COVID-19 : VEILLE CYBERSÉCURITÉ #25 – 3 décembre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Menaces

Attaque : Des cybercriminels nord-coréens auraient visés le laboratoire britannique AstraZeneca, impliqué dans le développement d’un vaccin contre le COVID-19
Procédé : Campagne de Spear-Phishing
Cible : Laboratoire AstraZeneca
Date de publication : 27/11/2020
Description : Deux sources anonymes citées par Reuters ont déclaré que de nombreux employés de la firme avaient été contactés sur les réseaux sociaux WhatsApp et LinkedIn par de faux recruteurs, à l’appui d’offres d’emploi frauduleuses. Ces derniers les ont invités à télécharger un document censé fournir des informations sur le poste proposé. Il comportait en réalité une charge malveillante destinée à prendre le contrôle des appareils ciblés.
Lien(s) :
https://www.reuters.com/article/us-healthcare-coronavirus-astrazeneca-no/exclusive-suspected-north-korean-hackers-targeted-covid-vaccine-maker-astrazeneca-sources-idUSKBN2871A2

 

Attaque : Les écoles publiques de Baltimore ont été ciblées par un ransomware paralysant les plateformes d’enseignement à distance mises en place pendant la pandémie de COVID-19
Procédé : Ransomware
Cible : Systèmes informatiques des écoles
Date de publication : 26/11/2020
Description : Alors que les environnements d’apprentissage scolaire deviennent de plus en plus virtuels, plusieurs écoles publiques du comté de Baltimore ont été victimes d’un ransomware. Cela a provoqué l’interruption du réseau empêchant les 115 000 élèves concernés de suivre leurs cours en ligne. Peu de détails ont été rendus publics, mais certains enseignants d’une école touchée ont affirmé que leurs fichiers étaient chiffrés avec l’extension .ryuk.
Lien(s) :
https://www.govinfosecurity.com/ransomware-attack-targets-baltimore-county-public-schools-a-15467

 

Fraudes

Attaque : Des cybercriminels envoient de fausses factures aux établissements de santé français pour rediriger leurs cibles et obtenir de l’argent
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 24/11/2020
Description : Des cybercriminels ont envoyé de fausses factures concernant les outils de la suite bureautique Office Pro 365 à divers établissements de santé et ont incité leurs victimes à cliquer sur un lien de téléchargement frauduleux. Ils ont ensuite fait croire à ces victimes qu’il s’agissait d’un renouvellement des achats de licences Microsoft Office. La mention « paiement sous 14 jours » incite les victimes à payer rapidement via un IBAN correspondant à un compte bancaire en Bulgarie.
Lien(s) :
https://www.cyberveille-sante.gouv.fr/index.php/cyberveille-sante/2215-factures-frauduleuses-concernant-des-licences-de-produits-microsoft-2020-11

 

Attaque : Une campagne de phishing fournit de faux documents d’information relatifs au COVID-19 pour voler des identifiants de connexion professionnels
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 19/11/2020
Description : Les cybercriminels se font passer pour Microsoft, prétextant une mise à jour de la politique de congé maladie de l’entreprise des victimes. En usurpant les notifications de SharePoint, les cybercriminels incitent les victimes, mises en confiance, à cliquer sur un lien frauduleux qui les redirige vers une fausse page de connexion Microsoft. Pour que les employés ne se doutent de rien, ils sont ensuite redirigés vers une page contenant de la documentation sur le COVID-19.
Lien(s) :
https://cofense.com/threat-actor-utilizes-covid-19-uncertainty-to-target-users/

 

Attaque : Les données personnelles de 16 millions de brésiliens positifs au COVID-19 exposées
Procédé : Fuite de données
Surface/Application : Plateforme Github
Date de publication : 26/11/2020
Description : Un personnel hospitalier de l’hôpital Albert Einstein à Sao Paulo a téléversé sur Github une feuille de calcul contenant l’identité, les mots de passe et d’autres données sensibles de 16 millions de Brésiliens. Parmi ces informations, on retrouve les deux bases de données gouvernementales E-SUS-VE et Sivep-Gripe, contenant respectivement l’enregistrement des patients COVID-19 et le suivi des cas hospitalisés. Après sa découverte sur la plateforme, la feuille de calcul a été rapidement retirée.
Lien(s) :  
https://www.usine-digitale.fr/article/covid-19-les-donnees-patients-de-16-millions-de-bresiliens-ont-ete-exposees-en-ligne.N1034049

 

Attaque : Des cybercriminels se font passer pour des agences gouvernementales américaines et prétendent offrir une aide financière pendant la pandémie de COVID-19
Procédé : Campagnes de phishing/Collecte de données personnelles
Surface/Application : E-mails
Date de publication : 24/11/2020
Description : Une première campagne imite le gouvernement fédéral américain et prétend verser une aide de 5 800 dollars pour convaincre ses cibles de remplir un formulaire à l’aide de leurs données personnelles. Ces dernières pourraient ensuite être exploitées afin d’usurper leur identité. Une seconde imite le programme d’assistance au chômage pour rediriger les victimes vers une page web frauduleuse où ils sont invités à se connecter à leur compte personnel. Les identifiants de connexion collectés peuvent ensuite être exploités dans des campagnes de credential stuffing.
Lien(s) :
https://www.bleepingcomputer.com/news/security/crooks-impersonate-us-govt-agencies-offering-financial-aid/

 

Ressources utiles

Type de ressources : Google Cloud améliore sa plateforme de prévision de l’évolution de la pandémie de COVID-19 et ajoute un tableau de bord « Japon »
Cible : Grand public, entités publiques et privées
Date de publication : 17/11/2020
Description : Lancée en août 2019 en partenariat avec le « Global Health Institute » de l’Université de Harvard, cette plateforme s’appuie sur les données de l’Université John Hopkins et du COVID Tracking Project et utilise l’intelligence artificielle pour créer une projection de l’évolution de la pandémie aux États-Unis. Cette nouvelle mise à jour introduit la possibilité de personnaliser les projections, étend leur durée à 28 jours et ajoute un indice d’incertitude ainsi qu’un tableau de bord dédié au Japon.
Lien(s) :
https://cloud.google.com/blog/products/ai-machine-learning/google-and-harvard-improve-covid-19-forecasts
https://datastudio.google.com/reporting/8224d512-a76e-4d38-91c1-935ba119eb8f/page/GfZpB

Type de ressources : Le « Global Health Institute » de l’Université de Harvard propose une ressource permettant de créer une campagne de communication sur le COVID-19
Cible : Administrations publiques/Établissements de santé
Date de publication : 20/11/2020
Description : Créée en collaboration avec d’autres universités et fondations américaines, cette plateforme offre de nombreux conseils pour mettre en œuvre une campagne de communication et de sensibilisation au COVID-19. Elle propose également un large panel d’infographies et de messages personnalisables, particulièrement adaptés à une diffusion sur les réseaux sociaux.
Lien(s) :
https://globalhealth.harvard.edu/covid-19-testing-communications-and-community-engagement-toolkit/
https://www.covidtestingtoolkit.org/

 

Autres actualités

Pays : Allemagne
Sujet : Faille de sécurité dans l’application de traçage de contacts Corona-Warn-App (CWA)
Date de publication : 19/11/2020
Description : Les chercheurs du GitHub Security Lab ont découvert une faille de sécurité de type « pre-authentication RCE », permettant l’exécution de code à distance sans avoir besoin d’authentification préalable sur l’infrastructure prenant en charge CWA pour Android et iOS. Les chercheurs ont cependant précisé que les applications mobiles n’étaient pas concernées. Les équipes du GSL ont rapporté la faille à SAP, en charge de développer l’application, qui l’a ensuite corrigé.
Lien(s) :
https://securitylab.github.com/research/securing-the-fight-against-covid19-through-oss

 

Pays : International
Sujet : Cisco corrige une vulnérabilité de Webex qui permettait à un cybercriminel de s’infiltrer dans des réunions privées
Date de publication : 18/11/2020
Description : Cette vulnérabilité est due à une mauvaise gestion des jetons d’authentification de Cisco Webex Meetings et Cisco Webex Meetings Server. Un attaquant pourrait alors rejoindre des réunions sans apparaître dans la liste des participants et avoir accès à d’autres fonctionnalités telles que l’audio et le partage d’écran. Des mises à jours logicielles et des correctifs ont été apportés par Cisco sur les sites de Cisco Webex Meetings, basés sur le cloud.
Lien(s) :
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-auth-token-3vg57A5r
https://securityintelligence.com/posts/ibm-works-with-cisco-exorcise-ghosts-webex-meetings/

 

Pays : Australie
Sujet : Un nouveau protocole de communication pour l’application de traçage de contacts COVIDSafe
Date de publication : 29/11/2020
Description : L’application australienne a été soumise à une série d’améliorations. Depuis son lancement, le 26 avril dernier, 14 mises à jour ont été fournies, la dernière en date n’est autre que le protocole Bluetooth Herald, développé en open source dans le cadre de l’initiative Linux Foundation Public Health en juillet 2020. Il a notamment pour but d’améliorer la communication Bluetooth entre divers mobiles, aboutissant à une identification des contacts plus efficace entre les appareils, notamment les appareils iOS.
Lien(s) :
https://www.dta.gov.au/news/covidsafe-captures-close-contacts-new-herald-protocol

 

Pays : International
Sujet : Interpol alerte ses pays membres de la menace du crime organisé sur les vaccins contre le COVID-19
Date de publication : 02/12/2020
Description : Alors que le développement de plusieurs vaccins arrive à son terme, Interpol rappelle la nécessité d’une coordination forte entre ses membres pour contrer les activités criminelles qui vont saisir cette opportunité pour opérer des escroqueries. Le principal risque réside dans la vente de faux vaccins, en physique et sur Internet, en particulier lorsque les déplacements internationaux seront de nouveau autorisés et que des attestations de vaccination contre le COVID-19 seront probablement exigées.
Lien(s) :
https://www.interpol.int/en/News-and-Events/News/2020/INTERPOL-warns-of-organized-crime-threat-to-COVID-19-vaccines