COVID-19 : VEILLE CYBERSÉCURITÉ #9 – 14 Mai 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur des campagnes de phishing utilisant Agent Tesla

Attaque : Plusieurs campagnes de phishing liées au COVID-19 distribuent une nouvelle variante du cheval de Troie Agent Tesla
Procédé : Vol de données
Cible : Utilisateurs de Microsoft Windows
Date de publication : 11/05/2020
Lien(s) :
https://www.checkpoint.com/press/2020/april-2020s-most-wanted-malware-agent-tesla-remote-access-trojan-spreading-widely-in-covid-19-related-spam-campaigns/
https://krebsonsecurity.com/2018/10/who-is-agent-tesla/
https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing.html

Agent Tesla est un programme malveillant considéré comme un RAT (Remote Access Trojan). Initialement, c’est un logiciel commercial développé en .NET et fonctionnant sous Windows. De par ses capacités, Agent Tesla a été largement utilisé afin de réaliser des actions malveillantes et possède, entre autres, les fonctionnalités suivantes :

  • Enregistreur de frappes clavier (keylogger)
  • Enregistreur du microphone et des flux webcam
  • Récupération des mots de passe stockés dans le navigateur

De nombreuses campagnes utilisant Agent Tesla ont été observées depuis 2014. Les cybercriminels utilisent parfois des variantes du logiciel initial.

Depuis la crise sanitaire du COVID-19, de nombreuses variantes d’Agent Tesla sont réapparues. Les criminels tirent profit du contexte actuel pour réaliser des campagnes de phishing ciblées. Selon CheckPoint, Agent Tesla arrive en troisième position des malwares les plus répandus au mois d’avril et toucherait 3% des organisations mondiales. Du fait de l’étendue de la présence d’Agent Tesla à travers le monde, il faut bien prendre conscience que ce logiciel malveillant apparaît sous des formes diverses et variées. Des analyses récentes mettent effectivement en évidence l’utilisation d’Agent Tesla dans des campagnes de phishing ciblant le secteur de la santé.

Le courriel reçu contient un fichier malveillant. Si l’utilisateur se fait piéger, le mode opératoire est toujours le même : le programme s’exécute et il va parcourir l’ordinateur infecté à la recherche des secrets et mots de passe qu’il contient. Il va chercher sur le système de fichiers, dans les répertoires connus des logiciels utilisés ainsi que dans la base de registre de Windows. Les cibles principales sont les mots de passe situés dans les navigateurs, sur les clients de messagerie, sur les clients VPN ou encore les mots de passe des réseaux Wi-Fi enregistrés. Un des programmes malveillants analysé par Fortinet montre que celui-ci essaie de parcourir plus de 60 logiciels différents sur la machine infectée. Une fois ces éléments récoltés, le malware les exfiltre vers un serveur distant en utilisant le protocole SMTP.

Afin de se prémunir de ces attaques, la seule solution efficace reste la sensibilisation : il faut informer les utilisateurs sur le fait ne pas ouvrir de pièces jointes provenant d’une source inconnue et se méfier particulièrement des courriels traitants du sujet du COVID-19. En parallèle, il est également recommandé de maintenir ses solutions de sécurité à jour et notamment les antivirus. En effet, les éditeurs des solutions antivirales mettent à jour leurs bases de données régulièrement, à chaque fois qu’un nouveau malware est détecté.

 

Menaces

Attaque : Le gestionnaire d’hôpitaux privés et fournisseur de services de dialyse Fresenius victime du ransomware Snake
Procédé : Crypto-ransomware
Cible : Systèmes d’information de Fresenius
Date de publication : 08/05/2020
Description : Selon la société médicale, l’attaque a limité certaines de ses activités en Europe et aux États-Unis, sans pour autant affecter sa capacité d’accueil et de prise en charge des patients. Le ransomware Snake cible principalement des systèmes basés sur Windows et chiffre les données des entreprises afin de demander une rançon sous forme de cryptomonnaie. L’attaque est d’autant plus préoccupante que certains patients atteints du COVID-19 développent une insuffisance rénale et nécessitent des dialyses.
Lien(s) :
https://www.hackread.com/hackers-hit-europe-healthcare-provider-snake-ransomware/

 

Attaque : Des cybercriminels imitent des notifications Zoom pour voler les identifiants et mots de passe des comptes Office 365
Procédé : Campagne de phishing
Cible : Utilisateurs de Zoom
Date de publication : 11/05/2020
Description : Cette campagne de phishing reproduit des notifications Zoom pour voler des informations liées aux comptes Office 365. Les attaquants utilisent de nombreux leurres comme le nom des entreprises ciblées et le logo d’Office 365. Ils ont également créé un e-mail et une page d’accueil imitant les notifications de réunion Zoom. L’e-mail en question renvoie vers une fausse page de connexion Microsoft avec le nom de l’organisation de l’utilisateur et Zoom au-dessus de l’emplacement de connexion.
Lien(s) :
https://abnormalsecurity.com/blog/abnormal-attack-stores-zoom-phishing-campaign/

 

Fraudes

Attaque : Des cybercriminels volent les données personnelles des contribuables américains pour détourner des chèques de soutien distribués dans le cadre de la pandémie de COVID-19
Procédé : Phishing/Spear-phishing
Surface/Application : Sites web frauduleux/Messagerie des contribuables américains
Date de publication : 06/05/2020
Description : Les cybercriminels ont obtenu ces données personnelles via des campagnes de spear-phishing ou par le biais de sites frauduleux imitant l’Internal Revenue Service (IRS), qui distribue les chèques de soutien financier. Ils ont ensuite sollicité l’obtention de cette aide en usurpant l’identité des victimes. En réaction à ces fraudes, l’IRS a mis en place une plateforme permettant de signaler lesdits e-mails et sites frauduleux.
Lien(s) :
https://www.secureworks.com/blog/cybercriminals-target-us-citizens-for-covid-19-stimulus-fraud

 

Attaque : Une campagne de phishing liée au COVID-19 imite des institutions financières sur Instagram
Procédé : Campagne de phishing
Surface/Application : Instagram
Date de publication : 01/05/2020
Description : Les cybercriminels ont imité des comptes d’institutions financières sur le réseau social Instagram. Après avoir sélectionné des comptes d’utilisateurs, les attaquants ont prétexté le gain d’un cadeau. Ils leur ont ensuite demandé de communiquer par message texte, des informations sur le compte, dont le mot de passe pour réclamer l’argent. Une fois ces données récupérées, les comptes Instagram ont pu être piratés.
Lien(s) :
https://securityboulevard.com/2020/05/covid-19-phishing-update-scammers-impersonating-financial-institutions-on-instagram/

 

Attaque : Des cybercriminels envoient des SMS frauduleux imitant l’application de traçage numérique britannique pour récolter des données personnelles
Procédé : Phishing
Surface/Application : Réception de SMS
Date de publication : 12/05/2020
Description : Alors que l’application développée par la NHS n’est pas encore déployée dans le pays, des citoyens britanniques ont reçu un SMS les informant qu’ils avaient été en contact avec des personnes contaminées par le COVID-19. Les victimes sont redirigées vers un site frauduleux qui leur demande de renseigner leurs informations personnelles. À l’aide de celles-ci, les cybercriminels pourraient commettre des fraudes en usurpant leur identité.
Lien(s) :
https://www.tradingstandards.uk/news-policy/news-room/2020/new-covid-19-app-exploited-by-fraudsters-to-scam-public

 

Ressources utiles

Type de ressources : La CNIL publie ses recommandations pour la mise en place du télétravail
Cible : Employés en télétravail
Date de publication : 12/05/2020
Description : Dans le contexte du COVID-19, la CNIL a publié des recommandations et des mesures de sécurité pour les employés en télétravail, de plus en plus victimes de cyberattaques. La CNIL a particulièrement insisté sur la sécurisation des données personnelles, cibles des pirates informatiques et sur la sécurisation des systèmes d’information.
Lien(s) :
https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail
https://www.cnil.fr/fr/salaries-en-teletravail-quelles-sont-les-bonnes-pratiques-suivre

 

Type de ressources : L’OMS développe sa propre application de traçage des contacts pour assister les pays en difficulté face à la crise sanitaire
Cible : Pays en développement
Date de publication : 09/05/2020
Description : L’application, qui devrait être basée sur la technologie Bluetooth, s’adresse principalement aux pays qui n’ont pas les ressources pour développer leur propre système de traçage numérique. Elle proposera dans un premier temps un questionnaire permettant de décrire ses symptômes afin d’obtenir des conseils médicaux. Le déploiement de l’application est prévu pour le mois de mai.
Lien(s) :
https://www.reuters.com/article/health-coronavirus-who-apps/who-readies-coronavirus-app-for-checking-symptoms-possibly-contact-tracing-idUSKBN22L06L

 

Type de ressources : Twitter renforce sa sécurité contre la désinformation liée au COVID-19
Cible : Utilisateurs de Twitter
Date de publication : 13/05/2020
Description : Twitter change désormais sa politique contre les informations liées au COVID-19 ne provenant pas de sources fiables. À l’image de YouTube ou Facebook, le réseau social prévoit des bannières avec des messages d’avertissement qui seront graduels en fonction du niveau de dangerosité. Pour un message à caractère nuisible (le volet le plus important), ce dernier pourra directement être supprimé par Twitter.
Lien(s) :
https://www.presse-citron.net/twitter-renforce-sa-securite-contre-les-fake-news-liees-au-covid-19/

 

Autres actualités 

Pays : France
Sujet : Audition de M. Guillaume Poupard, Directeur de l’ANSSI, devant l’Office parlementaire d’évaluation des choix scientifiques et technologiques
Date de publication : 12/05/2020
Description : Le directeur de l’ANSSI a été entendu concernant les problématiques de sécurité entourant le développement, le déploiement et la collecte de données de l’application française de traçage numérique StopCovid.
Lien(s) :
https://videos.senat.fr/video.1608918_5ebaa04d6b8cd.audition-de-m-guillaume-poupard-directeur-general-de-l-agence-nationale-de-la-securite-des-systeme

 

Pays : France
Sujet : Deux bases de données médicales pour assurer le suivi des contacts des personnes contaminées par le COVID-19
Date de publication : 04/05/2020
Description : Le gouvernement prévoit la mise en place de deux bases de données médicales spécifiques : Sidep et Contact Covid. La première contiendra l’intégralité des résultats des tests de dépistage réalisés à partir du 11 mai. La seconde comportera la liste de personnes qui ont été en contact avec les cas avérés.
Lien(s) :
https://www.lesnumeriques.com/vie-du-net/sidep-et-contact-covid-le-dossier-medical-numerique-a-l-heure-du-coronavirus-n149995.html

 

Pays : France
Sujet : Des caméras expérimentales à Paris station Châtelet-Les Halles pour détecter le port du masque dans les transports en commun
Date de publication : 12/05/2020
Description : La gare très fréquentée de Châtelet-Les Halles à Paris va expérimenter la détection du port du masque à l’aide de caméras. L’entreprise Datakalab, spécialisée dans l’analyse d’images, sera en charge du projet avec un laboratoire dédié et un tableau de bord pour mesurer en temps réel le pourcentage de voyageurs munis de masques. Mis en place pour 3 mois uniquement afin de dresser un bilan, Datakalab a affirmé qu’aucune image ne sera conservée.
Lien(s) :
https://www.lesnumeriques.com/vie-du-net/a-chatelet-des-cameras-pour-detecter-le-port-du-masque-mais-sans-finalite-de-verbalisation-n150249.html
https://www.theverge.com/2020/5/7/21250357/france-masks-public-transport-mandatory-ai-surveillance-camera-software

 

Pays : Italie
Sujet : Des casques intelligents à balayage thermique déployés dans l’aéroport de Rome pour identifier les cas potentiels de COVID-19
Date de publication : 11/05/2020
Description : Les forces de l’ordre présentes dans l’aéroport sont désormais équipées de ces casques capables d’identifier les personnes susceptibles d’être atteintes du COVID-19 afin de les empêcher de prendre l’avion. À l’aide d’une caméra à balayage thermique et de la réalité augmentée, ces casques peuvent analyser la température d’un groupe de personnes à une distance allant jusqu’à 5 mètres.
Lien(s) :
https://siecledigital.fr/2020/05/11/laeroport-de-rome-sequipe-avec-des-casques-intelligents-a-balayage-thermique/

 

Pays : Singapour
Sujet : Un robot de Boston Dynamics déployé dans les parcs pour encourager les mesures de distanciation sociale
Date de publication : 08/05/2020
Description : Le robot SPOT patrouille dans les parcs de Singapour pour faire respecter les mesures de distanciation sociale. À l’aide de caméras, le robot peut surveiller les rassemblements et il est doté d’un micro pour prévenir les populations. Ses algorithmes intégrés peuvent détecter un objet ou une personne à moins d’un mètre pour éviter les collisions. Pour les premiers tests, un officier de sécurité du parc accompagnera le robot.
Lien(s) :
https://techcrunch.com/2020/05/08/boston-dynamics-spot-is-patrolling-a-singapore-park-to-encourage-social-distancing/

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4
#5
#6
#7
#8