COVID-19 : VEILLE CYBERSÉCURITÉ #7 – 30 Avril 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur un GIF malveillant dans Microsoft Teams

Attaque : Un GIF malveillant à l’origine d’une vulnérabilité dans Microsoft Teams
Procédé : Vol de données/Usurpation d’identité
Cible : Utilisateurs de Microsoft Teams (en majorité en télétravail pendant la crise COVID-19)
Date de publication : 27/04/2020
Lien(s) :  
https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/ 
https://www.bbc.com/news/technology-52415773

Des chercheurs en sécurité de CyberArk ont découvert un problème de sécurité dans la plateforme de collaboration Microsoft Teams touchant aussi bien la version desktop que la version web.

En exploitant un défaut de configuration permettant la prise de contrôle de sous-domaine combinée à un GIF spécialement conçu envoyé à leurs victimes, des attaquants auraient pu prendre le contrôle des comptes Teams visés. Cet accès non légitime aurait permis de récupérer les différentes conversations confidentielles des personnes ciblées mais également d’envoyer des messages à leurs différents contacts, pouvant ainsi se propager de manière rapide et agir comme un ver.

Les chercheurs ont pu mettre en évidence que certaines informations d’authentification (dont le jeton skype, utilisé pour l’accès à des images partagées et également pour d’autres usages) étaient envoyées vers le sous-domaine teams.microsoft.com, mais également vers n’importe quel autre sous-domaine associé (*.teams.microsoft.com). En utilisant le jeton d’accès et le jeton skype, il est possible d’interroger l’API Teams de Microsoft avec les droits de l’utilisateur. Les différentes fonctionnalités proposées par l’API sont alors accessibles, notamment la possibilité d’envoyer des messages, de les lire, de créer des groupes, d’ajouter et supprimer de nouveaux utilisateurs, de modifier les autorisations dans les groupes, etc.

La problématique suivante résidait en la nécessité de contrôler des sous-domaines *.teams.microsoft.com pour récupérer les jetons d’accès. Cette action a pu être entreprise par les chercheurs en récupérant le contrôle de deux sous-domaines (aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com) mal configurés par Microsoft.

Finalement, afin de récupérer les jetons appartenant à une victime, les chercheurs ont utilisé un GIF comportant un attribut src et pointant vers l’un des sous-domaines contrôlés. Cela permet en effet de rendre leur attaque suffisamment furtive.

Les équipes Microsoft ont été informées le 23 mars 2020 et ont corrigé la problématique sur les noms de domaine le même jour. Un patch de sécurité a été déployé le 20 avril 2020. Il ne semble pas y avoir eu de cas d’exploitation de la faille par des attaquants.

 

Menaces

Attaque : Des pirates liés au gouvernement vietnamien auraient tenté d’accéder aux données des agences gouvernementales chinoises impliquées dans la lutte contre la pandémie de COVID-19
Procédé : Campagne de spear-phishing
Cible : Messagerie personnelle et professionnelle du personnel du Ministère de la gestion des urgences chinois et du gouvernement de Wuhan
Date de publication : 22/04/2020
Description : D’après la firme américaine FireEye, les pirates appartiendraient au groupe vietnamien APT32 et auraient commencé leur campagne en janvier 2020 dans le but d’obtenir des renseignements sur la gestion chinoise de la pandémie. Une fois ouvertes, les pièces jointes contenues dans les e-mails malveillants diffusaient le malware METALJACK qui permet aux pirates d’extraire les données de la machine infectée.
Lien(s) :
https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html
https://nakedsecurity.sophos.com/2020/04/28/evil-gif-account-takeover-flaw-patched-in-teams/ 

 

Attaque : Failles de sécurité critiques sur l’outil de vidéoconférence Zoom
Procédé : Logiciel malveillant/Espionnage
Cible : Utilisateurs de Zoom
Date de publication : 22/04/2020
Description : Dans le contexte actuel de crise sanitaire, les vidéoconférences se multiplient sur des plateformes telles que Zoom. Des chercheurs « white hats » de Morphisec ont révélé des failles de sécurité sur Zoom permettant aux pirates d’enregistrer volontairement des sessions de vidéoconférence et d’avoir accès aux discussions des participants. La plateforme Zoom a été alertée par ces chercheurs.
Lien(s) :
https://blog.morphisec.com/zoom-malware-can-record-meetings-attack-simulation-shows-how

 

Attaque : Des données de l’entreprise chinoise Huying Medical, réputée pour sa solution de détection du COVID-19 basée sur l’intelligence artificielle, sont en vente sur le darknet
Procédé : Inconnu à l’heure actuelle
Cible : Huying Medical
Date de publication : 27/04/2020
Description : Les données piratées englobent les informations personnelles de plusieurs milliers d’utilisateurs de cette solution de détection du virus, qui aurait été déployée dans vingt hôpitaux chinois mais également dans dix pays à l’international. Elles sont en vente sur le darknet pour la somme de quatre bitcoins, soit 28 400 euros environ.
Lien(s) :
https://www.hackread.com/chinese-covid-19-detection-firm-hacked-dark-web/

 

Fraudes

Attaque : Des pirates informatiques se font passer pour l’OMS pour récolter des dons en Bitcoins
Procédé : E-mails frauduleux/Campagne de phishing
Surface/Application : Messageries
Date de publication : 26/04/2020
Description : Des pirates informatiques ont lancé une campagne de phishing pour inciter les victimes à faire des dons pour l’OMS afin de lutter contre le COVID-19 via « Bitcoin Network ». Ces dons pouvaient être reversés sur deux « portefeuilles » acceptant les paiements en Bitcoin et en Bitcoin cash.
Lien(s) :
https://www.hackread.com/scammers-use-fake-who-bitcoin-wallet-steal-donation/

 

Attaque : Fuite de près de 25 000 adresses e-mails et mots de passe de membres de plusieurs organisations impliquées dans la lutte contre la pandémie de COVID-19
Procédé : Fuite d’identifiants de connexion
Cibles : L’OMS, l’Institut de virologie de Wuhan, le Center for Disease Control (CDC) and Prevention et le National Institutes of Health (NIH) des États-Unis ainsi que la Fondation Gates
Surface/Application : Pastebin, 4chan, Twitter et Telegram
Date de publication : 24/04/2020
Description : Seule l’OMS a confirmé la fuite de 450 adresses e-mail et mots de passe actifs en précisant toutefois que ces données sont anciennes et n’exposent pas ces systèmes d’information à des attaques. L’Organisation va néanmoins procéder à la migration des systèmes concernés vers un système d’authentification plus sécurisé.  En outre, ces données seraient utilisées par des militants d’extrême droite pour diffuser des théories du complot relatives à la pandémie de COVID-19.
Lien(s) :
https://www.washingtonpost.com/technology/2020/04/21/nearly-25000-email-addresses-passwords-allegedly-nih-who-gates-foundation-are-dumped-online/
https://www.who.int/news-room/detail/23-04-2020-who-reports-fivefold-increase-in-cyber-attacks-urges-vigilance

 

Attaque : Des pirates informatiques se font passer pour l’U.S. Government Small Business Administration (SBA.gov) et infectent les ordinateurs à travers des pièces jointes
Procédé : Campagne de phishing/logiciels malveillants
Surface/Application : Messageries des PME américaines subventionnées par la SBA
Date de publication : 27/04/2020
Description :  Des e-mails frauduleux imitant des notifications de la SBA sur les demandes de prêts liés au COVID-19 ont été envoyés à des PME américaines. Une fois ouvertes, les pièces jointes contenues dans les e-mails malveillants diffusaient le chargeur du malware GuLoader, fournissant l’outil d’accès à distance « Remcos ».
Lien(s) :
https://securityintelligence.com/posts/sba-spoofed-in-covid-19-spam-to-deliver-remcos-rat/

 

Attaque : Alors que plusieurs villes russes sont confinées en raison de la pandémie de COVID-19, des cybercriminels vendent de fausses attestations de déplacement numériques aux citoyens russes
Procédé : Vente de documents frauduleux
Surface/Application : Sites Internet frauduleux, messagerie Telegram, Instagram et le réseau social russe VK
Date de publication : 27/04/2020
Description : La firme de cybersécurité Group-IB a assisté le Département des technologies de l’information de Moscou pour identifier et fermer près de la moitié des 126 plateformes vendant ces faux documents pour une somme allant de 35 à 60 euros. Deux suspects résidant dans Moscou et sa région ont été appréhendés.
Lien(s) :
https://securityaffairs.co/wordpress/102375/cyber-crime/fake-passes-covid-19.html

 

Attaque : Des pirates informatiques créent un faux site officiel du National Health Service (NHS) anglais et propagent un logiciel malveillant
Procédé : Cheval de Troie/Vol de données
Surface/Application : Messageries
Date de publication : 24/04/2020
Description : Des pirates informatiques ont créé un faux site officiel du NHS proposant des conseils de santé pour faire face au COVID-19. Les pirates ont incité les utilisateurs à cliquer sur les liens et à télécharger un fichier nommé « COVID-19 » qui est en réalité un cheval de Troie. Ce dernier vole des informations (mots de passe, informations bancaires…).
Lien(s) :
https://www.hackread.com/hackers-setup-fake-nhs-website-spread-malware/

 

Ressources utiles

Type de ressources : Sigfox lance un appel à projets IoT pour lutter contre le COVID-19
Cible : Industriels et membres de l’écosystème IoT
Date de publication : 22/04/2020
Description : Sigfox, un des premiers fournisseurs mondiaux de services pour l’IoT lance un appel à projets pour lutter contre le COVID-19 grâce à l’IoT. Sigfox œuvre pour la mise en place de solutions IoT pour sauver des vies et aucun frais de connectivité ne sera demandé pour tous les nouveaux projets destinés à faire face au coronavirus. Pour exemple, on retient les capteurs pour suivre les équipements de protection et des navettes connectées sans conducteur pour transporter les tests COVID-19.
Lien(s) : https://www.objetconnecte.com/sigfox-iot-lutte-covid19/

 

Type de ressources : Face à l’utilisation croissante des outils de vidéoconférence depuis le début de la crise du COVID-19, JDSupra établit les mesures d’hygiène informatique à adopter
Cible : Entreprises et administrations publiques utilisant des outils de vidéoconférences
Date de publication : 27/04/2020
Description : JDSupra propose les mesures suivantes : d’une part, il est recommandé d’examiner la politique de confidentialité des fournisseurs d’outils de vidéoconférence pour s’assurer qu’ils n’exploitent pas les données de leurs utilisateurs de manière abusive. D’autre part, il faut imposer des mesures de protection : éviter de dévoiler des informations confidentielles ou personnelles lors d’un partage d’écran, établir un mot de passe pour l’accès aux conférences et interdire les captures d’écran, désactiver les caméras et les discussions en ligne autant que possible ou encore proscrire l’emploi de pseudonymes pouvant dissimuler l’identité des utilisateurs.
Lien(s) :
https://www.jdsupra.com/legalnews/10-point-plan-to-protect-your-business-76238/

 

Type de ressources : Un chatbot pour le suivi des patients au CHU de Toulouse
Cible : Patients du CHU de Toulouse
Date de publication : 29/04/2020
Description : La start-up toulousaine Botdesign a mis au point un dispositif de télésuivi pour le compte du CHU de Toulouse. Ce chatbot est destiné à dépister les situations à risque pour les patients vulnérables confinés à leur domicile.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-le-chu-de-toulouse-s-equipe-d-un-chatbot-pour-le-suivi-de-patients-a-distance.N958911

 

Autres actualités 

 

Pays : France
Sujet : Recommandations de l’ANSSI et de la CNIL pour la mise en œuvre de l’application StopCovid
Date de publication : 27/04/2020
Description : L’application StopCovid s’est précédemment heurtée à des mises en garde de la part de la CNIL et l’ANSSI. Un communiqué de presse de la CNIL donne son aval, mais avec des réserves quant à la transparence du mode de fonctionnement. Enfin, l’ANSSI a publié ses recommandations sur les mesures de sécurité à adopter.  
Lien(s) :
https://www.cnetfrance.fr/news/stop-covid-la-cnil-dit-oui-mais-avec-beaucoup-de-reserves-39902837.htm
https://www.ssi.gouv.fr/uploads/2020/04/anssi-communique_presse-20200427-application_stopcovid.pdf

 

Pays : Australie
Sujet : Bien que deux millions d’australiens aient téléchargé l’application de traçage numérique COVIDSafe, dix millions d’habitants devront l’utiliser pour la rendre efficace
Date de publication : 27/04/2020
Description : Selon les estimations, dix millions de personnes doivent télécharger et utiliser régulièrement l’application pour qu’elle soit efficace. Le modèle de centralisation des données favorisé par le gouvernement australien pourrait toutefois rebuter de nombreux citoyens préoccupés par la confidentialité des données collectées. En outre, Il n’est pas certain que l’application fonctionne en arrière-plan et lorsqu’un téléphone est verrouillé, ce qui limiterait également son efficacité.
Lien(s) :
https://www.govinfosecurity.com/australia-releases-covidsafe-contact-tracing-app-a-14185

 

Pays : Belgique
Sujet : Tests menés sur des bracelets connectés de distanciation au port d’Anvers
Date de publication : 20/04/2020
Description : Le port d’Anvers a testé le bracelet connecté anti-COVID-19 nommé « Romware Covid Radius ». Ce dernier garantit une certaine distance sociale entre les employés et assure le suivi des contacts physiques.
Lien(s) :
https://www.strategieslogistique.com/Covid-19-Le-port-d-Anvers-teste-un,9954

 

Pays : États-Unis
Sujet : Des chercheurs du MIT intègrent des capteurs dans un T-Shirt pour mesurer la température, respiration et fréquence cardiaque du porteur
Date de publication : 24/04/2020
Description : Intégrables à n’importe quel vêtement et lavables en machine, ils pourraient être utilisés dans le cadre de la lutte contre la pandémie de COVID-19. Des personnes suspectées d’être contaminées pourraient ainsi voir leurs données physiologiques collectées sur un smartphone et transmises au personnel médical afin d’éviter autant que possible les risques de contamination des soignants. 
Lien(s) :
https://www.usine-digitale.fr/article/des-chercheurs-integrent-des-capteurs-dans-un-t-shirt-pour-mesurer-les-signes-vitaux.N957741

 

Pays : Émirats arabes unis
Sujet : Utilisation de casques connectés par la police émiratie pour prendre la température de la population
Date de publication : 24/04/2020
Description : Les forces de l’ordre des Émirats arabes unis utilisent désormais des casques connectés pour contrôler et analyser la température de la population à distance. Ces casques sont conçus par l’entreprise chinoise KC Wearable. Ils permettent d’analyser 200 personnes en une minute et jusqu’à cinq mètres de distance.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-la-police-emiratie-utilise-des-casques-connectes-pour-prendre-la-temperature-de-la-population-a-distance.N957746

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4
#5
#6