COVID-19 : VEILLE CYBERSÉCURITÉ #4 – 9 Avril 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le malware COVID-19.exe

Attaque : Un malware “COVID-19” efface les données de votre PC et réécrit votre MBR
Procédé : Réécriture du Master Boot Record 
Cible : Master Boot Record 
Date de publication : 31/03/2020
Lien(s) : https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/

Des chercheurs en sécurité informatique connus sous le nom MalwareHunterTeam ont récemment découvert un logiciel malveillant « COVID-19.exe » qui s’attaque à l’intégrité de votre ordinateur en modifiant le MBR. Le MBR pour « Master Boot Record » est le premier secteur d’un disque dur sur lequel se trouve, entre autres, une routine d’amorçage dont le but est de charger le système d’exploitation. Le MBR est utilisé dans les toutes premières étapes de démarrage pour lancer un système d’exploitation tel que Microsoft Windows par exemple.

Lors de l’exécution de ce malware, plusieurs fichiers sont d’abord placés dans un dossier temporaire, le temps pour le malware de créer un dossier caché appelé « COVID-19 ». Ensuite les fichiers sont alors déplacés dans ce tout nouveau répertoire. L’étape de compromission peut alors démarrer par l’exécution du fichier « coronavirus.bat » qui est le fichier principal qui effectue alors plusieurs actions par le biais de changement de clés de registre :

  • Désactivation du gestionnaire des tâches (pour empêcher l’utilisateur de tuer le processus) ;
  • Désactivation du contrôle d’accès utilisateur (l’UAC), fenêtre qui s’ouvre en demandant un mot de passe ou de valider une action qui nécessite des privilèges ;
  • Change le fond d’écran par le fichier Wallpaper.jpg et empêche l’utilisateur de le rétablir ;
  • Ajoute de la persistance.

Une fois les clés de registre modifiées, un message s’affiche dans la console et indique que l’ordinateur va redémarrer. Après le redémarrage, un nouvel exécutable se lance, « mainWindow.exe » qui ne sert qu’à distraire l’utilisateur pendant que le malware réécrit le MBR. À ce stade, le malware a terminé sa tâche et au prochain redémarrage de l’ordinateur, un message s’affichera alors à l’utilisateur : « Created By Angel Castillo. Your Computer Has Been trashed. »

Si pour l’utilisateur, il est impossible de démarrer son système d’exploitation, tout n’est pas perdu pour autant, car il est toujours possible de réparer le MBR avec des outils spécifiques pour retrouver un environnement normal. Ce type de malware ne demande pas d’argent sous forme de rançon, mais est bien spécialement conçu pour détruire le MBR des victimes.

 

Menaces

Attaque : Le groupe DarkHotel exploite une vulnérabilité zero-day des serveurs VPN SSL de Sangfor pour attaquer des administrations chinoises et obtenir des informations sur leur gestion du COVID-19
Procédé : Exploitation d’une faille zero-day.
Cible : Agences gouvernementales et missions diplomatiques chinoises
Date de publication: 07/04/2020
Description : D’après Qihoo 360, DarkHotel a exploité une faille zero-day des serveurs VPN pour en prendre le contrôle et remplacer un fichier de mise à jour par une version piégée. Opérant supposément depuis la péninsule coréenne, le groupe chercherait à acquérir des informations sur la gestion chinoise de la pandémie de COVID-19.  
Lien(s)  : 
https://www.zdnet.fr/actualites/les-hackers-de-darkhotel-utilisent-des-failles-vpn-zero-day-pour-s-attaquer-aux-autorites-chinoises-39901839.htm

 

Attaque : Le site de la sécurité sociale italienne victime de plusieurs attaques informatiques  
Cible : Site web de la sécurité sociale italienne, l’INPS
Date de publication: 03/04/2020
Description : Alors que 339 000 travailleurs indépendants et saisonniers envoyaient leurs demandes pour bénéficier d’une aide financière exceptionnelle proposée par l’INPS, son site web a été mis hors ligne par une cyberattaque.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-le-site-de-la-securite-sociale-italienne-victime-d-une-attaque-informatique.N950311

 

Attaque : Un groupe de pirates chinois se cache derrière une chaîne de cyberinfection liée au coronavirus  
Procédé : E-mails frauduleux
Cible : Entité du secteur public mongol
Date de publication : mars 2020
Description : En se faisant passer pour le Ministère mongol des Affaires étrangères à propos de la gestion du COVID-19, un groupe cybercriminel a tenté de convaincre le personnel du secteur public mongol de leur fournir un accès à leur réseau privé afin d’en extraire les données.  
Lien(s) :
https://www.globalsecuritymag.fr/Des-pirates-chinois-exploitent-une,20200316,96718.html

 

Attaque : Des attaquants se font passer pour des RH et services de paie pour soutirer ces informations aux employés
Procédé : Usurpation d’identité
Cible : Entre 20,000 et 50,000 messageries
Date de publication : 08/04/2020
Description : En utilisant le prétexte du COVID-19 pour justifier des changements au niveau des services de paie des entreprises, des cybercriminels tentent d’obtenir les identifiants des employés pour accéder à leurs comptes personnels et dérober des données sensibles.
Lien(s) :
https://abnormalsecurity.com/blog/abnormal-attack-stories-covid-19-payroll-fraud/

 

Fraudes

Attaque : Des organisations frauduleuses blanchissent de l’argent en proposant de faux emplois aux personnes affectées financièrement par la pandémie de COVID-19
Procédé : Spear-phishing
Cible : Chômeurs ou chômeurs partiels en précarité financière
Date de publication : 26/03/2020
Description : Après avoir « engagé » le candidat, de faux donateurs envoient de l’argent provenant de comptes bancaires piratés sur le compte de la victime. Cette dernière convertira le montant reçu en cryptomonnaie pour les attaquants.
Lien(s) :
https://itsocial.fr/fournisseurs/expertises/covid-19-salaries-confines-cibles-de-blanchiment-cyber/

 

Attaque : Des arnaqueurs ciblent les Australiens impactés financièrement par la crise sanitaire
Procédé :  Usurpation d’identité
Surface/Application : Pensions de retraite
Date de publication : 07/04/2020
Description : À mesure que les australiens en difficulté financière profitent de la possibilité exceptionnelle de toucher les fonds réservés à leur retraite, des cybercriminels tentent par tous les moyens de leur soutirer les informations nécessaires pour accéder à ces fonds sous couvert du COVID-19.
Lien(s) :
https://www.bleepingcomputer.com/news/security/scammers-target-australians-financially-affected-by-pandemic/

 

Attaque : Une campagne de spear-phishing imite des documents de l’OMS pour diffuser le logiciel malveillant LokiBot
Procédé : Spear-phishing
Surface/Application : Messageries électroniques
Cible : Particuliers principalement aux États-Unis, en Turquie, au Portugal, en Allemagne et en Autriche
Date de publication : 04/04/2020
Description : Les courriers électroniques frauduleux prétendent lutter contre la désinformation autour du COVID-19. Ils contiennent cependant un fichier compressé au format ARJ qui, une fois décompressé, libère le logiciel malveillant LokiBot capable de subtiliser de très nombreuses données, notamment des mots de passe. 
Lien(s) :
https://www.healthcareinfosecurity.com/spear-phishing-campaign-uses-covid-19-to-spread-lokibot-a-14058

 

Ressources utiles

Type de ressources : CoronaCheck : un moteur de recherche qui permet de détecter l’infox
Cible: Le grand public
Date de publication : 02/04/2020
Description : EURECOM a mis au point un outil de « fact-checking » algorithmique destiné à vérifier les statistiques liées au COVID-19 diffusées sur la toile et endiguer « l’infodémie ».
Lien(s) :
https://blogrecherche.wp.imt.fr/2020/04/02/coronacheck-demeler-le-vrai-du-faux-sur-lepidemie-de-covid-19/

 

Type de ressources : L’Agence nationale d’appui à la performance (Anap) a mis en place un réseau d’entraide pour les responsables SI des établissements médicaux
Cible:  Responsables SI des établissements médicaux
Date de publication : 30/03/2020
Description : Via son site Internet, l’Anap propose un dispositif de mise en relation des responsables SI des établissements médicaux avec des experts SI médico-sociaux. Un forum consacré à cette entraide a également été mis en place.
Lien(s) :
https://www.dsih.fr/article/3697/anap-un-reseau-d-entraide-pour-les-si-face-a-la-crise.html

 

Type de ressources : Facebook partage des cartes de données d’utilisateurs pour aider la recherche scientifique
Cible: La recherche
Date de publication : 07/04/2020
Description : Facebook s’est engagé à partager de nouvelles données de ses utilisateurs mesurant leur degré de connectivité sociale et la tendance de leurs déplacements. L’objectif est d’aider les chercheurs à mieux prévoir l’évolution de la pandémie et mesurer l’efficacité des mesures de confinement. 
Lien(s) :  
https://www.presse-citron.net/facebook-va-partager-plus-de-donnees-avec-les-chercheurs-pour-lutter-contre-le-covid-19/

 

Type de ressources : L’OMS lutte contre la désinformation sur WhatsApp
Procédé :  Chatbot
Surface /Application : L’application de messagerie instantanée WhatsApp
Date de publication : 23/03/2020
Description : Face à la diffusion massive d’informations plus ou moins fiables sur le COVID-19 à travers l’application, l’OMS a mis en place un chatbot destiné à démêler le vrai du faux en répondant instantanément aux questions des utilisateurs.
Lien(s) :
https://www.zdnet.fr/actualites/covid-19-l-oms-lance-son-chatbot-pour-suivre-l-epidemie-sur-whatsapp-39901107.htm

 

Type de ressources: L’État français lance deux chatbots en collaboration avec WhatsApp et Facebook pour lutter contre la désinformation autour du COVID-19
Procédé :  Chatbots
Surface/Application : Messageries WhatsApp et Messenger
Date de publication : 06/04/2020
Description : Accessibles tous les jours, ces deux chatbots ont pour objectifs de lutter contre la désinformation et de promouvoir la distanciation sociale.
Lien(s) :
https://siecledigital.fr/2020/04/06/coronavirus-letat-francais-lance-deux-chatbots-sur-whatsapp-et-messenger/

 

Autres actualités

Sujet : Les robots en ligne de front face à la pandémie 
Date de publication : 07/04/2020
Description : Les robots sont de véritables alliés dans la crise que nous traversons : qu’ils soient policiers ou aides-soignants, ils sont présents sur tous les fronts pour aider à la gestion de la crise – en Tunisie, par exemple, les robots prennent la place des policiers pour faire respecter le confinement.
Lien(s) :
https://www.france24.com/fr/20200407-robots-policiers-robots-médecins-la-technologie-face-au-coronavirus 

 

Pays : International  
Sujet : Google Maps publie les données de géolocalisation de 131 pays pour aider les gouvernements à évaluer l’impact et l’efficacité des mesures de distanciation sociale
Date de publication : 03/04/2020
Description : Les données anonymes issues de la géolocalisation de ses utilisateurs permettent à Google de mesurer la fréquentation des commerces et lieux publics et des commerces.
Lien(s) :
https://www.lemonde.fr/pixels/article/2020/04/03/google-maps-publie-des-donnees-de-131-pays-dont-la-france-pour-montrer-les-effets-du-confinement_6035382_4408996.html

 

Sujet : Des chercheurs américains et chinois ont annoncé le lancement prochain d’un outil utilisant l’intelligence artificielle pour prédire les cas graves de COVID-19  
Date de publication : 30/03/2020
Description : Cet outil s’appuie sur un algorithme intelligent qui analyse des indicateurs révélant une forte possibilité de développer un syndrome de détresse respiratoire aiguë. L’objectif est de permettre aux médecins de traiter les patients à risques en priorité.
Lien(s) :
https://www.lapresse.ca/affaires/techno/202003/30/01-5267124-lintelligence-artificielle-pour-predire-les-complications-du-coronavirus.php

 

Pays : Union-Européenne
Sujet : L’agence de protection des données européennes plaide pour la création d’une application de « backtracking » commune
Date de publication : 06/04/2020
Description : Entité similaire à la CNIL française, le CEPD appelle au développement d’une application de traçage numérique commune à tous les états-membres, afin de protéger la vie privée des utilisateurs et d’en améliorer l’efficacité.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-la-cnil-europeenne-plaide-pour-une-application-commune-de-backtracking.N950726

 

Pays : Etats-Unis
Sujet : Le Ministère de la Justice américain lance une campagne nationale destinée à éradiquer toute activité numérique frauduleuse  
Date de publication : 02/04/2020
Description : Face à la déferlante d’attaques, de fraudes et d’arnaques liées à la pandémie, la justice américaine se montre intransigeante et publie une liste des bonnes pratiques à suivre.   
Lien(s) :
https://hotforsecurity.bitdefender.com/blog/department-of-justice-goes-after-scammers-exploiting-coronavirus-pandemic-22806.html

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :

#1

#2 

#3