COVID-19 : VEILLE CYBERSÉCURITÉ #31 – 4 mars 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

MENACES

Attaque : Près de 500 000 patients français affectés par une fuite de données médicales provenant de plusieurs laboratoires d’analyse
Procédé : Inconnu à l’heure actuelle
Cible : 28 laboratoires répartis dans six départements français
Date de publication : 14/02/2021
Description : Les informations volées comprendraient des informations personnelles et médicales des patients (identité, date d’hospitalisation, numéro de sécurité sociale, adresse e-mail, etc.). Les laboratoires affectés par cette attaque partagent le même logiciel de gestion fourni par la firme Dedalus France. Cette dernière a annoncé collaborer avec les autorités compétentes pour identifier l’origine de la cyberattaque. La CNIL a également communiqué sur l’incident et les risques qu’il engendre pour les personnes concernées.
Lien(s) :
https://www.zataz.com/plus-de-400-000-donnees-de-patients-francais-vendus-dans-le-blackmarket/
https://cyberguerre.numerama.com/10586-les-donnees-medicales-de-pres-de-500-000-patients-francais-ont-fuite.html
https://www.dedalus-france.fr/wp-content/uploads/2021/02/21.02.26_CP-Dedalus-France-confirme-investiguer-sur-un-grave-acte-de-cybercriminalit%C3%A9-et-a-identifi%C3%A9-et-pr%C3%A9venu-les-laboratoires-concern%C3%A9s.pdf
https://www.cnil.fr/fr/fuite-massive-de-donnees-de-sante-comment-savoir-si-elle-vous-concerne-et-que-pouvez-vous-faire

 

Attaque : Une cyberattaque a ciblé un laboratoire de l’université d’Oxford impliqué dans la recherche sur le COVID-19
Procédé :
Inconnu à l’heure actuelle
Cible :
Division de biologie structurelle (Strubi) de l’université d’Oxford
Date de publication :
25/02/2021
Description :
Des cybercriminels sont notamment parvenus à accéder à des machines utilisées pour préparer des échantillons biochimiques employés dans la recherche sur le coronavirus. L’information a été confirmée par l’université d’Oxford qui a déclaré qu’aucune donnée personnelle ou médicale de patients n’avait été compromise et que ses recherches n’étaient pas affectées par l’attaque. Le centre de cybersécurité britannique (NCSC) a été saisi pour conduire une enquête.
Lien(s) :
https://www.reuters.com/article/sante-coronavirus-gb-cyberattaque-idFRKBN2AQ0N3
https://www.forbes.com/sites/thomasbrewster/2021/02/25/exclusive-hackers-break-into-biochemical-systems-at-oxford-uni-lab-studying-covid-19/

 

Attaque : Des cybercriminels chinois ont visé deux firmes pharmaceutiques indiennes impliquées dans la production de vaccins contre le COVID-19
Procédé : Inconnu à l’heure actuelle
Cible : Bharat Biotech et le Serum Institute of India (SII)
Date de publication : 01/03/2021
Description : Selon Cyfirma, le groupe APT (Advanced Persistent Threat) chinois Stone Panda/APT10 aurait exploité des vulnérabilités dans l’infrastructure informatique et la chaîne d’approvisionnement des deux firmes pour voler des informations confidentielles. SII est actuellement chargée de produire le vaccin AstraZeneca et devrait produire prochainement le vaccin Novavax. Quant à Bharat Biotech, elle produit le vaccin indien COVAXIN. Cyfirma a notifié le CERT-In de cette attaque.
Lien(s) :
https://www.reuters.com/article/health-coronavirus-india-china/update-1-chinese-hackers-target-indian-vaccine-makers-sii-bharat-biotech-says-security-firm-idUSL2N2KZ13L

 

Attaque : Des cybercriminels usurpent l’identité du gouvernement turc pour distribuer les chevaux de Troie Anubis et Cerberus
Cible : Grand public en Turquie
Procédé : Campagnes de phishing
Date de publication : 24/02/2021
Description : Diffusées via différents supports (SMS, e-mail, Twitter, etc.), ces campagnes prétendent fournir une aide financière versée dans le cadre de la pandémie de COVID-19 pour convaincre leurs cibles de cliquer sur un lien qui télécharge une application malveillante. Les appareils des victimes sont alors infectés par les chevaux de Troie Cerberus ou Anubis, notamment capables de voler leurs informations de connexion en injectant des formulaires invisibles au-dessus des applications bancaires et de réseaux sociaux. Retrouvez notre Focus sur le cheval de Troie Anubis présenté dans un précédent bulletin de veille.
Lien(s) :
https://www.riskiq.com/blog/external-threat-management/turkey-dog-covid-lures/

 

FRAUDES

Attaque : Des cybercriminels imitent le site du service de santé public britannique (NHS) pour voler des informations personnelles
Procédé : Campagne de phishing
Surface/Application : E-mails
Date de publication : 16/02/2021
Description : Les e-mails frauduleux prétendent que leurs cibles sont éligibles à la vaccination contre le COVID-19 pour les rediriger vers un site Web imitant avec précision celui du NHS. Les victimes sont alors invitées à renseigner leurs informations personnelles (nom, date de naissance, etc.) et coordonnées bancaires. Une fois en leur possession, ces données pourraient être exploitées par les cybercriminels pour usurper l’identité de leurs victimes et mettre en œuvre de nouvelles fraudes.
Lien(s) :
https://news.sky.com/story/covid-organised-crime-behind-convincing-fake-nhs-vaccine-invitation-emails-12219985
https://www.ncsc.gov.uk/report/weekly-threat-report-19th-february-2021

 

RESSOURCES UTILES

Type de ressources : Mise à jour d’un rapport de l’ANSSI sur le ransomware Ryuk
Cible : Professionnels de la cybersécurité
Date de publication : 26/02/2021
Description : Cette mise à jour fait suite à la découverte d’une nouvelle variante du ransomware capable de se propager automatiquement au sein des réseaux infectés et détectée au cours d’attaques récentes. Ryuk est un des principaux ransomwares ciblant le secteur de la santé, notamment depuis le début de la pandémie de COVID-19, comme en témoigne l’attaque du centre hospitalier de Villefranche-sur-Saône rapportée dans le précédent bulletin de veille.
Lien(s) :
https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-011/
https://www.cyberveille-sante.gouv.fr/index.php/alertes/2376-le-rancongiciel-ryuk-activement-distribue-par-les-maliciels-trickbot-et-emotet-travers

 

Type de ressources : Un outil de suivi des politiques sanitaires crée par l’université d’Oxford
Cible : Grand public
Date de publication : MAJ quotidienne
Description : Cet outil permet de suivre l’évolution des politiques sanitaires mises en place par plus de 180 pays. Il s’appuie sur de nombreuses sources de données et d’indicateurs (politique vaccinale, restrictions de déplacements, contact tracing, etc.) pour proposer une comparaison de la rigueur des mesures mises en œuvre. Les données employées sont librement accessibles et une visualisation cartographique des différents indicateurs est disponible sur le site ourworldindata.org.
Lien(s) :
https://www.bsg.ox.ac.uk/research/research-projects/coronavirus-government-response-tracker
https://covidtracker.bsg.ox.ac.uk/stringency-scatter/
https://ourworldindata.org/policy-responses-covid

 

AUTRES ACTUALITÉS

Pays : International
Sujet : Des chercheurs ont développé COVIDGuardian, un outil capable d’évaluer la sécurité et la confidentialité des applications de traçage des contacts
Date de publication : 25/02/2021
Description : COVIDGuardian a évalué 40 applications de traçage des contacts et a révélé qu’une majeure partie d’entre elles comportait des manquements en termes de sécurité et de confidentialité. Les trois quarts d’entre elles utilisent au moins un algorithme de chiffrement peu sécurisé et partagent des informations avec des tiers tels que Google Firebase et Facebook Analytics. En outre, un malware a été découvert dans l’application du Kirghizistan. Après avoir contacté les éditeurs des applications, quatre d’entre elles ont reçu des correctifs.
Lien(s) :
https://www.qmul.ac.uk/media/news/2021/se/new-tool-reveals-security-and-privacy-issues-with-contact-tracing-apps.html
https://arxiv.org/abs/2006.10933
https://covid-guardian.github.io/

 

Pays : Jamaïque
Sujet : Des résultats de dépistage au COVID-19 et des ordres de mise en quarantaine de centaines de milliers de voyageurs exposés en ligne
Date de publication : 17/02/2021
Description : Principalement utilisé par les voyageurs étrangers, le site Web JamCOVID a été mis hors ligne après la découverte d’une série de vulnérabilités. Un serveur de stockage sur le Cloud non sécurisé a d’abord été identifié, laissant ses données librement accessibles (documents d’immigration, résultats des tests, vidéos de vérification de la quarantaine, etc.). Un fichier contenant les mots de passe permettant d’accéder à ces bases de données a ensuite été découvert, exposé sur un répertoire ouvert sur le site web. La dernière faille identifiée permettait à une personne extérieure d’accéder aux ordres de mise en quarantaine depuis un navigateur Internet.
Lien(s) :
https://techcrunch.com/2021/02/26/amber-group-jamcovid-data-exposed/
https://techcrunch.com/2021/02/22/jamaica-amber-group-jamcovid-security-lapse/
https://techcrunch.com/2021/02/17/jamaica-immigration-travelers-data-exposed/

 

Pays : Inde
Sujet : Plus de 8 millions de résultats de tests de dépistage au COVID-19 exposés en ligne
Date de publication : 24/02/2021
Description : L’intégralité des rapports de tests effectués dans l’état du Bengale-Occidental serait concernée. En plus des résultats, ils comprennent des informations personnelles des patients (nom, âge, lieu et date du test, adresse, etc.). En cause, l’URL envoyée par SMS pour récupérer les résultats des tests comportait un numéro d’identification facilement déchiffrable, permettant de construire de nouvelles URLs afin d’accéder aux résultats d’autres patients. La vulnérabilité a depuis été corrigée par le ministère de la Santé du Bengale-Occidental.
Lien(s) :
https://www.bleepingcomputer.com/news/security/over-8-million-covid-19-test-results-leaked-online/

 

Pays : Irlande
Sujet : Fuite d’informations personnelles des personnes vaccinées contre le COVID-19
Date de publication : 25/02/2021
Description : La base de données de vaccination utilisée par le service de santé publique irlandais (HSE) a été exposée en raison d’une erreur humaine, la laissant accessible à des personnes extérieures. Les données concernées comprennent l’équivalent du numéro de sécurité sociale français, le lieu de vaccination des patients, leur numéro de téléphone ou encore leur adresse.
Lien(s) :
https://www.irishmirror.ie/news/irish-news/health-news/private-information-thousands-who-received-2356656t