COVID-19 : VEILLE CYBERSÉCURITÉ #16 – 31 juillet 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le malware Emotet

Attaque : Dans son rapport de juillet 2020 sur les menaces exploitant le COVID-19, McAfee identifie Emotet comme l’un des malwares les plus diffusés
Procédé Campagne de phishing
Cible : Professionnels de la cybersécurité
Date de publication : 22/07/2020
Lien(s) :
https://www.mcafee.com/enterprise/fr-fr/threat-center/mcafee-labs/reports.html

Description :

Emotet est un malware de type Trojan/cheval de Troie qui se propage principalement via des campagnes des spams. Il est apparu au cours de l’année 2014 et était à l’origine utilisé pour voler les informations bancaires de ses victimes via des attaques de l’Homme dans le Navigateur (Man-in-the-Browser). Il est aujourd’hui utilisé comme chargeur (dropper) de malware et est notamment souvent associé aux familles TrickBot, IceID ou Zeus Panda.

Alors qu’Emotet faisait profil bas depuis quelques temps, les récents évènements liés au COVID-19 ont favorisé sa réintroduction via la réalisation de campagnes de phishing massives autour des thématiques liées au virus ciblant à la fois des entreprises et des particuliers.

Mode opératoire :

Une campagne Emotet comporte plusieurs étapes. Des e-mails de phishing contenant un document Office ou un lien de téléchargement [vers un document Office] sont envoyés aux victimes. Le fichier contient une macro exécutant du PowerShell afin de récupérer le binaire (.exe) Emotet de l’un des serveurs de contrôle inscrits dans la macro. Les macros étant généralement désactivées par défaut sur la majorité des postes, la victime est invitée à les activer pour prendre connaissance du document. Le malware crée ensuite un service afin de maintenir son accès à la machine infectée et peut alors remonter des informations au serveur de contrôle.

Emotet met en place plusieurs moyens d’évasion rendant sa détection par les outils d’analyse complexe :

  • L’utilisation du polymorphisme. Cela signifie qu’il peut changer sa représentation à chaque téléchargement, échappant ainsi aux détections basées sur les signatures très utilisées par les anti-virus classiques ;
  • Un mécanisme de détection de sandbox. Le malware identifie qu’il s’exécute dans un environnement virtualisé et ne s’active pas ;
  • Un chiffrement des communications HTTP entre le malware et le serveur de contrôle.

Emotet est composé de plusieurs modules lui permettant de se propager via les e-mails que la victime envoie mais également à la manière d’un ver dans un réseau d’entreprise via l’utilisation de vulnérabilités connues (EternalBlue) ou encore le bruteforce de comptes utilisateurs à l’aide d’une liste de mots de passe fréquents.

Lorsqu’Emotet gagne en persistance sur une machine cible, les attaquants vendent l’accès à cet ordinateur infecté à d’autres cybercriminels. C’est ce qu’on appelle communément du Malware-as-a-Service (MaaS) ou Cybercrime-as-a-Service (CaaS). Les “clients” de MaaS/CaaS implantent ensuite d’autres logiciels malveillants via cet accès qui peuvent être utilisés pour voler des données confidentielles ou encore lancer des rançongiciels sur le réseau interne de l’entreprise victime.

 

Menaces

Attaque : Le département de la Justice des États-Unis inculpe deux cybercriminels chinois pour vol d’informations confidentielles, notamment concernant la recherche sur le COVID-19
Procédé : Vol de données
Cible : Entités publiques et privées, majoritairement aux États-Unis
Date de publication : 21/07/2020
Description : Li Xiaoyu et Dong Jiazhi sont accusés d’avoir mené une campagne de piratage d’une dizaine d’années ciblant des entités publiques et privées dans différents pays. Plus récemment, ils auraient tenté de pénétrer les réseaux d’entreprises et instituts de recherche travaillant sur des tests de dépistage du COVID-19 et sur le développement d’un vaccin. Les accusés travailleraient principalement pour les services de renseignement chinois mais également pour leur profit personnel.
Lien(s) :
https://www.justice.gov/opa/pr/two-chinese-hackers-working-ministry-state-security-charged-global-computer-intrusion
https://www.fbi.gov/wanted/cyber/china-mss-guangdong-state-security-department-hackers

 

Attaque : Un cybercriminel publie sur Internet des communications médicales concernant plusieurs milliers d’Australiens, dont certains cas avérés de COVID-19
Procédé : Vol de données
Cible : Système de communication des établissements médicaux en Australie Occidentale
Date de publication : 20/07/2020
Description : Le cybercriminel aurait exploité l’absence de chiffrement dans un réseau de communication par radiomessagerie (pager) utilisé par les établissements médicaux d’Australie Occidentale. Les données volées contiennent les numéros de téléphone, adresses et situation médicale de milliers de patients et professionnels médicaux de l’État. Le site Internet sur lequel elles avaient été publiées a été fermé depuis lors et le service de communication incriminé a été désactivé.
Lien(s) :
https://ww2.health.wa.gov.au/Media-releases/2020/Clarification-of-reported-data-breach
https://www.9news.com.au/national/coronavirus-western-australia-wa-data-breach-medical-records-personal-information-hackers-website-covid19/0c78b0c4-29b1-423a-b39d-735841b203ef#close

 

Fraudes

Attaque : La police d’État du Punjab alerte sur une campagne de phishing liée au COVID-19
Procédé : Phishing
Surface/Application : Messagerie instantanée (SMS et WhatsApp)
Date de publication : 25/07/2020
Description : Le lien URL frauduleux qui circule sur les messageries instantanées prétend fournir une aide financière gouvernementale dans le cadre du COVID-19. Si les victimes cliquent sur le lien, elles sont redirigées vers un questionnaire qui, une fois rempli, les incite à partager un lien à leurs contacts. Les autorités indiennes rappellent de ne pas cliquer sur ces liens frauduleux qui peuvent diffuser des malwares ou permettre aux cybercriminels de voler des données financières.
Lien(s) :
https://punjabgovtindia.wordpress.com/2020/07/25/punjab-police-state-cyber-crime-cell-issues-alert-on-phishing-fraud-linked-to-covid-19/

 

Ressources utiles

Type de ressources : Le U.S. Internal Revenue Service (IRS) publie une liste des fraudes fiscales exploitant le COVID-19
Cible : Grand public aux États-Unis
Date de publication : 16/07/2020
Description : Baptisée « Dirty Dozen », cette liste publiée annuellement dresse un bilan des arnaques fiscales. En 2020, l’accent est particulièrement mis sur celles qui ont exploité la pandémie du COVID-19 pour obtenir les données personnelles de milliers de contribuables. Les stratagèmes les plus utilisés sont les campagnes de phishing, les fausses œuvres de charité, ou encore les escroqueries circulant sur les réseaux sociaux.
Lien(s) :
https://www.irs.gov/newsroom/irs-unveils-dirty-dozen-list-of-tax-scams-for-2020-americans-urged-to-be-vigilant-to-these-threats-during-the-pandemic-and-its-aftermath

 

Type de ressources : Le comité national pilote d’éthique du numérique (CNPEN) publie un rapport sur l’utilisation des outils numériques en télémédecine dans le contexte du COVID-19
Cible : Établissements de santé
Date de publication : 21/07/2020
Description : Face au bouleversement qu’a entraîné la pandémie du COVID-19 en termes de pratiques médicales et au sein des institutions de santé, ce rapport met l’accent sur la nécessité d’encadrer éthiquement et juridiquement les nouveaux outils numériques. L’enjeu de la protection des données personnelles et la sensibilisation du personnel soignant aux nouveaux outils numériques sont également l’une des problématiques centrales de ce rapport.
Lien(s) :
https://www.ccne-ethique.fr/sites/default/files/cnpen-bulletin-telemedecine-2020-07-21.pdf

 

Type de ressources : Tencent a développé un outil basé sur l’Intelligence artificielle pour anticiper les symptômes sévères du COVID-19
Cible : Établissements de santé
Date de publication : 15/07/2020
Description : Basée sur un modèle statistique nommé « analyse de survie », l’intelligence artificielle utilisée par les chercheurs chinois de Tencent permet de traiter une importante quantité de données médicales concernant les problèmes de santé et les antécédents familiaux des patients. Cette IA permet ensuite de prédire le risque que les patients atteints de COVID-19 développent des symptômes sévères en fonction de leurs caractéristiques cliniques.
Lien(s) : https://www.nature.com/articles/s41467-020-17280-8
https://aihealthcare.tencent.com/COVID19-Triage_en.html

 

Type de ressources : Facebook lance une section dédiée à la lutte contre la désinformation au sein de son Centre d’information sur le COVID-19
Cible : Grand public
Date de publication : 15/07/2020
Description : Facebook a investi plusieurs millions d’euros dans sa stratégie de lutte contre la désinformation. Le réseau social prône un accès à des informations de qualité et la suppression définitive des contenus préjudiciables, tels que les publicités mensongères pour la vente de produits médicaux (masques médicaux, désinfectants pour les mains, kits de tests COVID-19, etc.).
Lien(s) : https://about.fb.com/news/2020/07/coronavirus/

 

Autres actualités 

Pays : International
Sujet : Google va bloquer les publicités sur les sites et applications diffusant du « contenu dangereux » sur la pandémie de COVID-19
Date de publication : 17/07/2020
Description : Cette interdiction qui débutera le 18 août concerne les fausses allégations allant à l’encontre du consensus scientifique faisant autorité et qui peuvent contribuer aux théories conspirationnistes sur le COVID-19, comme les promotions anti-vaccins ou les contenus qui encouragent les utilisateurs à renoncer à un traitement. Par ailleurs, en cas de non-respect par les éditeurs de la politique anti-désinformation, Google pourra démonétiser leur site web.
Lien(s) :
https://www.cnbc.com/2020/07/17/google-to-ban-ads-on-coronavirus-conspiracy-stories.html

 

Pays : International
Sujet : Siemens déploie une application destinée à faciliter le retour au bureau de ses employés dans le contexte du COVID-19
Date de publication : 23/07/2020
Description : Baptisée Comfy, cette application permettra aux employés d’avoir des informations en temps réel concernant le taux d’occupation de leurs lieux de travail. Ceci permettra de réguler la présence des collaborateurs sur site. Plus de 600 sites devraient être équipés, ce qui concerne 100 000 employés répartis dans 30 pays.
Lien(s) :
https://press.siemens.com/global/en/pressrelease/siemens-equip-600-locations-its-workplace-experience-app-comfy

 
Retour sur les précédents bulletins de VEILLE CYBERSÉCURITÉ :