecins, infirmières et personnels soignants
Date de publication : 18/03/2020
Description : Tableau de référence qui accompagne le personnel soignant dans le choix d’une solution de télétravail avec, pour chacune, les fonctionnalités proposées et le niveau de sécurité garanti. Cette liste a été établie par les éditeurs de solutions eux-mêmes.
Lien(s) : https://esante.gouv.fr/actualites/solutions-teleconsultation

 

Autres actualités 

Pays : Chine
Sujet: Une entreprise chinoise modifie son IA pour reconnaître les citoyens portant des masques
Date de publication : 11/03/2020
Description : Le port généralisé du masque chirurgical en Chine face à l’épidémie du COVID-19 pose problème aux logiciels de reconnaissance faciale utilisés par l’État ; une entreprise aurait entraîné son IA à y remédier.
Lien(s) : https://cyberguerre.numerama.com/3797-coronavirus-une-entreprise-chinoise-a-modifie-son-ia-pour-reconnaitre-les-citoyens-portant-des-masques.html

 

Pays : Israël
Sujet: Surveillance électronique de masse pour endiguer le COVID-19
Date de publication : 17/03/2020
Description : Le gouvernement israélien a autorisé le service de renseignement intérieur israélien a utiliser des méthodes de surveillance de masse pour traquer la localisation des téléphones portables de personnes infectées sans autorisation préalable de la justice.
Lien(s) : https://www.lemonde.fr/international/article/2020/03/17/israel-approuve-des-methodes-de-surveillance-electronique-de-masse-contre-le-coronavirus_6033390_3210.html