COVID-19 : VEILLE CYBERSÉCURITÉ #14 – 3 juillet 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le malware IceID diffusé par des campagnes de phishing

Attaque : Une campagne de phishing sur le thème du COVID-19 diffuse le malware bancaire IcedID
Procédé : Phishing
Cible : Services bancaires et financiers
Date de publication : 18/06/2020
Lien(s) :
https://blogs.juniper.net/en-us/threat-research/covid-19-and-fmla-campaigns-used-to-install-new-icedid-banking-malware

Des cybercriminels ont diffusé des e-mails frauduleux qui contiennent en pièce jointe un malware leur permettant de voler des données bancaires. Des chercheurs de Juniper Threat Labs l’ont identifié comme étant une nouvelle version du cheval de Troie bancaire IcedID.

Cette version a changé de technique de dissimulation puisqu’elle se déploie de façon légitime et utilise la stéganographie pour télécharger ses différents composants, afin que son activité soit moins facilement détectable par les mécanismes de protection de l’ordinateur de la victime.

Le malware est embarqué dans la macro d’un fichier Word faisant office d’un faux document du gouvernement américain en lien avec le COVID-19.

Lors de son exécution, le programme déploie une fonctionnalité de téléchargement « loader », chiffrée par défaut pour ne pas être détectée par l’antivirus de l’ordinateur. Ensuite, il va simultanément télécharger depuis un domaine malveillant comme « siffersniffer[.]best » ses modules et sa configuration par stéganographie et contacter plusieurs sites Web légitimes tel que « support.microsoft.com » ou « support.apple.com », en vue de masquer son activité réseau.

L’application prévoit de rester active sur la machine en s’exécutant régulièrement via le gestionnaire de tâches planifiées.

Une fois que le malware a les prérequis pour être opérationnel, il va s’installer en tant qu’application légitime en se déployant sur la machine via un gestionnaire d’installation d’applications Windows.

Sa présence étant vue comme normale sur le système, le malware génère un certificat SSL pour gérer les communications Web en HTTPS et se déclare comme « proxy » auprès des navigateurs Web lancés.

Désormais, l’activité Web de la victime est surveillée et le trafic correspondant à des transactions bancaires peut être identifié. Le programme malveillant cible, entre autres, des services comme « Amazon.com », « eBay », « T-Mobile » ou « American Express ».

Il peut alors récupérer en temps réel les données bancaires des victimes.

Les cybercriminels profitent des campagnes de communication liées à la crise sanitaire provenant des agences gouvernementales et de la confiance des victimes potentielles. Mais de nombreuses autres formes d’attaques ou d’arnaques sont pratiquées par ces mêmes acteurs, abusant de la pandémie du COVID‑19.

Les Indicateurs de compromissions (IOCs) sont listés dans l’article de Juniper Threat Labs.

 

Menaces

Attaque : Des cybercriminels imitent la future application de traçage numérique canadienne pour diffuser le ransomware CryCryptor
Procédé : Application Android frauduleuse
Cible : Grand public au Canada
Date de publication : 24/06/2020
Description : Cette application frauduleuse est distribuée par le biais de sites Internet copiant celui de Santé Canada. Une fois lancé, CryCryptor chiffre les données de l’appareil ciblé et fait apparaître un fichier « readme » contenant l’adresse e-mail des cybercriminels. Les chercheurs d’ESET ont créé une application de décryptage des fichiers compromis par ce ransomware et les sites Internet frauduleux ont été fermés par le Centre canadien pour la cybersécurité.
Lien(s) :
https://www.welivesecurity.com/2020/06/24/new-ransomware-uses-covid19-tracing-guise-target-canada-eset-decryptor/

 

Attaque : Le groupe hospitalier de Phildalephie Crozer-Keystone Health System victime du ransomware Netwalker
Procédé : Vol de données
Cible : Système informatique du groupe hospitalier
Date de publication : 19/06/2020
Description : Le groupe hospitalier a été sommé de payer une rançon en Bitcoin en échange de ses données financières volées. Avec des preuves à l’appui (captures d’écran), les cybercriminels ont menacé de divulguer ces informations si le groupe ne les achetait pas dans les six jours. D’après Crozer-Keystone, leur service informatique a rapidement identifié l’attaque et rétabli les systèmes impactés.
Lien(s) :
https://www.databreaches.net/pennsylvania-health-system-hit-by-netwalker-ransomware/
https://cointelegraph.com/news/ransomware-gang-auctions-off-us-healthcare-data-for-bitcoin

 

Attaque : Plusieurs campagnes de phishing exploitant notamment le thème du COVID-19 ciblent des industries pour diffuser plusieurs familles de ransomware (Avaddon, Mr. Robot, Philadelphia, etc.)
Procédé : Phishing
Cible : Industries en France, États-Unis, Allemagne, Grèce et Italie
Date de publication : 25/06/2020
Description : Les chercheurs de Proofpoint ont observé une hausse des campagnes de phishing utilisant des ransomware comme première charge utile. Certaines d’entre elles s’appuient sur des leurres COVID-19, à l’image de Mr. Robot et de Philadelphia. Le premier est distribué par e-mails imitant les services de santé des entreprises américaines incitant les cibles à cliquer sur un lien pour obtenir leurs résultats de test du COVID-19. Le second cible les entreprises allemandes par des e-mails imitant le gouvernement fédéral et prétendant que leur établissement doit fermer en raison de la crise sanitaire.  Si la victime suit ces liens frauduleux, les ransomware mentionnés s’installent directement.
Lien(s) :
https://www.proofpoint.com/us/blog/security-briefs/ransomware-initial-payload-reemerges-avaddon-philadelphia-mr-robot-and-more

 

Fraudes

Attaque : Une éventuelle campagne de phishing sur le thème du COVID-19 opérée par des cybercriminels nord-coréens vise plusieurs pays
Procédé : Phishing
Surface/application : Messagerie
Date de publication : 18/06/2020
Description : Les chercheurs de CYFIRMA alertent sur une éventuelle campagne de phishing sur le thème du COVID-19 opérée par le groupe de cybercriminels nord-coréens « Lazarus ». Plus de cinq millions de particuliers et d’entreprises sont ciblés dans plusieurs pays dont Singapour, le Japon, le Royaume-Uni et les États-Unis. Les e-mails frauduleux imitent les gouvernements et autorités publiques soutenant financièrement les entreprises pendant la crise sanitaire pour voler des informations personnelles et financières.
Lien(s) :
https://www.cyfirma.com/early-warning/global-covid-19-related-phishing-campaign-by-north-korean-operatives-lazarus-group-exposed-by-cyfirma-researchers/
https://www.csa.gov.sg/singcert/advisories/ad-2020-005

 

Attaque : Le groupe de cybercriminels Kerala Cyber Warriors a obtenu les données de 80 000 patients atteints du COVID-19 à Delhi
Procédé : Fuite de données
Surface/Application : Site Internet du Delhi State Health Mission
Date de publication : 27/06/2020
Description : Les cybercriminels ont annoncé sur Facebook avoir obtenu l’accès aux bases de données du site Internet du Delhi State Health Mission. Les informations recueillies englobent notamment le statut clinique, l’adresse ou encore l’âge des patients. Le groupe a indiqué avoir tenté d’informer le gouvernement local des nombreuses vulnérabilités de ses serveurs sans obtenir de réponse. Il a également publié une vidéo sur YouTube pour protester contre la gestion indienne de la crise sanitaire.
Lien(s) :
https://www.eastcoastdaily.in/2020/06/27/kerala-cyber-warriors-hacked-health-mission-website.html
https://www.facebook.com/KeralaCyberWarriors/posts/1581437572026269

 

Attaque : Des employés visés par une campagne de phishing prétendant offrir une formation sur les mesures d’hygiène à adopter pour le retour au bureau
Procédé : Phishing
Cible : Employés en télétravail
Date de publication : 25/06/2020
Description : Une campagne de phishing s’est appuyée sur le retour progressif des employés dans les bureaux pour voler des informations confidentielles. Les cybercriminels ont envoyé de faux supports de formation sur le COVID-19, notamment sur les nouvelles mesures prises dans les open space. Les employés ont été invités à cliquer sur des liens frauduleux pour s’inscrire à ces formations.
Lien(s) :
https://www.cybertalk.org/2020/06/25/a-surprising-coronavirus-phishing-scheme-that-employees-actually-fall-for/

 

Attaque : Les données personnelles et médicales de patients atteints du COVID-19 en Indonésie en vente sur le darknet
Procédé : Fuite de données
Surface/Application : Base de données du gouvernement indonésien
Date de publication : 21/06/2020
Description : Les données, en vente pour près de 270 euros, englobent le nom, l’adresse, le numéro de téléphone ou encore les résultats des tests du COVID-19 des patients de plusieurs hôpitaux de Bali. Selon le titre de presse local Kompas, le vendeur détiendrait également des données de patients à Jakarta et Bandung.
Lien(s) :
https://cybleinc.com/2020/06/21/230k-indonesian-covid-19-patients-personal-information-leaked-in-the-darknet/
https://www.thejakartapost.com/news/2020/06/20/hacker-allegedly-breaches-govt-database-on-covid-19-test-takers.html

 

Ressources utiles

Type de ressources : L’APSSIS recense différents types de cyberattaques ayant touché des établissements de santé durant la pandémie du COVID-19
Cible : Grand public
Date de publication : 08/06/2020
Description : Ce panorama présente principalement des attaques qui utilisent des e-mails frauduleux, tels que le phishing, l’arnaque au faux support, des ordres de virements bancaires frauduleux ou encore les campagnes de spams massives. L’APSSIS met également en garde à l’égard des conditions de mise en place du télétravail, qui peut être un vecteur d’attaque si les postes sont mal sécurisés.
Lien(s) :
https://www.apssis.com/actualite-ssi/429/covid-19-et-les-quarante-voleurs.htm

 

Autres actualités 

Pays : Singapour
Sujet : Le gouvernement distribue aux seniors un dispositif portatif pour tracer les cas avérés de COVID‑19
Date de publication : 29/06/2020
Description : Ces boîtiers connectés associés à un QR code unique et dotés d’une connexion Bluetooth, permettent d’échanger des informations avec d’autres boîtiers et smartphones dotés de l’application de traçage numérique « Trace Together ». En cas de contact prolongé avec un cas avéré du COVID-19, les utilisateurs seront alertés par le Ministère de la Santé, leurs données extraites du boîtier et remises à un agent autorisé.
Lien(s) :
https://www.zdnet.com/article/singapore-issues-covid-19-contact-tracing-wearables-to-vulnerable-seniors/

 

Pays : France
Sujet : Le gouvernement fait un point d’étape sur le lancement de StopCovid
Date de publication : 23/06/2020
Description : Face au peu de téléchargements de l’application (1,9 millions d’utilisateurs) ainsi qu’au faible nombre de notifications émises (14 notifications), le gouvernement a déclaré qu’il allait travailler sur des solutions pour augmenter son taux d’utilisation, notamment à travers des enquêtes de terrain. Outre un déploiement peu coûteux de StopCovid, le gouvernement a déclaré que l’application sera bientôt interopérable avec les autres solutions européennes grâce à un protocole de traçage des contacts baptisé DESIRE.
Lien(s) :
https://www.zdnet.fr/actualites/stopcovid-beaucoup-de-bruit-pour-14-notifications-39905641.htm
https://www.economie.gouv.fr/direct-video-conference-presse-sur-application-stopcovid-23-juin#

 

Pays : Norvège
Sujet : La Norvège suspend son application de traçage des contacts Smittestopp
Date de publication : 17/06/2020
Description : Cette décision fait suite à la déclaration du Datatilsynet, l’autorité en charge de la protection des données, faisant état d’atteintes importantes aux libertés individuelles. Toutes les données qui avaient été collectées ont été effacées et les utilisateurs ne recevront plus de notification. Les autorités sanitaires ne recommandent toutefois pas à la population de désinstaller l’application afin qu’elle soit réactivée par la suite quand une nouvelle solution sera mise en place.
Lien(s) :
https://www.numerama.com/politique/631041-la-norvege-suspend-son-stopcovid-national-et-efface-toutes-les-donnees-collectees.html

 

Pays : Royaume-Uni
Sujet : Londres se tourne finalement vers l’API d’Apple et Google pour son application de traçage numérique
Date de publication : 18/06/2020
Description : La solution adoptée par le gouvernement utilisait la technologie Bluetooth pour repérer les contacts des personnes infectées mais ne parvenait pas à reconnaître les smartphones d’Apple car la firme en interdit l’usage en arrière-plan par défaut. L’ancienne application devait être initialement disponible dès la mi-mai après un test sur l’Ile de Wight. La nouvelle est prévue d’ici cet automne.
Lien(s) :  https://www.bbc.com/news/technology-53095336

 

Pays : Japon
Sujet : Quelques jours après son lancement, l’application de traçage numérique japonaise mise en pause à la suite d’un bug
Date de publication : 23/06/2020
Description : Les personnes dont le test de dépistage est positif se voient attribuer des numéros de traitement que l’application utilise pour confirmer qu’elles sont bien porteuses du virus. Or, un bug a entraîné l’envoi de numéros de référence non émis par le Ministère de la Santé. Ce problème ne devrait pas avoir provoqué de fausses alertes, car les personnes qui saisissent des numéros de traitement inexistants ne sont pas considérées par l’application comme ayant été testées positives.
Lien(s) :
https://www.japantimes.co.jp/news/2020/06/23/national/bugs-japan-virus-contact-tracing-app/

 

Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :