COVID-19 : VEILLE CYBERSÉCURITÉ #26 – 17 décembre 2020

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le malware Zebrocy

Attaque : Des cybercriminels exploitent les vaccins contre le COVID-19 pour distribuer le malware Zebrocy dans sa version développée en Go
Procédé : Campagne de spear-phishing
Cible : Gouvernements et organisations commerciales engagées dans les affaires étrangères
Date de publication : 09/12/2020
Lien(s) :
https://www.intezer.com/blog/research/russian-apt-uses-covid-19-lures-to-deliver-zebrocy/

Description 

Le groupe d’attaquants Sofacy, aussi connu sous les noms de Sednit, APT28, Fancy Bear ou encore STRONTIUM, a profité des annonces en lien avec les vaccins du COVID-19 pour diffuser la réédition du malware Zebrocy.

Ce dernier fut utilisé pour la première fois en 2015. Il permet de récupérer toutes sortes d’informations concernant l’hôte infecté pour ensuite les envoyer vers un serveur de commande et de contrôle.

Ce malware n’a jamais réellement évolué. En effet, ses développeurs ont fait le choix de dupliquer le malware dans différents langages plutôt que de faire évoluer ses fonctionnalités.

Mode opératoire 

Aujourd’hui, c’est une version Go du malware qui est diffusée au travers de campagnes de spear-phishing (phishing associé à de l’ingénierie sociale).

Ainsi, les victimes reçoivent un e-mail contenant en pièce jointe un disque dur virtuel les forçant à utiliser Windows 10 pour y accéder. Une fois le disque dur virtuel ouvert, la victime peut constater que ce dernier contient un fichier PDF ainsi qu’un fichier semblant être un fichier Word.

Le fichier PDF est légitime et présente Sinopharm International Corporation, un fabricant chinois de produits pharmaceutiques. C’est une des cliniques en course dans le développement d’un vaccin contre le COVID-19.

Le second fichier est un exécutable camouflé en fichier Word. Au 30 novembre 2020, il n’était détecté que par neuf des soixante-dix antivirus répertoriés sur le site VirusTotal. Ce malware récupère le nom d’hôte et le chemin d’accès au dossier TEMP de l’utilisateur afin de créer un identifiant unique. Il effectue également des captures d’écran. Le tout est ensuite envoyé sur un serveur de commande et de contrôle. Si ce dernier répond, le malware s’écrit alors sur le disque et s’exécute réellement afin de récupérer de nombreuses informations telles que les processus en cours d’exécution, les informations contenues sur le disque local ou encore les informations système.

Recommandations 

Les attaques par phishing sont toujours aussi efficaces malgré leur ancienneté. Les employeurs doivent veiller à ce que leurs employés soient formés et sensibilisés à la détection de tentatives de phishing et à la réaction à adopter face à ces dernières.

Pour cela, des sessions de formations avec des scénarios de phishing simulés peuvent être mis en place. Afin d’augmenter la réalité de ces sensibilisations, l’entreprise doit se tenir informée des tendances de phishing actuelles. De plus, des filtres anti-spam peuvent être déployés afin de limiter le nombre de mail de phishing reçus.

Les Indicateurs de compromissions (IOCs) sont listés dans l’article d’Intezer cité ci-dessus.

 

Menaces

Attaque : Des cybercriminels nord-coréens auraient ciblé plusieurs organisations impliquées dans le développement de vaccins contre le COVID-19 pour voler des informations confidentielles
Procédé : Campagnes de phishing/spear-phishing
Cible : Johnson & Johnson, Novavax, AstraZeneca, Genexine, Shin Poong Pharmaceutical, Celltrion, Boryung Pharma, Beth Israel Deaconess Medical Center, Université de Tuebingen
Date de publication : 02/12/2020
Description : Cette campagne aurait débuté en septembre 2020 et s’appuierait sur des sites web frauduleux destinés à voler les informations de connexion des employés des organisations ciblées. L’attaque contre AstraZeneca, rapportée dans le bulletin de veille précédent, ferait également partie de cette opération plus large, qui fait écho à l’alerte de Microsoft publiée le 13 novembre dernier. Pour l’heure, aucun élément ne permet de déterminer si ces attaques ont atteint leurs objectifs.
Lien(s) : 
https://www.reuters.com/article/healthcoronavirus-north-korea-cyber/north-korea-linked-hackers-targetd-jj-novavax-in-hunt-for-covid-research-idUSL8N2IH4KJ
http://www.wsj.com/articles/north-korean-hackers-are-said-to-have-targeted-companies-working-on-covid-19-vaccines-11606895026

 

Attaque : Des cybercriminels visent des organisations de la chaîne du froid ayant un rôle dans le stockage du vaccin contre le COVID-19 pour obtenir des informations confidentielles
Procédé : Campagne de spear-phishing
Cible : Entités administratives européennes et mondiales, secteurs de l’énergie et de l’informatique
Date de publication : 03/12/2020
Description : Les cybercriminels se sont fait passer pour un dirigeant d’entreprise de Haier Biomedical, une société chinoise membre du programme de conservation des vaccins (CCEOP) pour envoyer par e-mail de fausses demandes de devis de participation au CCEOP. Les victimes ont été incitées à saisir leurs informations d’identification pour ouvrir des pièces jointes HTML malveillantes. L’analyse d’IBM ne permet pas de savoir si la campagne a abouti mais de telles informations pourraient offrir aux cybercriminels un accès plus large sur la logistique du transport des vaccins.
Lien(s) :
https://securityintelligence.com/posts/ibm-uncovers-global-phishing-covid-19-vaccine-cold-chain/
https://us-cert.cisa.gov/ncas/current-activity/2020/12/03/ibm-releases-report-cyber-actors-targeting-covid-19-vaccine-supply

 

Attaque : Une cyberattaque contre l’Agence européenne des médicaments (EMA) a permis à des cybercriminels d’accéder à des documents réglementaires sur le vaccin de Pfizer/BioNTech
Procédé : Inconnu à l’heure actuelle
Cible : Serveurs de l’Agence européenne des médicaments (EMA)
Date de publication : 09/12/2020
Description : L’EMA a déclaré que seul un nombre limité de documents avait été consulté par les cybercriminels et que ses activités relatives à l’approbation du vaccin dans l’Union européenne n’avaient pas été affectées. La firme allemande BioNTech a quant à elle déclaré que son système d’information et celui du laboratoire américain Pfizer n’ont pas été compromis par cette attaque, les documents en question étant stockés sur les serveurs de l’EMA.
Lien(s) :
https://www.ema.europa.eu/en/news/cyberattack-ema-update-1
https://www.rtl.fr/actu/sciences-tech/l-agence-europeenne-du-medicament-victime-d-une-cyberattaque-7800937304

 

Attaque : Des cybercriminels imitent le SMS du gouvernement français invitant à télécharger l’application TousAntiCovid pour distribuer le malware Alien
Procédé : Campagne de phishing
Cible : Grand public en France
Date de publication : 04/12/2020
Description : Ce SMS est une copie conforme du message officiel, à la différence qu’il comporte un lien Bitly renvoyant vers une page web frauduleuse. Cette dernière imite avec précision le site officiel pour convaincre ses victimes de télécharger un fichier APK qui installe une application malveillante sur leur téléphone. Il s’agit du cheval de Troie Alien, qui permet aux cybercriminels de voler les identifiants d’autres applications et d’enregistrer toutes les actions du téléphone avant d’envoyer ces informations vers un serveur central. Le site frauduleux a été fermé depuis lors.
Lien(s) :
https://cyberguerre.numerama.com/9188-des-hackers-imitent-le-sms-tousanticovid-du-gouvernement-pour-diffuser-un-dangereux-malware.html
https://www.leparisien.fr/high-tech/tousanticovid-alerte-aux-faux-sms-officiels-qui-installent-un-virus-devastateur-04-12-2020-8412449.php

 

Fraudes

Attaque : Des cybercriminels exploitent la vaccination contre le COVID-19 comme leurre pour voler des informations d’identification
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 09/12/2020
Description : Les cybercriminels s’appuient sur la forte demande de vaccination et l’épuisement progressif des stocks dans le monde entier pour proposer à leurs victimes la garantie d’être vaccinées. Les victimes sont incitées à cliquer sur un lien frauduleux redirigeant vers une fausse page de connexion puis à se créer un compte personnel et saisir leurs informations d’identification.
Lien(s) :
https://blog.knowbe4.com/theyre-here-covid-19-vaccine-phishes-finally-arrive

 

Attaque : De faux vaccins contre le COVID-19 vendus sur le darknet
Procédé : Escroquerie
Surface/Application : Darknet
Date de publication : 04/12/2020
Description : Ces vaccins, vendus 1 300 dollars pièce, auraient été développés par les laboratoires Pfizer et BioNTech. Il est également indiqué que le paiement peut s’effectuer en Bitcoin et les livraisons sont internationales. Bien que l’annonce des premières vaccinations dans le monde entier suscite un engouement, Europol a rappelé dans une alerte, l’importance d’être vigilants face aux cybercriminels qui exploitent notamment cette thématique au travers de campagnes de phishing et de désinformation.
Lien(s) :
https://www.vice.com/en/article/akdkkg/darknet-drug-dealers-are-now-selling-pfizer-covid-vaccines
https://blog.checkpoint.com/2020/12/11/covid-19-vaccines-touted-for-just-250-on-darknet/
https://www.europol.europa.eu/publications-documents/early-warning-notification-vaccine-related-crime-during-covid-19-pandemic

 

Attaque : Des cybercriminels prétendent fournir une aide financière dans le cadre de la pandémie de COVID-19 pour voler les informations personnelles de citoyens américains
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 03/12/2020
Description : Les e-mails frauduleux renvoient vers une page web imitant un site du gouvernement fédéral américain qui propose de remplir un formulaire pour obtenir une aide de 5 800 dollars, distribuée dans le cadre de la pandémie de COVID-19. Les victimes sont invitées à le remplir à l’aide d’informations personnelles (numéro de sécurité sociale, adresse, date de naissance, etc.) qui peuvent être exploitées par les cybercriminels pour usurper leur identité et mener de nouvelles attaques.
Lien(s) : https://cofense.com/emergency-financial-aid-phish/

 

Ressources utiles

Type de ressources : Quizz interactif pour détecter des messages frauduleux et sensibiliser le grand public
Cible : Grand public
Date de publication : Juin 2020
Description : Le centre de cybersécurité australien (ACSC) a constaté que la pandémie de COVID-19 offre davantage d’opportunités aux cybercriminels pour voler des informations confidentielles. Le gouvernement australien a donc mis en place un quizz pour détecter des messages frauduleux exploitant divers leurres et mener des campagnes de phishing. Il propose quatre cas pratiques dont un exploitant le COVID-19 et demande aux internautes d’identifier lesquels sont des arnaques. 
Lien(s) :
https://www.cyber.gov.au/acsc/view-all-content/programs/stay-smart-online/scam-messages

 

Type de ressources : Listes des noms de domaines et sous-domaines comportant le mot COVID enregistrés depuis le début de la pandémie
Cible : Professionnels de la cybersécurité
Date de publication : 07/12/2020
Description : Le hacker éthique SaxX a publié sur Github une liste comportant près de 500 000 noms de domaines et sous-domaines enregistrés dans le monde depuis le début de la pandémie, dont près de 4 000 en France. Parmi ces noms de domaines, une partie est destinée à des campagnes de phishing.
Lien(s) : https://gist.github.com/S42X/6a74730a16d4b6169b9998925b640956

 

Autres actualités

Pays : Brésil
Sujet : La base de données officielle du ministère brésilien de la Santé exposée en ligne
Date de publication : 03/12/2020
Description : Pendant six mois, les données de 243 millions de brésiliens ont été exposées car le mot de passe du portail web « e-SUS Notifica » du site gouvernemental était stocké dans le code source. Ces données référencées comprennent des informations personnelles telles que des noms, adresses et dossiers médicaux. Les journalistes ont déclaré que le mot de passe codé en base64 était facilement accessible. Les informations d’identification ont finalement été supprimées du code source du site.
Lien(s) :
https://www.zdnet.com/article/data-of-243-million-brazilians-exposed-online-via-website-source-code/

 

Pays : International
Sujet : Facebook renforce sa lutte contre la désinformation relative aux vaccins contre le COVID-19
Date de publication : 03/12/2020
Description : Sur sa page dédiée à la lutte contre la désinformation relative au COVID-19, la firme a annoncé qu’elle allait commencer à supprimer des réseaux sociaux Facebook et Instagram les contenus comportant de fausses informations sur les vaccins contre le COVID-19. Ils englobent la désinformation concernant leur sécurité et efficacité et la diffusion de théories du complot. Facebook a précisé qu’il continuerait également d’alimenter son centre d’information sur le COVID-19.
Lien(s) :
https://about.fb.com/news/2020/12/coronavirus/#removing-covid-vaccine-misinformation
https://www.facebook.com/coronavirus_info/

 

Pays : France
Sujet : PredictEst, une solution basée sur l’intelligence artificielle et la modélisation épidémiologique en mesure de prédire l’évolution de l’épidémie
Date de publication : 04/12/2020
Description : La Région Grand Est, l’Eurométropole de Strasbourg, l’IHU de Strasbourg et PRIeSM (Plateforme régionale d’innovation en e-santé mutualisée) ont conjointement développé une solution numérique de pilotage pour le déconfinement à l’échelle de la région. Enrichie par des données statistiques officielles, PredictEst permet de prédire d’éventuels rebonds de l’épidémie et d’anticiper l’apparition de clusters à l’aide d’indicateurs tels que le volume de tests de dépistage réalisés. 
Lien(s) :
https://www.ticsante.com/story/5461/covid-19-lancement-de-l-outil-predictest-pour-la-modelisation-et-l-aide-a-la-decision-dans-le-grand-est.html
https://www.grandest.fr/predictest-un-outil-pour-predire-levolution-de-lepidemie/

 

Pays : France
Sujet : La CNIL autorise trois premiers projets du Health Data Hub à accéder aux données médicales nécessaires à leur lancement : CoviSAS, Frog Covid et CoData
Date de publication : 27/11/2020
Description : CoviSAS s’appuiera sur les données de l’assurance maladie pour identifier les combinaisons de pathologies conduisant au développement d’une forme grave du COVID-19 parmi les patients souffrant d’apnée du sommeil. Frog Covid vise quant à lui à identifier les facteurs de développement d’une forme sévère de la maladie pour définir des profils de patients à risque. Enfin, CoData étudiera l’impact de la pandémie sur la prise en charge des femmes atteintes d’un cancer du sein.
Lien(s) :
https://www.health-data-hub.fr/actualites/lutte-contre-la-covid-19-3-projets-soutenus-par-le-hdh-vont-pouvoir-debuter

 

Pays : France    
Sujet : Évolution des critères de distance et de durée des contacts dans l’application TousAntiCovid
Date de publication : 28/11/2020
Description : L’application considérait jusqu’à présent comme cas contact, les personnes restées plus de 15 minutes à moins d’1 mètre d’une autre personne déclarée positive au COVID-19. Désormais, TousAntiCovid va prendre en compte les contacts effectués pendant 5 minutes à moins d’un mètre et ceux de 15 minutes entre 1 et 2 mètres. Ces modifications vont notamment permettre à l’application de prendre en compte davantage de situations à risque.
Lien(s) :
https://www.legifrance.gouv.fr/download/pdf?id=crCV8B7_S7hCRhA-RAHdv8-iqmYsnm7jq9JvNFwPQos=

 

Pays : Canada
Sujet : Des cas contacts au COVID-19 n’ont pas été alertés en raison d’un bug de l’application de traçage des contacts fédérale COVID Alert
Date de publication : 04/12/2020
Description : Le bug en question affectait les vérifications d’exposition que doit conduire automatiquement le serveur central avec les smartphones des utilisateurs de l’application plusieurs fois par jour, afin de constater s’ils ont été en contact avec des cas avérés de COVID-19. Ces vérifications n’ont pas fonctionné entre le 9 et le 23 novembre dernier pour un nombre indéterminé d’utilisateurs. Une mise à jour corrective a été déployée depuis lors.
Lien(s) :
https://www.cbc.ca/news/technology/covid-app-alert-vulnerability-1.5826808