COVID-19 : VEILLE CYBERSÉCURITÉ #30 – 19 février 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le cheval de Troie bancaire Lampion

Attaque : Des cybercriminels usurpent l’identité du ministère de la Santé portugais pour distribuer le cheval de Troie bancaire Lampion
Procédé : Campagne de phishing
Cible : Grand public au Portugal
Date de publication : 12/02/2021
Lien(s) :
https://securityaffairs.co/wordpress/114496/cyber-crime/lampion-trojan-portugal-covid19.html
https://seguranca-informatica.pt/targeting-portugal-a-new-trojan-lampion-has-spread-using-template-emails-from-the-portuguese-government-finance-tax/

Description

Lampion est un cheval de Troie bancaire (Banking Trojan) ayant fait sa première apparition fin 2019. Depuis lors, de nouvelles versions sont apparues début 2021. Il semblerait que le malware n’ait pas subi de lourdes modifications entre les différentes vagues d’attaques. Durant la première attaque fin 2019, Lampion a ciblé le Portugal avec un modèle d’e-mail imitant le ministère des Finances portugais et « Energias de Portugal » (EDP).

En 2020, d’autres attaques ont eu lieu, en suivant le même procédé mais en changeant le modèle d’e-mail. Enfin, les attaques de février 2021 sont similaires aux précédentes, à l’exception du modèle utilisé, qui usurpe cette fois l’identité du ministère de la Santé portugais et prétend fournir des informations concernant la campagne de vaccination contre le COVID-19.

Ce cheval de Troie, distribué via des campagnes de phishing utilisant divers modèles d’e-mails (banque, énergie, communication liée au COVID-19), semble viser exclusivement le Portugal.

Mode opératoire

Une compromission en utilisant le cheval de Troie Lampion se décompose en plusieurs étapes. Tout d’abord, les attaquants mettent en place une campagne de phishing afin d’impacter le plus de gens possible. Ces e-mails usurpent l’identité d’entités publiques ou privées bien connues par la population.

Les e-mails envoyés contiennent trois fichiers :

  • Un fichier PDF ;
  • Un fichier texte ;
  • Un fichier « VBS ».

Un fichier « VBS » est un fichier « VBScript », diminutif de « Microsoft Visual Basic Scripting Edition ». Ce langage de script est un langage interprété. Les langages interprétés sont souvent haut niveau et facilement compréhensibles, même pour quelqu’un qui ne les maîtrise pas. Toutefois, les attaquants peuvent « obfusquer » ce code pour le rendre plus difficile à analyser, un procédé qui a pour but de décourager et/ou faire perdre du temps aux analystes. Il est important de souligner que l’obfuscation du code VBS est la mise à jour la plus importante entre les vague d’attaques de décembre 2019 et celles de mai 2020/février 2021.

L’infection d’un poste utilisateur ne se fait pas lors du téléchargement de la pièce jointe mais à l’exécution de ce fichier « VBS ». Elle nécessite donc une action utilisateur. Lorsqu’un utilisateur exécute ce script, ce dernier va télécharger deux fichiers :

  • Le malware Lampion : un fichier « dll » qui est en réalité un fichier exécutable Windows ;
  • Une archive zip : cette archive contient une librairie de fonctions utilisées par le malware.

Ces fichiers sont hébergés sur des infrastructures cloud telles que AWS S3 ou encore Google Storage. Le fichier « VBS » est donc un « dropper two-stage ».

Lorsque le script « VBS » a téléchargé les deux fichiers malveillants, il exécute le cheval de Troie. Lampion va également charger en mémoire la librairie contenue dans l’archive zip. Le malware embarque des images JPEG pour modifier sa signature et contourner certains antivirus. De plus, lors de l’exécution de ce malware bancaire, un fichier raccourci « lnk » sera créé dans le dossier de démarrage Windows. Ainsi, le malware s’exécutera à chaque démarrage de l’appareil infecté. À la fin de son exécution le malware force le redémarrage de la machine pour pouvoir compromettre totalement le poste.

Le malware utilise une protection nommée « vmprotect ». Cette dernière a pour objectif d’obfusquer le code du malware et compliquer la rétro ingénierie, toujours dans le but de faire perdre du temps et/ou décourager les analystes. De plus, ce malware est capable de détecter s’il est analysé ou s’il est dans un environnement virtuel.

Enfin, Lampion envoie des informations concernant le poste infecté à un serveur de « command and control » (C2). Ce serveur a pour but de récupérer les informations envoyées par le malware mais aussi de le piloter.

Il est possible de se référer à la matrice du MITRE ATT&CK pour connaître les techniques, tactiques et procédures (TTPs) de ce malware, présentées à la fin de l’article de Segurança Informatica.

 

MENACES

Attaque : L’hôpital de Dax victime d’un ransomware
Procédé : Inconnu à l’heure actuelle
Cible : Centre hospitalier de Dax-Côte d’Argent
Date de publication : 09/02/2021
Description : Perpétrée dans la nuit du 8 au 9 février, cette cyberattaque a paralysé le système d’information de l’hôpital. Hormis les urgences les plus graves, une grande partie de ses activités de soins sont suspendues, y compris celles du centre de vaccination contre le COVID-19. Le Parquet de Paris, chargé de l’enquête, a confirmé la demande de rançon. L’ANSSI a également été saisie. Parallèlement, neuf hôpitaux de Dordogne ont vraisemblablement évité une attaque similaire affectant leur fournisseur informatique. 
Lien(s) :
https://twitter.com/chdax/status/1359159568681566208
https://france3-regions.francetvinfo.fr/nouvelle-aquitaine/landes/dax/cyberattaque-de-l-hopital-de-dax-une-rancon-demandee-pour-decrypter-les-donnees-1950808.html
https://france3-regions.francetvinfo.fr/nouvelle-aquitaine/dordogne/perigord/cyberattaque-les-hopitaux-de-dordogne-ont-failli-connaitre-le-meme-sort-que-celui-de-dax-1952401.html

 

Attaque : Le ransomware Ryuk cible le centre hospitalier de Villefranche-sur-Saône
Procédé : Inconnu à l’heure actuelle
Cible : Sites de Villefranche, Tarare et Trévoux de l’Hôpital Nord-Ouest
Date de publication : 15/02/2021
Description : Détectée tôt dans la matinée du 15 février, cette attaque a pu être limitée par les équipes de l’hôpital qui ont déconnecté les postes de travail et coupé l’accès au système d’information. Les services d’urgences et l’ensemble de la téléphonie ont été paralysés mais aucun transfert de patients n’est prévu et la vaccination contre le COVID-19 se poursuit. Une enquête est en cours avec l’appui de l’ANSSI. Retrouvez notre Focus sur le ransomware Ryuk présenté dans un précédent bulletin de veille.
Lien(s) :
https://twitter.com/HNordOuest/status/1361430920545398784
https://www.ouest-france.fr/societe/cyberattaque/rhone-l-hopital-de-villefranche-sue-saone-victime-d-une-attaque-informatique-7155641

 

Attaque : La firme pharmaceutique Pfizer aurait été ciblée par des cybercriminels nord-coréens
Procédé : Inconnu à l’heure actuelle
Cible : Laboratoire de recherches Pfizer
Date de publication : 16/02/2021
Description : Un député sud-coréen a déclaré que le service de renseignement national (NIS) aurait identifié une attaque de cybercriminels nord-coréens contre la firme pharmaceutique Pfizer dans le but d’obtenir des informations sur leur vaccin contre le COVID-19. Cette accusation s’inscrit dans la lignée de précédents rapports faisant état d’une campagne de cyber espionnage nord-coréenne ciblant diverses organisations impliquées dans le développement de vaccins. Des documents confidentiels sur celui de Pfizer/BioNTech avaient également fuité suite à une cyberattaque visant l’Agence Européenne des Médicaments (EMA).
Lien(s) :
https://www.reuters.com/article/us-northkorea-cybercrime-pfizer-idCAKBN2AG0NI

 

Attaque : L’Institut de recherche médical australien QIMR Berghofer affecté par la compromission d’un logiciel de transfert de fichiers fourni par Accelion
Procédé : Exploitation d’une vulnérabilité zero-day
Cible : QIMR Berghofer Medical Research Institute à Brisbane, Australie
Date de publication : 11/02/2021
Description : Notamment impliqué dans la recherche sur le COVID-19, l’Institut australien a été alerté par Accelion d’un vol de données probable causé par une vulnérabilité dans son logiciel de transfert de fichiers. Les données potentiellement compromises englobent des informations sur des chercheurs et sur des patients engagés dans les essais de traitements contre la malaria. Le logiciel de la firme singapourienne a récemment été compromis par des cybercriminels via l’exploitation d’une vulnérabilité d’injection SQL qui a débouché sur une série de cyberattaques.
Lien(s) :
https://www.qimrberghofer.edu.au/media-releases/qimr-berghofer-investigates-suspected-accellion-data-breach/
https://portswigger.net/daily-swig/australian-research-institute-confirms-likely-data-breach-after-third-party-accellion-hack
https://www.cyber.gov.au/acsc/view-all-content/alerts/potential-accellion-file-transfer-appliance-compromise

 

FRAUDES

Attaque : Le service téléphonique pennsylvanien de prise de rendez-vous de vaccination contre le COVID-19 détourné par un cybercriminel
Procédé : Vishing
Surface/Application : Téléphone
Date de publication : 05/02/2021
Description : Destiné à organiser des rendez-vous de vaccination pour les personnes âgées ne disposant pas de connexion Internet, ce service a été partiellement compromis par un cybercriminel. Ce dernier est parvenu à rediriger un certain nombre d’appels afin de demander à ses victimes de lui fournir les informations de leur carte bancaire. Le problème a rapidement été résolu mais l’enquête n’a pas encore permis de déterminer combien de personnes avaient été victimes de cette fraude.
Lien(s) :
https://edition.cnn.com/2021/02/05/us/hackers-intercept-covid-hotline-pennsylvania-trnd/

 

RESSOURCES UTILES

Type de ressources : Un bot Twitter permet de suivre la campagne de vaccination contre le COVID-19 en France
Cible : Grand public
Date de publication : MAJ quotidienne
Description : Crée par deux journalistes du journal Les Échos, ce bot exploite les données fournies par Santé Publique France, librement accessibles sur data.gouv.fr. Depuis le 11 février, il permet notamment de connaître le nombre de personnes ayant reçu deux doses du vaccin, une information publiée par Santé Publique France depuis le 2 février.
Lien(s) :
https://twitter.com/BotDuVaccin
https://www.numerama.com/sciences/686971-vous-pouvez-suivre-lavancement-de-la-vaccination-en-france-grace-a-ce-compte-twitter.html

 

Type de ressources : CTI League publie un rapport sur les activités cybercriminelles qui exploitent le COVID-19 et visent le secteur de la Santé
Cible : Établissements de santé, entités publiques
Date de publication : 11/02/2021
Description : Dans ce rapport centré sur les menaces observées sur le darkweb, CTI League identifie les principaux ransomwares qui visent le secteur de la Santé (Maze, Conti, Netwalker, REvil et Ryuk) et prévoit une hausse des attaques de ce type dans le futur. CTI League présente également des campagnes de désinformation et de phishing exploitant le COVID-19 ainsi que la vente d’équipements médicaux sur des marchés du darkweb. Une version plus détaillée de ce rapport est disponible à la demande pour les entités publiques et les forces de police.
Lien(s) :
https://cti-league.com/blog/darknet-report-2021/

 

AUTRES ACTUALITÉS

Pays : France
Sujet : Entrée en vigueur d’un décret ouvrant la voie à l’instauration de QR Code dans les lieux publics pendant la pandémie de COVID-19
Date de publication : 14/02/2021
Description : L’objectif de ce dispositif est d’organiser la réouverture de certains lieux publics et d’alerter plus aisément les personnes les ayant fréquentés sur la même plage horaire qu’un cas avéré de COVID-19. À cette occasion, la CNIL a publié son avis sur ce décret au sein duquel elle souligne que les lieux publics concernés devraient être mieux définis et que leur accès ne devrait pas être limité aux personnes qui ont téléchargé l’application de traçage des contacts TousAntiCovid.
Lien(s) :
https://www.zdnet.fr/actualites/tousanticovid-un-nouveau-decret-pose-les-bases-d-un-qr-code-dans-les-lieux-publics-39917915.htm
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043131033
https://www.cnil.fr/fr/la-cnil-rend-son-avis-sur-les-evolutions-de-lapplication-tousanticovid

 

Pays : France – Ukraine
Sujet : Des opérateurs présumés du ransomware Egregor arrêtés en Ukraine
Date de publication : 12/02/2021
Description : Une opération franco-ukrainienne a conduit à l’arrestation en Ukraine de plusieurs personnes liées au groupe de cybercriminel Egregor. Selon France Inter, les enquêteurs ont pu localiser plusieurs suspects en remontant la piste des rançons payées en bitcoins via la blockchain. Pour rappel, le groupe Egregor est le successeur présumé de Maze, un groupe qui avait notamment ciblé des établissements de santé pendant la pandémie de COVID-19.
Lien(s) :
https://www.franceinter.fr/justice/cybersecurite-des-pirates-egregor-a-l-origine-de-l-attaque-contre-ouest-france-interpelles-en-ukraine

 

Pays : Danemark – Suède
Sujet : Le Danemark et la Suède préparent un certificat de vaccination numérique
Date de publication : 05/02/2021
Description : Au Danemark, les personnes ayant reçu deux doses du vaccin pourront télécharger un certificat numérique dès la fin février pour faciliter leurs voyages d’affaires à l’étranger. Ce « passeport corona » devrait ensuite être étendu à l’ensemble de la population via une application mobile. Quant à la Suède, elle a annoncé travailler sur un dispositif similaire qui devrait être disponible cet été. Il serait lui aussi réservé aux voyageurs se rendant à l’étranger dans un premier temps.
Lien(s) :
https://www.france24.com/fr/europe/20210205-su%C3%A8de-et-danemark-veulent-lancer-d-ici-quelques-mois-des-passeports-vaccinaux
https://www.publicsenat.fr/article/politique/passeport-vaccinal-est-ce-envisageable-en-france-187419