COVID-19 : VEILLE CYBERSÉCURITÉ #27 – 8 janvier 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur les malwares wAgent et Bookcode utilisés par le groupe Lazarus

Attaque : Kaspersky identifie Lazarus parmi les groupes ayant conduit des cyberattaques sur des firmes pharmaceutiques impliquées dans le développement de vaccins contre le COVID-19
Procédé : Inconnu à l’heure actuelle
Cible : Un ministère de la Santé et une firme pharmaceutique dont l’identité n’a pas été révélée
Date de publication : 23/12/2020
Lien(s) :
https://securelist.com/lazarus-covets-covid-19-related-intelligence/

Description

Alors que la campagne de vaccination contre le COVID-19 a débuté un peu partout dans le monde, des cyberattaques ciblent désormais des compagnies pharmaceutiques ou des organismes publics en lien avec la santé. Tout cela dans le but d’accéder aux résultats des recherches scientifiques sur la mise au point des différents vaccins contre le COVID-19.

Les chercheurs de Securelist relatent deux cyberattaques ayant été perpétrées contre un ministère de la Santé ainsi qu’une société pharmaceutique pour leur recherche dans la lutte contre le COVID-19.

L’analyse de ces cyberattaques et des indices laissés par les différents malwares semble pointer du doigt un groupe de cybercriminels en particulier : Lazarus. Au cours des dernières années, plusieurs attaques informatiques ont été attribuées à ce groupe de cybercriminels qui semble être localisé en Corée du Nord. Le Bureau fédéral d’enquête des États-Unis (FBI) déclare que le groupe Lazarus est une « organisation de piratage informatique parrainée par l’État » nord-coréen.

L’attribution de ces attaques à Lazarus semble en outre correspondre aux informations rapportées par Reuters et relayées dans notre précédent bulletin de veille, selon lesquelles des groupes de cybercriminels nord-coréens seraient à l’origine de campagnes de cyberattaques visant des organisations impliquées dans le développement de vaccins contre le COVID-19.

Mode opératoire

À ce jour, le vecteur d’infection utilisé par les cybercriminels pour infiltrer le ministère de la Santé en charge de lutter contre le COVID-19 est encore inconnu. Cependant, le malware qui a été déployé est connu sous le nom de wAgent. Ce malware se fait passer pour des logiciels communs et légitimes comme XZ Utils, un outil de compression de données. wAgent n’est pas détecté par les solutions de protection lorsqu’il est stocké temporairement sur le disque dur de sa victime car les charges utiles utilisées pour compromettre ses victimes sont chiffrées par défaut, puis déchiffrées uniquement en mémoire lors de l’exécution.

C’est à partir du moment où la charge utile est déchiffrée en mémoire que le contact est établi avec les serveurs de commande et de contrôle (C2) dans le but de permettre aux cybercriminels d’exécuter des commandes sur la machine de la victime. Il a été constaté que ce malware utilise la base de registre pour établir une persistance sur le système. Au final, le malware wAgent prend pour cible le processus natif de Windows appelé « svchost.exe » et procède à une attaque de type injection de DLL dans ce processus pour opérer en toute quiétude.

L’analyse de la cyberattaque perpétrée contre la société pharmaceutique n’a également pas permis d’identifier le vecteur d’infection initial. Cependant, dans ce cas, il s’agit du malware Bookcode qui a été employé. Dans le passé, ce malware a déjà été utilisé à plusieurs reprises et avec différents vecteurs d’infection comme : l’hameçonnage ciblé (spear-phishing), la compromission de la chaîne d’approvisionnement (supply chain) ou encore de certains sites web stratégiques (notamment en Corée du sud). Le mode opératoire du malware Bookcode est semblable à celui de wAgent explicité ci-dessus.

Recommandations

Bien que le vecteur d’infection n’ait pas été clairement identifié, Lazarus est connu pour distribuer des malwares par le biais de campagnes de spear-phishing. Les attaques par phishing sont toujours aussi efficaces malgré leur ancienneté. En conséquence, les employeurs doivent veiller à ce que leurs employés soient formés et sensibilisés à la détection de tentatives de phishing et à la réaction à adopter face à ces dernières.

Les attaques utilisant la chaîne d’approvisionnement comme vecteur d’infection se multiplient à travers le monde comme en témoigne la récente comrpomission de SolarWinds. Face à ce constat, il est également recommandé de surveiller attentivement l’intégrité des mises à jour apportées par les éditeurs de logiciels. 

Les Indicateurs de Compromissions (IoCs) sont listés dans l’article de Securelist cité ci-dessus.

 

Menaces

Attaque : Une cyberattaque par ransomware cible un laboratoire privé impliqué dans la campagne de tests de dépistage du COVID-19 en Belgique
Procédé : Inconnu à l’heure actuelle
Cible : Algemeen Medisch Laboratorium (AML) à Anvers
Date de publication : 29/12/2020
Description : Les cybercriminels sont parvenus à paralyser l’accès au site web du laboratoire et demandent le versement d’une rançon pour le restaurer. Par mesure de précaution, le réseau affecté a été déconnecté afin de conduire une enquête permettant d’identifier l’étendue de la compromission. Le responsable de la sécurité informatique du laboratoire a néanmoins précisé qu’aucun élément ne semble indiquer que des données personnelles et médicales de leurs patients ont été volées.   
Lien(s) :
https://www.brusselstimes.com/news/belgium-all-news/147433/antwerp-laboratory-becomes-latest-victim-of-cyber-attack/
https://sonicgenetics.be/

 

Attaque : Fareva, un sous-traitant pharmaceutique français en charge de produire un vaccin contre le COVID-19, victime d’une cyberattaque
Procédé : Inconnu à l’heure actuelle
Cible : Data center de Fareva (Savigny-le-Temple)
Date de publication : 19/12/2020
Description : Les équipes informatiques de Fareva ont rapidement détecté la cyberattaque et ont volontairement coupé l’ERP, le système central en charge de la gestion des systèmes d’information, mettant une quinzaine d’usines à l’arrêt. En conséquence, les processus de fabrication, de traçabilité des médicaments et de stérilisation des lots ont également été suspendus car les machines sont toutes reliées au système central. Selon le PDG de Fareva, seulement 0,5% des systèmes aurait été compromis.
Lien(s) :
https://www.lesechos.fr/industrie-services/pharmacie-sante/un-fabricant-francais-de-vaccins-anti-covid-grippe-par-une-cyberattaque-1275520
https://www.lanouvellerepublique.fr/amboise/le-groupe-pharmaceutique-fareva-serait-victime-d-une-cyber-attaque

 

Attaque : Le Centre national de santé publique de Lituanie (NVSC) a été compromis par une cyberattaque, entraînant la mise en œuvre d’une campagne de distribution du cheval de Troie Emotet
Procédé : Spear-phishing
Cible : Le Centre national de santé publique de Lituanie (NVSC) et diverses institutions étatiques
Date de publication : 30/12/2020
Description : Le malware a été distribué à diverses institutions par le biais d’e-mails frauduleux envoyés par des employés du NVSC et contenant des pièces jointes malveillantes au format ZIP. Afin d’endiguer la propagation du malware, l’utilisation du serveur de messagerie électronique du Centre a été désactivée, ce qui pourrait entraver la gestion des informations relatives à l’évolution de la pandémie dans le pays. Retrouvez notre Focus sur Emotet présenté dans un précédent bulletin de veille.
Lien(s) :
https://www.lrt.lt/en/news-in-english/19/1309469/lithuania-s-public-health-body-comes-under-cyber-attack

 

Attaque : Des données confidentielles appartenant à l’Agence européenne des médicaments (EMA) divulguées sur le darkweb
Procédé : Vol de données
Cible : Données confidentielles de l’EMA
Date de publication : 31/12/2020
Description : Après la récente cyberattaque qui a visé l’EMA, rapportée dans le précédent bulletin de veille, une partie des documents confidentiels relatifs au vaccin Pfizer/BioNTech ont été retrouvés par les chercheurs de Cyble sur un forum russe du darkweb. Les données, accessibles par des liens de téléchargement comportent des rapports d’évaluation, des e-mails internes, des informations d’identification et des liens de portail de connexion. Le profil à partir duquel les données ont été divulguées semble avoir été créé uniquement à cet effet. 
Lien(s) :
https://cybleinc.com/2020/12/31/documents-relating-to-covid-19-vaccine-of-european-medicines-agency-allegedly-leaked-in-darkweb/

 

Fraudes

Attaque : Des cybercriminels prétendent fournir une aide financière distribuée pendant la pandémie de COVID-19 pour voler des informations personnelles
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 21/12/2020
Description : Les e-mails frauduleux usurpent l’identité du département du Travail de l’État de New York pour convaincre leurs cibles de cliquer sur un lien redirigeant vers une page de phishing imitant un site officiel. Les victimes sont ensuite invitées à remplir leurs informations personnelles dans un formulaire afin d’obtenir une prétendue aide financière de 600 dollars. Une fois en possession de ces informations, les cybercriminels pourraient usurper l’identité de leurs victimes. 
Lien(s) :
https://abnormalsecurity.com/blog/covid-19-department-of-labor-phishing/

 

Attaque : Des cybercriminels usurpent l’identité du Centre de contrôle et de prévention des maladies (CDC) du New Jersey pour voler des informations personnelles
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 21/12/2020
Description : La Cellule d’intégration de la cybersécurité et de la communication (NJCCIC) de l’État du New Jersey a mis en garde ses concitoyens contre des campagnes de phishing actives utilisant des leurres COVID-19. Dans l’une d’entre elles, les cybercriminels incitent des employés de l’Etat du New Jersey à cliquer sur un lien frauduleux pour confirmer leur statut vaccinal. Une fois la page web ouverte, les victimes sont ensuite invitées à se créer un profil et remplir un formulaire avec leurs informations personnelles.
Lien(s) :
https://www.cyber.nj.gov/alerts-advisories/malicious-cyber-activity-related-to-the-covid-19-vaccine

 

Attaque : Des e-mails frauduleux prétendent que leurs cibles sont les vainqueurs d’une loterie sur le thème du COVID-19 pour voler des informations personnelles
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : Décembre 2020
Description : Les cybercriminels prétendent que cette loterie est organisée par Microsoft, Nokia ou encore l’Organisation mondiale de la Santé (OMS) dans le cadre d’une campagne de communication relative au COVID-19. Les victimes sont invitées à contacter un représentant et à communiquer leurs informations personnelles et bancaires pour obtenir leur prétendu gain de plusieurs millions de dollars.
Lien(s) :
https://hotforsecurity.bitdefender.com/blog/feeling-lucky-this-holiday-season-covid-19-google-and-microsoft-lotteries-are-out-for-your-info-and-money-24915.html  

 

Ressources utiles

Type de ressources : L’OMS lance une application d’information sur la pandémie de COVID-19
Cible : Grand public
Date de publication : 20/12/2020
Description : L’application « WHO COVID-19 Updates » permet d’obtenir les dernières informations sur la pandémie de COVID-19 et les bonnes pratiques d’hygiène à adopter. Elle fournit des informations locales et des notifications en temps réel en fonction de la localisation des utilisateurs, notamment sur la progression des campagnes de vaccination. Uniquement disponible au Nigéria dans un premier temps, elle devrait être progressivement déployée dans le monde entier.
Lien(s) :
https://www.who.int/emergencies/diseases/novel-coronavirus-2019/the-who-covid-19-app
https://play.google.com/store/apps/details?id=org.who.WHOMyHealth

 

Autres actualités

Pays : International
Sujet : Atos s’associe à Eupry pour proposer une solution conjointe de surveillance de la conformité de l’administration des vaccins COVID-19
Date de publication : 21/12/2020
Description : La start-up danoise Eupry, spécialisée dans la conformité du stockage automatique, a élaboré des enregistreurs de données connectés pour faciliter le processus de la chaîne logistique du transport des vaccins (température, pression différentielle, etc.). La solution automatisée combine les enregistreurs d’Eupry et l’expertise d’Atos en matière d’automatisation et de surveillance pour sécuriser, via une plateforme unique, la chaîne d’approvisionnent des vaccins COVID-19. 
Lien(s) :
https://atos.net/en/2020/press-release_2020_12_21/atos-partners-with-eupry-to-offer-a-compliance-monitoring-service-for-covid-19-vaccine-delivery

 

Pays : France
Sujet : Le gouvernement autorise la création d’un système d’information de suivi des vaccinations contre le COVID-19
Date de publication : 25/12/2020
Description : Le décret autorisant la mise en place du traitement « Système d’information (SI) Vaccin Covid » est entré en vigueur le 4 janvier 2020 afin de superviser les campagnes de vaccinations. Cogéré par la Direction générale de la santé et l’Assurance maladie, ce traitement automatisé va notamment permettre d’assurer un suivi à l’échelle nationale. En accord avec la CNIL qui a rendu son avis avant son adoption, les données des patients seront pseudonymisées et conservées dans le SI « Vaccin Covid » pendant 10 ans.
Lien(s) :
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042739429
https://www.cnil.fr/fr/la-collecte-de-donnees-dans-le-cadre-de-la-vaccination-contre-la-covid-19-quelles-garanties-pour-les

 

Pays : États-Unis
Sujet : Le Bureau du Procureur de l’État du Maryland saisit deux noms de domaines frauduleux usurpant l’identité de firmes pharmaceutiques impliquées dans la lutte contre le COVID-19
Date de publication : 18/12/2020
Description : Ces deux noms de domaines imitaient les noms, logos ainsi que les chartes graphiques des sociétés Regeneron et Moderna et étaient utilisés pour voler les informations personnelles des visiteurs. Les cybercriminels en possession de ces informations auraient pu les exploiter pour conduire des campagnes de phishing, distribuer des malwares et usurper l’identité des victimes.
Lien(s) :
https://www.justice.gov/usao-md/pr/maryland-us-attorney-s-office-seizes-two-domain-names-purporting-be-websites

 

Pays : États-Unis
Sujet : Le FBI et le Réseau de lutte contre les crimes financiers (FinCEN) alertent sur les fraudes et les cyberattaques relatives à la distribution des vaccins contre le COVID-19
Date de publication : 21/12/2020 – 28/12/2020
Description : Le FBI avertit le public du nombre croissant de fraudes exploitant les vaccins contre le COVID-19 et reposant sur des campagnes de phishing, de vishing ou sur la vente de produits frauduleux. Quant au FinCEN, il appelle les institutions financières américaines à redoubler de vigilance afin de lutter efficacement contre ces mêmes fraudes mais également contre les attaques par ransomware visant les firmes pharmaceutiques ainsi que la chaîne d’approvisionnement des vaccins.
Lien(s) :
https://www.fbi.gov/news/pressrel/press-releases/federal-agencies-warn-of-emerging-fraud-schemes-related-to-covid-19-vaccines
https://www.fincen.gov/news/news-releases/fincen-asks-financial-institutions-stay-alert-covid-19-vaccine-related-scams-and

 

Pays : Singapour
Sujet : La compagnie Singapore Airlines entame des essais sur un certificat numérique de santé pour vérifier l’authenticité des tests COVID-19
Date de publication : 23/12/2020
Description : Ce certificat de vérification numérique a été testé par des passagers sur des vols au départ de Jakarta ou Kuala Lumpur vers Singapour. Les passagers peuvent stocker et présenter leurs tests COVID-19 réalisés dans des cliniques sélectionnées via un QR code. Avant d’entrer dans le territoire, le personnel d’enregistrement de l’aéroport peut ainsi attester numériquement de leur statut médical et prochainement de leur état vaccinal via une application mobile. La compagnie prévoit notamment d’intégrer ce certificat sur son application mobile SingaporeAir à partir de mi-2021.
Lien(s) :
https://www.singaporeair.com/en_UK/us/media-centre/press-release/article/?q=en_UK/2020/October-December/ne2420-201223

 

Pays : Singapour
Sujet : Les forces de police sont autorisées à exploiter les données collectées par l’application de traçage des contacts TraceTogether dans le cadre d’enquêtes criminelles
Date de publication : 04/01/2021
Description : Une mise à jour du site officiel confirme la possibilité pour la police d’exploiter les données collectées par l’application dans le cadre d’enquêtes criminelles. Cette mesure s’inscrit dans le cadre du Code de procédure pénale du pays (CPC), selon lequel les forces de police peuvent accéder à tout document ou donnée permettant de faire progresser des enquêtes. Sur la même page web, il est toutefois précisé que les données Bluetooth de l’application sont supprimées après 25 jours.
Lien(s) :
https://www.tracetogether.gov.sg/common/privacystatement/
https://www.channelnewsasia.com/news/singapore/singapore-police-force-can-obtain-tracetogether-data-covid-19-13889914

 

Pays : Philippines – Indonésie
Sujet : Une vulnérabilité découverte dans StaySafe PH, l’application philippine de traçage des contacts
Date de publication : 21/12/2020
Description : Le rapport du Citizen lab’s research souligne les autorisations excessives des applications de traçage des contacts indonésienne (PeduliLindungi) et philippine (StaySafe PH) et présente une vulnérabilité dans la version déployée par Manille. Cette dernière se situe dans la base de données Firebase utilisée par StaySafe PH et permet à un utilisateur connecté d’accéder aux données qu’elle contient (identifiant unique, géolocalisation, statut médical). En les agrégeant, un tiers pourrait déterminer l’identité d’un utilisateur. Après information des autorités par Citizen Lab’s research, l’accès à cette base de données a pu être limité.
Lien(s) :
https://citizenlab.ca/2020/12/unmasked-ii-an-analysis-of-indonesia-and-the-philippines-government-launched-covid-19-apps/