COVID-19 : VEILLE CYBERSÉCURITÉ #22 – 22 octobre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur la vulnérabilité CVE-2020-3535 dans Webex

Attaque : Cisco corrige plusieurs vulnérabilités affectant sa plateforme de conférence en ligne Webex Teams
Score CVSS : 7,8
Cible : Utilisateurs de Webex Teams pour Windows
Date de publication : 07/10/2020
Lien(s) :
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-teams-dll-drsnH5AN

Description

Depuis le début de la pandémie du COVID-19, nos méthodes de travail ont évolué afin d’éviter les contacts humains non-indispensables et la pratique du télétravail s’est fortement démocratisée, lorsque l’activité de l’entreprise le permet.  

On observe ainsi une explosion du marché des outils permettant de travailler à distance, tels que les technologies d’accès à distance des ressources internes (VPN), les outils de visioconférence et des outils de communication interne. Désormais au cœur des activités des entreprises, ces derniers constituent des composants vulnérables critiques, cibles de choix pour les cybercriminels. Cisco, un des leaders américains du marché des technologies réseau possède depuis 2007 la compagnie Webex, spécialisée dans les visioconférences.

Elle propose notamment l’outil Cisco Webex Teams, qui permet la collaboration au sein des équipes, grâce à des fonctionnalités de messagerie, visioconférence, notes partagées, agenda et partage de fichiers. 

Mode opératoire

La vulnérabilité CVE-2020-3535 en question peut permettre à un attaquant authentifié sur la machine de charger une librairie partagée malveillante au sein du logiciel Webex Teams.

En effet, la gestion incorrecte des chemins d’accès aux répertoires par le chargeur de DLL (Dynamic-Link Library) au moment de l’exécution de l’application permet d’exécuter au lancement une DLL malveillante ayant été placée dans un répertoire spécifique du système par l’attaquant.

Cette DLL malveillante va donc être exécutée avec les droits de l’utilisateur ayant lancé Webex Teams, une élévation de privilège est donc envisageable.

Cisco a publié une mise à jour de Webex Teams qui corrige cette vulnérabilité.

 

Menaces

Attaque : Une base de données Amazon Web Services (AWS) non sécurisée expose les données médicales de milliers de patients d’un laboratoire médical indien
Procédé : Fuite de données
Cible : Patients du laboratoire Dr Lal PathLabs
Date de publication : 13/10/2020
Description : Suite à un problème de configuration, la base de données AWS du laboratoire Dr Lal PathLabs, proposant des tests de diagnostic du COVID-19, est restée publique pendant un mois. Environ 50 Go de données patients contenant notamment des résultats de tests COVID-19 ont été exposés. Découverte par l’expert en cybersécurité Sami Toivonen, cette fuite a pu être corrigée par le laboratoire en quelques heures.
Lien(s) :
https://www.healthcareinfosecurity.com/unsecured-aws-database-left-patient-data-exposed-a-15163

 

Attaque : Le groupe APT (Advanced Persistent Threat) XDSpy a mené des campagnes de spear-phishing exploitant notamment le COVID-19 pour diffuser le malware XDDown
Procédé : Campagnes de spear-phishing
Cible : Entités gouvernementales et privées en Europe de l’Est et dans les Balkans
Date de publication : 02/10/2020
Description : Actif depuis 2011, ce groupe APT a récemment utilisé des leurres COVID-19 pour piéger ses victimes et voler des informations confidentielles. En février 2020, XDSpy a ainsi usurpé l’identité du centre biélorusse de pneumologie et de lutte contre la tuberculose pour cibler le ministère de l’Industrie biélorusse via des e-mails frauduleux contenant une pièce jointe malveillante. En septembre, une campagne similaire a quant à elle visé des cibles russophones.
Lien(s) :
https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/

 

Attaque : Des cybercriminels exploitent le diagnostic positif de Donald Trump au COVID-19 pour diffuser le chargeur de la porte dérobée Bazar
Procédé : Campagne de phishing
Surface/Application : E-mail
Date de publication : 07/10/2020
Description : Les e-mails frauduleux prétendent fournir des informations sur l’état de santé du président américain pour encourager leurs cibles à cliquer sur un lien les redirigeant vers un document Excel malveillant. Une fois ouvert, ce dernier télécharge et installe la porte dérobée BazarLoader, conçue pour déployer d’autres malwares et voler des données sensibles aux organisations ciblées. Retrouvez ici notre focus Bazarloader présenté lors d’un bulletin de Veille Cybersécurité précédent.
Lien(s) :
https://twitter.com/threatinsight/status/1313860463495704578
https://cyberguerre.numerama.com/8127-hackers-premiers-sur-lactu-un-phishing-pretend-contenir-des-infos-exclusives-sur-la-sante-de-trump.html

 

Fraudes

Attaque : Le FBI alerte sur des fraudes aux dons caritatifs associés au COVID-19
Procédé : Campagne de phishing
Surface/Application : E-mail
Date de publication : 14/10/2020
Description : Après une recrudescence des campagnes de phishing avec des leurres COVID-19, les cybercriminels se font passer pour des organismes caritatifs pour escroquer leurs victimes et propager un malware via des e-mails frauduleux. En réaction, le FBI a communiqué une série de conseils pour prévenir ces fraudes.
Lien(s) :
https://www.fbi.gov/news/pressrel/press-releases/fbi-warns-of-potential-charity-fraud-associated-with-the-covid-19-pandemic
https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/charity-and-disaster-fraud

 

Attaque : Des cybercriminels usurpent l’identité de l’Internal Revenue Service (IRS) pour voler des données personnelles
Procédé : Campagne de phishing
Surface/Application : E-mail
Date de publication : 07/10/2020
Description : Des cybercriminels se sont fait passer pour l’IRS en prétendant informer les victimes d’une mise à jour des fonds de secours du COVID-19. Ces dernières sont incitées à cliquer sur un lien redirigeant vers un formulaire SharePoint dans le but d’obtenir des informations d’identification de messagerie et d’autres données personnelles. Selon Armorblox, les cybercriminels ont compromis puis exploité le compte SharePoint d’un employé pour contourner les mécanismes de sécurité de Microsoft 365.
Lien(s) :
https://www.armorblox.com/blog/blox-tales-irs-covid-relief-phishing/
https://www.techrepublic.com/article/phishing-attack-spoofs-irs-covid-19-relief-to-steal-personal-data/  

 

Ressources utiles

Type de ressources : La CNIL publie ses recommandations relatives à la collecte de données dans les établissements qui doivent mettre en place des « cahiers de rappel »
Cible : Restaurants, cafés et leurs clients
Date de publication : 07/10/2020
Description : En zone d’alerte maximale, l’ouverture de certains établissements est conditionnée par la mise en place de « cahiers de rappel » destinés à collecter les coordonnées des clients afin de pouvoir les contacter en cas de contamination de l’un d’entre eux. La CNIL rappelle alors que seules les données nécessaires (identité et moyen de contact) doivent être collectées et stockées de manière sécurisée pour une durée maximale de 14 jours. En outre, elles ne sont accessibles que par les autorités sanitaires, lorsqu’elles en font la demande.
Lien(s) :
https://www.cnil.fr/fr/covid-19-et-les-cahiers-de-rappel-les-recommandations-de-la-cnil
https://solidarites-sante.gouv.fr/actualites/presse/communiques-de-presse/article/renforcement-protocole-sanitaire-restaurants-zones-d-alerte-maximale

 

Type de ressources : Europol publie son rapport annuel sur les menaces informatiques
Cible : Secteur public/privé
Date de publication : 05/10/2020
Description : Ce rapport d’Europol présente une évaluation des menaces de la cybercriminalité en combinant l’application de la loi et la connaissance du secteur privé. Ce rapport présente notamment l’impact du COVID-19 comme accélérateur de la mutation des menaces et met en exergue l’exploitation de nouveaux modes opératoires par les cybercriminels en pleine pandémie.
Lien(s) :
https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2020

 

Autres actualités

Pays : France
Sujet : Lancement d’une nouvelle version de l’application StopCovid intitulée « Tous Anti-Covid »
Date de publication : 14/10/2020
Description : Reconnaissant l’échec de StopCovid, le président français Emmanuel Macron a annoncé le lancement le 22 octobre d’une nouvelle version de l’application. Renommée « Tous Anti-Covid », cette mise à jour devrait intégrer de nouvelles fonctionnalités et fournir des informations supplémentaires relatives aux gestes barrières à adopter, à l’évolution de la circulation du virus sur le territoire ou encore aux centres de tests.
Lien(s) : https://www.gouvernement.fr/info-coronavirus/stopcovid
https://www.frandroid.com/android/applications/784596_stopcovid-devient-tous-anti-covid-ce-quil-faut-savoir-sur-la-nouvelle-application

 

Pays : Royaume-Uni
Sujet : Une feuille Excel trop remplie retarde le traçage des cas contacts de 16000 anglais positifs au COVID-19
Date de publication : 05/10/2020
Description : À cause d’une erreur informatique liée à un ancien format de fichier (.xls) utilisé par Excel, 16000 cas positifs au COVID-19 n’ont pas pu être recensés par le gouvernement britannique entre le 25 septembre et le 2 octobre 2020. En effet, la version d’Excel utilisée n’autorise qu’un nombre limité de colonnes dans ses feuilles de calcul. Bien que les 16000 cas positifs aient finalement été enregistrés, cet incident a cependant retardé le traçage des cas contacts.
Lien(s) : https://www.bbc.com/news/uk-54412581
https://www.numerama.com/politique/653217-16-000-anglais-malades-du-covid-ont-ete-oublies-a-cause-dune-feuille-excel-trop-pleine.html

 

Pays : International
Sujet : Nokia lance un système de détection de la température pour le contrôle d’accès
Date de publication : 15/10/2020
Description : Cette solution thermique basée sur des analyses avancées permet d’identifier les symptômes du COVID-19 et de surveiller la conformité du masque dans les lieux publics et privés tels que des entreprises. Nokia utilise des caméras thermiques, une gestion centralisée et des analyses basées sur des technologies Cloud. Déjà testée dans l’usine de Nokia Chennai, cette solution a pu assurer la surveillance des températures et garantir la résilience de l’approvisionnement et la continuité des activités.
Lien(s) :
https://www.nokia.com/about-us/news/releases/2020/10/15/nokia-advances-fight-against-covid-19-with-analytics-based-thermal-detection-solution/

 

Pays : International
Sujet : Google Maps améliore son système d’estimation de la fréquentation des lieux
Date de publication : 15/10/2020
Description : Alors que Google Maps fournissait déjà des informations relatives aux tendances de fréquentation des établissements référencés, cette nouvelle fonctionnalité permet aux utilisateurs de consulter leur taux d’occupation en temps réel. Afin d’affiner ce système, Google a modifié son algorithme pour qu’il ne collecte que les données de localisation de ses utilisateurs les plus récentes quand le précédent collectait également les données datant de plusieurs semaines.
Lien(s) :
https://blog.google/products/maps/maps101-popular-times-and-live-busyness-information

 

Retrouvez notre précédent bulletin de VEILLE CYBERSÉCURITÉ !