COVID-19 : VEILLE CYBERSÉCURITÉ #20 – 24 septembre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le malware Sepulcher

Attaque : Des cybercriminels chinois ciblent l’OMS et l’Europe via des campagnes de phishing sur le thème du COVID-19
Procédé : Campagnes de phishing propageant le malware « Selpucher »
Cible : Entités diplomatiques et législatives européennes
Date de publication : 02/09/2020
Lien(s) :
https://www.proofpoint.com/us/blog/threat-insight/chinese-apt-ta413-resumes-targeting-tibet-following-covid-19-themed-economic

Description

Le groupe chinois APT (Advanced Persistent Threat) TA413 a profité de l’épidémie mondiale de COVID-19 pour réaliser une campagne de phishing via des e-mails visant majoritairement des entités diplomatiques et législatives européennes, des organismes à but non lucratif et des organisations mondiales économiques. Les contenus de ces e-mails ont imité les directives de l’Organisation Mondiale de la Santé (OMS) sur la préparation au COVID-19 sous forme de pièce jointe (RTF Microsoft Word) qui, une fois exécutée, installe le malware Sepulcher.

Mode opératoire

Dans un premier temps la pièce jointe nommée « Covdi.rtf » est exécutée. Celle-ci exploite une vulnérabilité de l’éditeur d’équations Microsoft et installe un objet RTF malveillant sous la forme d’un méta-fichier Windows (WMF) dans le répertoire Windows « %\AppData\Local\Temp\wd4sx.wmf ». Une fois installé et exécuté, le fichier WMF permet la livraison et l’installation du malware final Sepulcher. Ici, le fichier WMF est le loader du réel malware, c’est-à-dire qu’il est responsable de l’import et de l’exécution de celui-ci sur le système.

Dans un second temps, le fichier WMF installe un fichier temporaire « OSEB979.tmp » servant de dropper qui installe par la suite la charge utile finale de Sepulcher dans le fichier « credential.dll » dans le répertoire « %\AppData\Roaming\Identities\Credential.dll. Pour pouvoir bénéficier d’une persistance sur le système, ce dernier va créer une tâche planifiée nommée « lemp » qui utilise l’exécutable rundll32.exe pour exécuter la charge utile de Sepulcher et appelle la fonction powershell d’exportation « GetObjectCount » sur une base horaire.

schtasks /create /tr “rundll32.exe %APPDATA%\Identities\Credential.dll,GetObjectCount” /tn “lemp” /sc HOURLY

Légende 1 : Tâche planifiée responsable de l’exécution et de la persistance.

La configuration du malware est stockée dans le registre Windows à l’adresse suivante « HKEY_CURRENT_USER\Software\Microsoft\WAB\Resources ». On y retrouve notamment trois clés « Credentials », « Property » et « Security » qui correspondent aux trois serveurs C2 (command & control) stockés de manière chiffrée qui sont utilisés par le malware. Une fois ces clés déchiffrées, nous pouvons constater que le malware communique à son C2 à l’adresse IP 107.151.194.187 en utilisant les ports 80, 443 et 8080.

Le malware peut recevoir un ensemble de commandes lui permettant notamment de collecter des données sur le système infecté, créer une porte dérobée sous forme de terminal dans le but d’exécuter des commandes spécifiques au système ainsi que manipuler l’ensemble des fichiers. Le malware Sepulcher récupère généralement l’ensemble des lecteurs connectés à la victime, l’arborescence des fichiers, les processus en cours d’exécution, l’ensemble des informations des fichiers et les services Windows.

IOCs

Proofpoint a publié les IOCs permettant d’identifier ce malware à la fin de son poste blog.

 

Menaces

Attaque : En Floride, un adolescent lance plusieurs attaques DDoS rendant inaccessible la plateforme d’enseignement à distance instaurée pendant la crise sanitaire
Procédé : Attaque DDoS
Cible : Plateforme d’enseignement en ligne
Date de publication : 03/09/2020
Description : David Oliveros a orchestré simultanément huit attaques par déni de service distribué, conçues pour submerger les réseaux des écoles du comté de Miami-Dade ainsi que la plateforme d’enseignement à distance My School Online. L’adolescent a déclaré avoir utilisé une application en ligne pour mener ses attaques. Parmi les attaques DDoS qui ont été recensées – 12 au total – l’adolescent en aurait réalisé 8 d’entre elles, les autres auraient été menées depuis l’étranger.
Lien(s) :
https://www.local10.com/news/local/2020/09/03/student-arrested-in-connection-with-cyber-attacks-against-miami-dade-public-schools/

 

Attaque : Des laboratoires espagnols travaillant sur le vaccin contre le COVID-19 ont été ciblés par des cybercriminels chinois
Procédé : Espionnage
Cible : Laboratoires de recherche espagnols
Date de publication : 18/09/2020
Description : La cheffe du Centre national du renseignement espagnol (CNI), Paz Esteban a déclaré que des cyberattaques en provenance de la Chine avaient conduit au vol de données médicales issues des laboratoires de recherche. Ces données ont par la suite été commercialisées.
Lien(s) :
https://elpais.com/sociedad/2020-09-17/hackers-chinos-robaron-informacion-de-la-vacuna-espanola-para-la-covid.html

 

Attaque : Un ransomware contre l’hôpital universitaire de Düsseldorf provoque le décès d’une patiente
Procédé : Ransomware
Cible : Hôpital universitaire de Düsseldorf
Date de publication : 17/09/2020
Description : À l’heure du COVID-19, les établissements de santé sont particulièrement touchés par les cyberattaques. Récemment, un ransomware a infecté plus de 30 serveurs internes de l’hôpital universitaire de Düsseldorf paralysant certaines machines destinées aux soins. De nombreux patients ont ainsi dû être transférés vers d’autres établissements, dont une patiente grièvement malade, qui n’a pas survécu à son transfert. La police a ouvert une enquête pour déterminer le degré d’implication de la cyberattaque dans cet incident.
Lien(s): https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/UKDuesseldorf_170920.html

 

Fraudes

Attaque : Des cybercriminels prennent le contrôle du compte Twitter du Premier ministre indien et lancent un faux appel aux dons exploitant la pandémie de COVID-19
Procédé : Usurpation d’identité
Surface/Application : Compte Twitter
Date de publication : 04/09/2020
Description : Les cybercriminels ont sollicité des dons caritatifs en cryptomonnaie. Ces messages ont été supprimés depuis. Cet indicent intervient après le piratage en juillet dernier des comptes Twitter de plusieurs personnalités publiques, notamment ceux de Barack Obama, Elon Musk et de Bill Gates. Twitter a indiqué mener une enquête afin de déterminer comment les cybercriminels ont réussi ce détournement.
Lien(s):
https://timesofindia.indiatimes.com/india/pm-modis-twitter-account-linked-to-personal-site-hacked-restored/articleshow/77920860.cms

 

Attaque : Des cybercriminels véhiculent un faux rapport d’enquête mené sur le COVID-19 et usurpent l’identité de gendarmes réservistes
Procédé : Désinformation
Surface/Application : Rapport d’enquête frauduleux
Date de publication : 04/09/2020
Description : Depuis le mois d’août, plusieurs sites français et étrangers diffusent un “rapport d’enquête d’un groupe d’officiers de réserve” français sur le COVID-19. Ce rapport a pour vocation d’apporter un éclairage sur les causes de la pandémie et les mesures de protection à apporter. Or, l’AFP et la Fédération nationale des réservistes de la gendarmerie soulignent qu’il s’agit d’un faux rapport comportant de nombreuses incohérences scientifiques.
Lien(s) :
https://factuel.afp.com/ce-faux-rapport-dun-groupe-dofficiers-de-reserve-sur-le-covid-19-contient-des-fausses-informations

 

Ressources utiles

Type de ressources : La CNIL rend public son avis trimestriel sur les conditions de traitement des données dans les applications dédiées à la lutte contre le COVID-19
Cible : Grand public
Date de publication : 14/09/2020
Description : La CNIL a pu constater que des améliorations avaient été apportées en matière de protection des données, tant sur le fichier SI-DEP que Contact COVID. Néanmoins certaines garanties demeurent insuffisantes, telles que la sécurité des transmissions des données entre certains organismes ou la délivrance de l’information aux personnes concernées. La CNIL a annoncé une seconde phase de contrôles avant la fin du mois de septembre 2020. Les résultats seront communiqués dans le prochain avis public.
Lien(s) :
https://www.cnil.fr/fr/la-cnil-rend-public-son-avis-trimestriel-adresse-au-parlement-sur-les-conditions-de-mise-en-oeuvre

 

Autres actualités

Pays : France
Sujet : L’Assurance Maladie a communiqué par erreur le statut positif au COVID-19 de trois personnes
Date de publication : 18/09/2020
Description : Un assuré a reçu par erreur sur son espace Ameli trois courriers qui ne lui étaient pas adressés et qui dévoilaient par erreur les coordonnées et le résultat au test du COVID-19 de chacun des destinataires. Cette erreur fait suite à une manipulation inappropriée d’un agent lors du chargement du courrier destiné à l’assuré. Le RGPD prévoit une notification à la CNIL et une communication auprès de chaque personne concernée.
Lien(s) :
https://cyberguerre.numerama.com/7678-lassurance-maladie-a-communique-par-erreur-le-statut-covid-de-3-personnes.html

 

Pays : Japon
Sujet : Fujitsu et l’hôpital Shinagawa de Tokyo vont utiliser l’Intelligence Artificielle pour diagnostiquer plus efficacement les cas graves de COVID-19
Date de publication : 03/09/2020
Description : Les données recueillies lors de précédents scanners de patients du COVID-19 seront utilisées pour former l’IA à la détection de signes anormaux dans les poumons. D’après Fujitsu, l’utilisation de l’IA pour analyser ces scanners permettra d’automatiser le processus. Cette technologie permettra ainsi une détection précoce du COVID-19, même lorsque la possibilité d’infection est déterminée comme faible lors des examens initiaux.
Lien(s) :
https://www.zdnet.com/article/fujitsu-and-tokyo-shinagawa-hospital-to-develop-ai-for-covid-19-pneumonia-diagnosis/

 

Pays : France
Sujet : Le département du Loir-et-Cher utilise un « aérosol connecté » pour désinfecter les établissements scolaires
Date de publication : 19/09/2020
Description : Au moment de la diffusion de l’aérosol – le virucide CleanRwith – l’agent d’entretien scanne le QR-code de la salle de cours, qui génère un certificat de traçabilité. Ainsi, les informations sont remontées en temps réel via une blockchain, à laquelle le Conseil départemental du Loir-et-Cher a accès, ainsi que le principal et le gestionnaire des collèges.
Lien(s) :
https://www.la-croix.com/France/Coronavirus-Loir-Cher-mise-technologie-desinfecter-salles-classe-2020-09-19-1201114858

 

Pays : Royaume-Uni (Pays de Galles)
Sujet : Les détails concernant plus de 18 000 personnes ayant été testées positives au COVID-19 ont été publiés en ligne par erreur par le ministère de la Santé du Pays de Galles
Date de publication : 13/09/2020
Description : Suite à une erreur humaine, les données de 18 105 résidents gallois testés positifs au COVID-19 ont été téléchargées par erreur sur un serveur public où elles pouvaient être consultées par toute personne utilisant le site. Après avoir été alerté, le ministère a supprimé les données.
Lien(s) :
https://phw.nhs.wales/news/public-health-wales-statement-on-data-breach/

 

Retrouvez notre précédent bulletin de VEILLE CYBERSÉCURITÉ !