COVID-19 : VEILLE CYBERSÉCURITÉ #10 – 20 Mai 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le cheval de Troie QNodeService

Attaque : Une campagne de phishing liée au COVID-19 distribue le cheval de Troie QNodeService
Procédé : Vol de données
Cible : Utilisateurs de Microsoft Windows
Date de publication : 14/05/2020
Lien(s) :
https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/

QNodeService est un cheval de Troie qui se propage via un phishing sur le thème du COVID-19 et infecte les systèmes d’exploitation Microsoft Windows. Ce malware s’installe via un programme de téléchargement écrit en Java, dont le fichier est généralement nommé “Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar”.  Le programme de téléchargement a pour le moment un très faible taux de détection : 1/60 sur VirusTotal.
(https://twitter.com/malwrhunterteam/status/1255840193745215489)

Une fois exécuté, le programme télécharge le malware “QNodeService” nommé ainsi par TrendMicro en référence au nom “qnode-service” utilisé dans le code source. Le programme de téléchargement de QNodeService a été obfusqué avec Allatori (http://www.allatori.com). L’obfuscation rend le code initial plus difficile à lire (encodage, découpage…) et ajoute du code inutile dans le but de rendre l’analyse plus complexe. La désobfuscation reste toutefois possible.

Ce programme télécharge Node.js ainsi que les fichiers obfusqués suivants :

  • wizard.js
  • qnodejs-win32-ia32.js
  • nodejs-win32-x64.js

L’analyse du code permet d’identifier certains paramètres tels que le nom de domaine du serveur C2 (Command & Control), l’utilisation d’identifiants utilisateur ou bien la présence du mot “subscription” dans l’un des sous-domaines (qhub-subscription[.]store[.]qua[.]one). Cela laisse suggérer que le malware est vendu et utilisé en tant que Malware-as-a-Service. Le malware QNodeService est codé en JavaScript et se base donc sur Node.js. Ce choix inhabituel peut s’expliquer par une volonté d’échapper davantage aux détections antivirus.

QNodeService permet, entre autres, de :

  • Télécharger et exécuter des fichiers depuis le serveur de l’attaquant
  • Uploader des fichiers vers le serveur de l’attaquant
  • Voler des identifiants depuis les navigateurs Chrome et Firefox
  • Accéder au système de fichiers

Ce malware est codé pour cibler les systèmes d’exploitation Windows. Toutefois, le design du code et la présence de certaines parties suggèrent que les développeurs du malware envisagent une future compatibilité cross-plateforme (MacOS, Linux). Pour assurer sa persistance, le malware crée une clé de registre de type “Run” sur le système Windows de sa victime. Cela permet d’exécuter un code malicieux réinstallant le malware à chaque fois que l’utilisateur se connecte à sa session Windows (https://docs.microsoft.com/en-us/windows/win32/setupapi/run-and-runonce-registry-keys).
Les indicateurs de compromission sont fournis à la fin de l’article de Trend Micro.

 

Menaces

Attaque : Deux entreprises britanniques, impliquées dans la construction d’hôpitaux d’urgence pour faire face à la pandémie de COVID-19, ont été la cible de cyberattaques
Procédé : Attaque par ransomware/vol d’information
Cible : Systèmes d’information/base de données
Date de publication : 13/05/2020
Description : Selon leurs porte-paroles respectifs, Bam Construct a été victime d’un ransomware qui a pu être maîtrisé en mettant hors ligne un certain nombre de ses serveurs. Pour sa part, Interserve a déclaré avoir subi une importante violation de données, entraînant la compromission potentielle d’une base de données des ressources humaines de près de 100 000 employés.
Lien(s) :
https://www.infosecurity-magazine.com/news/covid19-hospital-construction/

 

Attaque : Des cyberattaques visent des supercalculateurs utilisés dans la recherche sur le COVID-19 en Europe
Procédé : Malware de crypto-mining
Cible : Supercalculateurs d’institutions académiques européennes
Date de publication : 11/05/2020
Description : Afin de limiter la propagation de ces attaques, les supercalculateurs ont été isolés des réseaux. Si aucune des institutions visées n’a détaillé ces intrusions, le CSIRT de l’European Grid Infrastructure (EGI) a publié des échantillons du malware provenant de certains de ces incidents. Analysés par la société de sécurité Cado Security, ils ont permis de déterminer que les attaquants avaient pu accéder aux clusters des supercalculateurs via le biais d’identifiants SSH compromis.
Lien(s) :
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/

 

Attaque : Microsoft alerte sur une nouvelle de campagne de phishing liée au COVID-19 distribuant le cheval de Troie LokiBot
Procédé : Phishing
Cible : Entités publiques et privées
Date de publication : 13/05/2020
Description : Cette campagne utilise des leurres COVID-19 pour répandre le cheval de Troie LokiBot, visant notamment des employés du Center for disease control and prevention (CDC). Celui-ci vole les mots de passe enregistrés sur les navigateurs et les applications et les exfiltre sur un serveur distant où les attaquants peuvent les récupérer ultérieurement. Microsoft a annoncé avoir détecté l’attaque à l’aide des algorithmes d’apprentissage automatique de son outil Microsoft Threat Protection.
Lien(s) :
https://twitter.com/MsftSecIntel/status/1260610853755170817
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-covid-19-phishing-spreading-info-stealing-malware/

 

Fraudes

Attaque : Des cybercriminels prétendent octroyer une aide du gouvernement français
Procédé : Phishing/Vol de données
Surface/Application : Faux site gouvernemental
Date de publication : 15/05/2020
Description : Surfant sur la pandémie du COVID-19, des cybercriminels ont créé un faux site du gouvernement français, copiant à la lettre la charte graphique des messages de l’administration, et qui prétend donner accès à une mesure d’aide financière. Le site demande aux victimes de fournir leurs coordonnées personnelles et bancaires afin qu’ils puissent obtenir l’aide en question.
Lien(s) :
https://cyberguerre.numerama.com/5065-phishing-des-cybercriminels-ont-fait-miroiter-une-fausse-aide-financiere-du-gouvernement-francais.html

 

Attaque : Des cybercriminels imitent l’aide gouvernementale en Inde
Procédé : Phishing/Vol de données
Surface/Application : Site web frauduleux
Date de publication : 18/05/2020
Description : Depuis l’annonce à la télévision nationale par le Premier ministre indien Narendra Modi de la distribution d’aides gouvernementales dans le cadre de la pandémie du COVID-19, des cybercriminels ont profité de l’occasion pour lancer une vaste campagne de phishing. Les victimes ont été dirigées vers un faux site web identique à l’original et ont dû rentrer leurs coordonnées bancaires.
Lien(s) :
https://www.freepressjournal.in/mumbai/amid-lockdown-cyber-frauds-target-victims-with-rs-15k-offer-from-pms-relief-package

 

Attaque : Une vente frauduleuse d’informations concernant des mots de passe volés vise les utilisateurs de Twitter
Procédé : Vente frauduleuse d’informations
Surface/Application : Twitter
Date de publication : 14/05/2020
Description : Sur Twitter, des cybercriminels prétendent aider des internautes à découvrir si leurs mots de passe ont été publiés en ligne sans leur permission. Le thème du COVID-19 est mentionné pour ajouter de la légitimité ainsi que de la visibilité au contenu posté sur le réseau social. Ils ont ainsi pu détourner des milliers d’euros.
Lien(s) :
https://info.phishlabs.com/blog/covid-19-phishing-update-threat-actors-on-twitter-want-you-to-pay-for-your-stolen-passwords

 

Attaque : Une campagne de phishing vise DocuSign pour voler les informations d’authentification des employés en télétravail
Procédé : Phishing
Surface/Application : Microsoft Office 365
Date de publication : 08/05/2020
Description : Des attaquants envoient de fausses notifications estampillées DocuSign afin de confondre leurs victimes. La notification invite les utilisateurs à lire un document en lien avec le COVID-19, sans en préciser la nature. La charge utile présente dans le document renvoie vers trois redirections afin de contourner la simple détection d’URL malveillantes dans les courriels. L’un des sites web héberge une fausse page de connexion DocuSign permettant de voler les identifiants des utilisateurs.
Lien(s) :
https://abnormalsecurity.com/blog/abnormal-attack-stories-docusign-phishing/

 

Ressources utiles

Type de ressources : Microsoft rend open source une partie de ses données relatives aux menaces cyber liées au COVID-19
Cible : Professionnels de la cybersécurité
Date de publication : 14/05/2020
Description : Ces indicateurs de compromission sont désormais disponibles pour partie sur le dépôt Github d’Azure Sentinel et via l’API de sécurité Microsoft Graph. Microsoft précise néanmoins que l’accès à ces données n’est que temporaire et ne sera pas maintenu une fois le pic de l’épidémie dépassé.
Lien(s) :
https://www.microsoft.com/security/blog/2020/05/14/open-sourcing-covid-threat-intelligence/

 

Type de ressources : Interpol lance une campagne de sensibilisation aux menaces cyber liées au COVID-19
Cible : Entités publiques et privées
Date de publication : 06/05/2020
Description : Baptisée #WashYourCyberHands, cette campagne s’étalant sur un mois vise à promouvoir des mesures de bonne hygiène informatique. Elle a débuté avec la publication d’un document sur l’état des lieux des menaces cyber liées au COVID-19 qui présente les principales menaces, les tendances futures ainsi que les mesures de prévention à adopter.
Lien(s) :
https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2020/INTERPOL-launches-awareness-campaign-on-COVID-19-cyberthreats
https://www.interpol.int/Crimes/Cybercrime/COVID-19-cyberthreats

 

Autres actualités 

Pays : International
Sujet : Nvidia lance son Intelligence Artificielle « Clara Guardian »
Date de publication : 14/05/2020
Description : La plateforme aide les chercheurs en santé, les fournisseurs de solutions technologiques et les hôpitaux à mieux lutter contre la propagation des maladies infectieuses, notamment le COVID-19. Ce nouveau système est actuellement testé dans une cinquantaine d’hôpitaux en France, en Italie ou encore en Chine. 
Lien(s) :
https://siecledigital.fr/2020/05/17/clara-guardian-lia-chargee-de-limiter-la-propagation-des-maladies-infectieuses-dans-les-hopitaux/
https://nvidianews.nvidia.com/news/nvidia-expands-nvidia-clara-adds-global-healthcare-partners-to-take-on-covid-19

 

Pays : Europe
Sujet : L’ETSI élabore un cadre de normalisation pour l’interopérabilité des applications de traçage numérique européennes
Date de publication : 12/05/2020
Description : L’organisme de standardisation européen ETSI va élaborer un cadre de normalisation qui permettra le développement de systèmes interopérables visant à tracer et informer automatiquement les utilisateurs potentiellement infectés par le COVID-19. L’un des principaux défis consiste à recueillir, traiter et exploiter les informations sur les citoyens de l’Union européenne sans compromettre leur anonymat et leur vie privée, tout en les protégeant contre l’exposition à d’éventuelles cyberattaques.
Lien(s) :  
https://www.etsi.org/newsroom/press-releases/1768-2020-05-new-etsi-group-to-develop-standardization-framework-for-secure-smartphone-based-proximity-tracing-systems-helping-to-break-covid-19-transmission-chains

 

Pays : France
Sujet : La CNIL valide le suivi des malades du COVID-19 via les futures bases de données médicales Sidep et Contact Covid
Date de publication : 08/05/2020
Description : La CNIL a été saisie par le ministre des Solidarités et de la Santé Olivier Véran concernant le futur projet de loi sur l’identification des personnes atteintes et susceptibles d’être contaminées par le coronavirus. La CNIL estime que la collecte des données prévue dans le projet de décret est pertinente au regard des finalités impliquées et rappelle que le principe de minimisation des données doit conduire à ne collecter que les données strictement nécessaires.
Lien(s) :
https://www.cnil.fr/sites/default/files/atoms/files/2020-051-urgence-sanitaire.pdf

 

Pays : France
Sujet : L’aéroport Roissy-Charles de Gaulle expérimente des caméras thermiques pour détecter les potentiels cas de COVID-19
Date de publication : 15/05/2020
Description : Afin de détecter les passagers susceptibles d’être atteints du COVID-19, la direction de l’aéroport Roissy-Charles de Gaulle a annoncé l’installation de douze caméras thermiques situées à l’arrivée des vols internationaux. Ces caméras permettent de détecter les passagers fiévreux. Ces derniers se verront proposer une visite médicale durant laquelle un médecin leur suggérera d’effectuer un test.
Lien(s) :
https://www.usine-digitale.fr/article/covid-19-l-aeroport-de-roissy-s-equipe-de-cameras-thermiques-pour-detecter-les-passagers-fievreux.N964851

 

Pays : Royaume-Uni
Sujet : Des documents en lien avec la future application de traçage numérique du National Heath Service (NHS) ont été laissés en libre accès sur Google Drive
Date de publication : 13/05/2020
Description : Plusieurs documents montrant la feuille de route du développement de l’application et son fonctionnement ont été laissés en accès libre sur Google Drive. Néanmoins, la grande majorité des documents référencés n’est pas publique et nécessite d’être connecté avec un compte autorisé.
Lien(s) :
https://www.wired.co.uk/article/nhs-covid-19-app-health-status-future

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :
#1
#2 
#3
#4
#5

#6

#7
#8
#9