COVID-19 : VEILLE CYBERSÉCURITÉ #13 – 18 juin 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur les chevaux de Troie Anubis et SpyNote

Attaque : Douze applications Android frauduleuses imitent les applications de traçage numérique légitimes pour diffuser des malwares et voler des données personnelles
Procédé : Applications frauduleuses
Cible : Grand public/Utilisateurs d’Android
Date de publication : 10/06/2020
Lien(s) :
https://www.anomali.com/blog/anomali-threat-research-identifies-fake-covid-19-contact-tracing-apps-used-to-monitor-devices-steal-personal-data

Les applications mobiles permettant de détecter les contacts d’un utilisateur avec d’autres personnes et de signaler si l’une d’entre elles est porteuse du coronavirus (contact tracing) sont aujourd’hui utilisées par de nombreux états.

Les acteurs malveillants n’ont donc pas tardé à surfer sur cette vague. En effet, de fausses applications officielles ont été créées puis distribuées par le biais de sites web, d’autres applications ou encore de magasins tiers d’applications Android, afin de délivrer puis exécuter un code malveillant permettant de voler des données personnelles et bancaires.

Des chercheurs de l’Anomali Threat Research (ATR) ont découvert une réplique malveillante de l’application officielle de traçage COVID-19 « Coronavirus – SUS » du gouvernement brésilien. L’application est semblable à la version officielle mais embarque également un certain nombre de fonctionnalités malveillantes. Lors de sa première exécution, elle effectue une demande d’autorisation d’activation du service d’accessibilité. Si la victime autorise cette demande, le cheval de Troie bancaire « Anubis » est désormais actif ; l’application s’exécute en tâche de fond, son icône disparaît du tiroir d’applications et les fonctionnalités malveillantes sont activées. Ces dernières permettent entres autres d’enregistrer les appels téléphoniques, d’accéder à la liste de contacts, au service de localisation ou encore de consulter les SMS, mais surtout d’injecter des formulaires invisibles au-dessus des applications bancaires et de réseaux sociaux pour voler les informations de connexion.

L’ATR a également mis la main sur un clone de l’application indonésienne de traçage COVID-19 « PeduliLindungi ». Cette fois-ci, le programme malveillant embarque directement l’application légitime. À son lancement, cette dernière est installée sur le système tandis que le cheval de Troie « SpyNote » est masqué du tiroir d’applications. Désormais, l’activité de la victime sur son mobile est surveillée, des appels peuvent être émis et des SMS envoyés à partir du téléphone infecté.

Une douzaine d’applications similaires ont été identifiées par l’ATR et bien d’autres restent à découvrir. Les acteurs malveillants profitent de la notoriété des applications provenant des agences gouvernementales et de la confiance des victimes potentielles, mais de nombreuses autres formes d’attaques ou d’arnaques sont pratiquées par ces mêmes acteurs, abusant de la pandémie du COVID‑19.

Les IOCs liés aux malwares analysés ont été publiés par l’ATR à la fin du blog post.

 

Menaces

Attaque : Une campagne de phishing s’appuie sur l’augmentation de l’utilisation de VPN pendant la crise sanitaire pour voler des identifiants d’entreprises
Procédé : Phishing
Cible : Entités publiques et privées
Date de publication : 03/06/2020
Description : Les cybercriminels ont usurpé l’identité des services de support informatique des organisations ciblées pour inciter leurs employés à mettre à jour leur configuration VPN. Les e-mails frauduleux renvoient vers de fausses pages de connexion à Office 365, permettant aux attaquants de subtiliser les identifiants d’entreprise de leurs victimes.
Lien(s) :
https://abnormalsecurity.com/blog/abnormal-attack-stories-vpn-impersonation-phishing/

 

Attaque : Le groupe hospitalier sud-africain Life Healthcare victime d’une cyberattaque
Procédé : Inconnu à l’heure actuelle
Cible : Systèmes d’information des hôpitaux
Date de publication : 09/06/2020
Description : Le groupe a déclaré que la prise en charge des patients n’était pas impactée mais que les systèmes d’admission, de gestion des activités et les serveurs de messagerie des hôpitaux avaient été affectés par l’attaque. L’étendue de la compromission de données sensibles reste néanmoins à déterminer.
Lien(s) :
https://www.lifehealthcare.co.za/news-and-info-hub/latest-news/life-healthcare-announces-cyber-incident/

 

Fraudes

Attaque : Une campagne de spear-phishing sur le thème du COVID-19 vise des sociétés multinationales chargées de fournir des équipements de protection médicale à l’Allemagne
Procédé : Spear-Phishing
Surface/Application : Site Internet frauduleux
Date de publication : 08/06/2020
Description : Plus de 100 cadres dirigeants ont été ciblés par des e‑mails frauduleux redirigeant vers de fausses pages de connexion Microsoft destinées à voler leurs identifiants de messagerie. Une fois ces données acquises, elles ont été exportées vers des comptes de la messagerie russe Yandex et permettraient aux cybercriminels de collecter des informations confidentielles et réaliser de nouvelles attaques.
Lien(s) :
https://securityintelligence.com/posts/german-task-force-for-covid-19-medical-equipment-targeted-in-ongoing-phishing-campaign/

 

Attaque : Une campagne de phishing vise les travailleurs indépendants britanniques bénéficiant d’une aide financière publique dans le contexte de la pandémie de COVID-19  
Procédé : Phishing
Surface/Application : SMS frauduleux
Date de publication : 09/06/2020
Description : Les cybercriminels ont usurpé l’identité du département des finances et des comptes publics (HMRC pour Her Majesty’s Revenue and Customs) et ont prétendu que leurs cibles étaient éligibles à un remboursement d’impôt. Les victimes ont ensuite été redirigées vers un site web frauduleux imitant la version officielle les invitant à fournir leurs informations personnelles et coordonnées bancaires.
Lien(s) :
https://www.griffin.law/fraudsters-target-self-employed-seeking-covid-19-income-support/

 

Attaque : Des cybercriminels envoient des C.V. frauduleux sur le thème du COVID-19 pour diffuser un malware et voler des données
Procédé : Phishing
Surface/Application : Messagerie
Date de publication : 09/06/2020
Description : Cette campagne de phishing s’appuie sur de fausses candidatures à des postes de responsables sanitaires au sein des organisations ciblées. Les C.V. frauduleux prétendent provenir de Chine et prennent la forme d’un fichier ISO qui, une fois ouvert, propage un fichier EXE malveillant permettant l’exécution du malware sur l’appareil de la victime.
Lien(s) :
https://blog.checkpoint.com/2020/06/04/coronavirus-update-not-the-type-of-cv-youre-looking-for/

 

Ressources utiles

Type de ressources : La Commission européenne présente un plan d’action pour lutter contre la désinformation liée au COVID-19
Cible : Grand public/Réseaux sociaux
Date de publication : 10/06/2020
Description : Ce plan d’action s’articule autour d’une prise de conscience collective sur la désinformation liée au COVID-19. Les mesures prioritaires mentionnées, telles que la sensibilisation des citoyens, la coopération entre les institutions internationales et l’adhésion des réseaux sociaux au « code de bonnes pratiques contre la désinformation » serviront de socle aux futurs travaux de l’UE sur la désinformation.
Lien(s):
https://ec.europa.eu/commission/presscorner/detail/fr/ip_20_1006
https://eur-lex.europa.eu/legal-content/FR/TXT/?qid=1591873061977&uri=CELEX:52020JC0008

 

Type de ressources : Google Maps introduit de nouvelles fonctionnalités alertant ses utilisateurs sur les restrictions de déplacements liées au COVID-19
Cible : Grand public
Date de publication : 08/06/2020
Description : Ces alertes indiquent si les déplacements des utilisateurs sont sécurisés et respectueux des restrictions liées au COVID-19 : port du masque, respect des distances de sécurité et des déplacements transfrontaliers. Des alertes sont également envoyées aux utilisateurs concernant les règles mises en place par les établissements de test du COVID-19. Cette nouvelle fonctionnalité de Google Maps est alimentée par les informations partagées par les utilisateurs.
Lien(s) :
https://blog.google/products/maps/get-around-safely-these-new-google-maps-features/

 

Type de ressources : La CNIL met en place une FAQ concernant l’application StopCovid
Cible : Grand public
Date de publication : 05/06/2020
Description : Afin de sensibiliser le grand public sur le fonctionnement de l’application StopCovid, la CNIL a établi une série de douze questions auxquelles elle répond en s’appuyant sur la législation en vigueur. La majorité des problématiques évoquées est orientée autour du traitement et du stockage des données personnelles ainsi que des droits que possèdent les utilisateurs s’ils souhaitent supprimer l’application de leur téléphone.
Lien(s) : https://www.cnil.fr/fr/lapplication-mobile-stopcovid-en-questions

 

Autres actualités 

Pays : Allemagne
Sujet : Des drones livrent des échantillons de tests du COVID-19 en laboratoire
Date de publication : 04/06/2020
Description : Organisé par l’entreprise Quantum-Systems GmbH et le laboratoire Becker & Kollegen, le premier vol d’essai a démontré la rapidité d’exécution des drones dans la livraison des échantillons de tests. Sur une distance de vol de 6,4 km, le drone a transporté 20 échantillons en l’espace de 7 minutes. Un temps 8 à 12 fois plus rapide que les méthodes traditionnelles. Autre point intéressant dans le cadre de la pandémie actuelle, le système de livraison des drones est sans contact.
Lien(s) :
https://dronelife.com/2020/06/04/drone-delivery-for-coronavirus-in-germany/

 

Pays : États-Unis
Sujet : L’université du Kansas va tester l’application « CvKey » pour contrôler l’accès des étudiants au campus 
Date de publication : 04/06/2020
Description : Cette application permet d’effectuer une auto-évaluation de l’état de santé des utilisateurs. Elle génère un QR code indiquant si les étudiants sont en bonne santé et peuvent être autorisés à accéder aux bâtiments du campus. Des initiatives similaires sont également en cours au sein des universités d’Arizona, d’Alabama et du Wisconsin. 
Lien(s) :
https://news.ku.edu/2020/06/04/university-kansas-partner-nonprofit-cvkey-project-pilot-new-app-developed-assist

 

Pays : France
Sujet : La CNIL démarre ses contrôles de l’application StopCovid et des bases de données SI-DEP et Contact Covid
Date de publication : 04/06/2020
Description : Cette série d’audits a été décidée lors de l’audition publique de la CNIL devant l’Assemblée nationale en date du 5 mai 2020. Ces contrôles porteront notamment sur le traitement des données personnelles recueillies par l’application. En cas de risques avérés sur les droits des utilisateurs, des mesures correctives ainsi que des sanctions pourront être mises en place.
Lien(s) :
https://www.cnil.fr/fr/si-dep-contact-covid-et-stopcovid-la-cnil-lance-sa-campagne-de-controles

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :