COVID-19 : VEILLE CYBERSÉCURITÉ #32 – 18 mars 2021

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille et un dispositif d’alertes au fil de l’eau, liés aux impacts et conséquences du COVID-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • D’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • De partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • De mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

Les actualités majeures de chaque semaine sont regroupées en quatre catégories: Menaces, Fraudes, Ressources utiles et Autres actualités.

Afin de mieux appréhender les menaces, nous ferons également un « Focus menace » sur l’une des attaques remontées chaque semaine. Une description détaillée et un modus operandi de l’attaque seront effectués.

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ;
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

Focus sur le cheval de Troie bancaire Dridex

Attaque : Des cybercriminels usurpent l’Internal Revenue Service (IRS) et prétendent distribuer une aide financière pendant la pandémie de COVID-19 pour déployer Dridex
Procédé
: Campagne de phishing
Cible : Grand public aux États-Unis et au Canada
Date de publication : 09/03/2021
Lien(s) :
https://www.proofpoint.com/us/blog/security-briefs/threat-actors-target-victims-promising-covid-19-relief-vaccines-and-variant
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-005.pdf

Description

Le COVID-19 est au cœur de tous les débats depuis plus d’un an et a plongé un grand nombre de personnes dans des difficultés sanitaires et économiques. L’acteur de la menace détaillée dans ce focus exploite le plan de secours américain pour le COVID-19 à son profit afin de diffuser massivement le malware Dridex par e-mails.

Mode opératoire

Le cheval de Troie bancaire Dridex est apparu en 2014. Cette nouvelle variante du code malveillant Bugat fonctionne avec des ensembles de bots gérés par un modèle d’affiliation du groupe Evil Corp. Les différents bots communiquent entre eux en Peer-to-Peer et sont organisés en fonction de leur cible sectorielle et géographique.

Dridex permet de voler les codes d’accès des utilisateurs de banques en ligne. Une fois les comptes compromis, l’attaquant peut réaliser des virements frauduleux. Pour que la victime s’authentifie depuis un formulaire malveillant, Dridex a trois possibilités d’injections Web. Si Dridex compromet des pages Web légitimes de banques en ligne, il peut y injecter du code HTML pour y ajouter des formulaires. D’autre part, Dridex peut rediriger la victime vers une page usurpant une banque en ligne. Le « Stealer » Dridex a aussi la capacité d’intercepter les réponses du serveur Web d’un site internet bancaire. Les requêtes sont relayées vers le serveur PHP des attaquants, du code malveillant y est injecté puis transmis à la victime.

Ce malware est composé d’un module « loader » permettant de faire de la reconnaissance, d’installer la charge utile de base et de télécharger des modules supplémentaires. La charge utile de base est constituée d’un keylogger qui permet à l’attaquant de découvrir le contexte du système informatique de la victime. La charge utile détecte également les navigateurs Internet installés pour permettre à Dridex d’utiliser une injection Web adaptée.

Dans cette campagne, l’utilisateur reçoit un e-mail prétendant provenir de l’IRS qui l’incite à cliquer sur un lien afin de pouvoir bénéficier de l’aide financière versée dans le cadre de la pandémie de COVID-19 aux États-Unis. Ce lien ouvre un fichier Excel qui demande l’autorisation à l’utilisateur d’activer le contenu. S’il accepte, une macro malveillante est déclenchée et permet l’exécution du malware Dridex. Lorsque la victime va s’authentifier sur la plateforme de sa banque en ligne depuis son navigateur, le malware Dridex aura modifié le formulaire d’authentification dans le but de récupérer ses informations de connexion.

Recommandations

Afin de se prémunir de ce genre d’attaque, il est notamment recommandé d’utiliser directement son navigateur Web plutôt que d’ouvrir un lien provenant d’un e-mail.

 

MENACES

Attaque : Une cyberattaque rend inopérant l’apprentissage en ligne de 15 écoles anglaises
Procédé : Inconnu à l’heure actuelle
Cible : Écoles de la coopérative Nova Education Trust du comté du Nottinghamshire
Date de publication : 08/03/2021
Description : Alors que son système d’apprentissage en ligne est d’avantage exploité pendant la pandémie, Nova Education Trust a confirmé la cyberattaque le mercredi 3 mars au matin. L’incident a conduit à l’arrêt temporaire de tous les systèmes informatiques, empêchant la bonne continuation des cours en ligne. Les moyens de communication et les sites Web des écoles ne sont pas disponibles en attendant la fin d’une enquête menée par la coopérative en collaboration avec le centre de cybersecurité britannique (NCSC).
Lien(s) :
https://www.nottinghampost.com/news/local-news/nova-education-trust-provides-update-5085926

 

Attaque : Des cybercriminels auraient exploité des infrastructures lituaniennes pour cibler des sociétés impliquées dans le développement de vaccins contre le COVID-19
Procédé : Inconnu à l’heure actuelle
Cible : Entités étrangères développant des vaccins contre le COVID-19
Date de publication : 04/03/2021
Description : Dans son rapport annuel, le département de la sécurité d’État lituanien (VSD) a notamment avancé que le groupe APT (Advanced Persistent Threat) Cozy Bear/APT29 serait à l’origine de ces cyberattaques. Cette dénonciation fait écho à une alerte publiée en juillet 2020 par le NCSC qui accusait déjà APT29 de cibler des organisations impliquées dans le développement d’un vaccin contre le COVID-19 au Canada, aux États-Unis et au Royaume-Uni. 
Lien(s) :
https://apnews.com/article/lithuania-coronavirus-pandemic-covid-19-pandemic-national-security-russia-4f643495296f645e8957594034ec0367
https://www.ncsc.gov.uk/news/advisory-apt29-targets-covid-19-vaccine-development

 

Attaque : Un hôpital des Pyrénées-Atlantiques victime d’un ransomware
Procédé : Inconnu à l’heure actuelle
Cible : Centre hospitalier d’Oloron-Sainte-Marie
Date de publication : 09/03/2021
Description : Perpétrée le 8 mars, cette cyberattaque a paralysé le système d’information de l’hôpital. Hormis les urgences et la campagne de vaccination contre le COVID-19, une grande partie de ses activités de soins sont suspendues. Les cybercriminels réclamant une rançon de 50 000 dollars en bitcoin, une plainte pour extorsion a été ouverte par le parquet de Paris. L’ANSSI a également été saisie. C’est le troisième hôpital français ciblé par un ransomware depuis le mois de février, après les attaques contre les hôpitaux de Villefranche-sur-Saône et Dax rapportées dans un précédent bulletin de veille
Lien(s) :
https://www.larepubliquedespyrenees.fr/2021/03/09/une-cyberattaque-paralyse-l-hopital-d-oloron,2797093.php
https://www.lemonde.fr/pixels/article/2021/03/09/un-hopital-des-pyrenees-atlantiques-vise-a-son-tour-par-une-cyberattaque_6072505_4408996.html

 

FRAUDES

Attaque : Le service postal hongkongais usurpé par des cybercriminels pour voler de l’argent à leurs victimes
Procédé : Campagne de phishing
Surface/Application : SMS/E-mails
Date de publication : 10/03/2021
Description : Profitant de l’explosion des livraisons du fait de la pandémie, les cybercriminels ont envoyé un e-mail ou un SMS frauduleux, prétendant aux victimes qu’elles doivent payer les frais d’envoi de leurs colis. Ces dernières ont été redirigées vers un site Web de phishing les invitant à renseigner leurs informations bancaires, utilisées par la suite pour effectuer des achats en ligne. La police hongkongaise affirme que depuis novembre dernier, 120 personnes en ont été victimes de cette campagne, ce qui a permis aux cybercriminels de voler plus de 283 000 dollars américains au total.
Lien(s) :
https://www.scmp.com/news/hong-kong/law-and-crime/article/3124734/mail-delivery-phishing-scammers-cheat-hongkongers-out

 

RESSOURCES UTILES

Type de ressources : Facebook lance de nouveaux outils de sensibilisation et de suivi de la pandémie de COVID-19
Cible : Grand public
Date de publication : 15/03/2021
Description : Parmi les mesures annoncées, on note le déploiement du centre d’information sur le COVID-19 sur Instagram, une fonctionnalité déjà disponible sur Facebook depuis mars 2020. En complément, Facebook a également lancé un agrégateur de contenus relatifs au COVID-19 sur CrowdTangle, qui permet de consulter les dernières informations relayées sur les réseaux sociaux pour 104 pays.
Lien(s) :
https://about.fb.com/fr/news/2021/03/mark-zuckerberg-annonce-les-mesures-de-facebook-pour-aider-les-gens-a-se-faire-vacciner-contre-le-covid-19/
https://about.instagram.com/fr-fr/blog/announcements/continuing-to-keep-people-safe-and-informed-about-covid-19
https://apps.crowdtangle.com/public-hub/covid19

 

Type de ressources : Twitter introduit un système afin de bannir les utilisateurs répandant de la désinformation sur les vaccins contre le COVID-19
Cible : Grand public
Date de publication : 01/03/2021
Description : Twitter va appliquer des étiquettes aux tweets jugés comme contenant des informations trompeuses sur les vaccins liés à la lutte contre le COVID-19. Les utilisateurs à l’origine de ces tweets seront bannis définitivement après cinq avertissements. La société va utiliser des modérateurs humains pour décider de la pertinence des tweets pour ensuite créer des outils automatisés de détection de désinformation.
Lien(s) :
https://blog.twitter.com/en_us/topics/company/2021/updates-to-our-work-on-covid-19-vaccine-misinformation.html
https://www.zdnet.fr/actualites/twitter-s-attaque-a-la-desinformation-sur-les-vaccins-contre-le-covid-19-39918767.htm

 

AUTRES ACTUALITÉS

Pays : France
Sujet : Avis de la CNIL sur le décret relatif à l’utilisation de la vidéo pour mesurer le port du masque dans les transports
Date de publication : 12/03/2021
Description : Cet avis fait suite à un décret publié le 10 mars 2021 qui permet aux exploitants et gestionnaires de services de transport public de recourir à des caméras intelligentes pour mesurer le taux de port du masque dans le contexte de la crise sanitaire. La CNIL, qui avait demandé le blocage de ce type de dispositif en juin dernier, estime que ce texte apporte désormais des garanties suffisantes concernant la finalité des traitements envisagés. Elle souligne néanmoins qu’il ne doit pas servir à sanctionner les infractions.
Lien(s) :
https://www.cnil.fr/fr/avis-sur-le-decret-video-intelligente-port-du-masque

 

Pays : France
Sujet : La justice française demande de bloquer l’accès à un site Web hébergeant les données médicales de 500 000 patients français
Date de publication : 04/03/2021
Description : Suite à une saisine de la CNIL, le tribunal judiciaire de Paris a demandé aux principaux fournisseurs d’accès à Internet (FAI) français de bloquer l’accès à un hébergeur qui diffusait un fichier contenant des données médicales volées à plusieurs laboratoires d’analyse. Rapportée dans notre précédent bulletin de veille, la diffusion de ce fichier avait été signalée par Zataz le 14 février. Depuis lors, le secrétaire d’État chargé de la Transition numérique, Cédric O, a précisé que l’ANSSI enquêtait sur cette fuite depuis novembre 2020.
Lien(s) :
https://www.cnil.fr/fr/fuite-de-donnees-de-sante-le-tribunal-judiciaire-de-paris-demande-le-blocage-dun-site-web
https://www.zdnet.fr/actualites/donnees-de-sante-volees-la-justice-demande-aux-fai-de-bloquer-l-acces-au-fichier-39919003.htm

 

Pays : États-Unis
Sujet : La justice américaine saisit un nom de domaine utilisé pour usurper l’identité d’une société impliquée dans le développement du vaccin COVID-19
Date de publication : 09/03/2021
Description : Le nom de domaine « usaregenermedicals.com » usurpait l’identité d’une société de biotechnologie produisant un traitement pour le COVID-19. Le site Web frauduleux prétendait vendre et distribuer des anticorps médicamenteux approuvés pour le traitement du virus. Le but recherché était de collecter les informations personnelles des victimes à des fins de fraudes, de campagnes de phishing ou de déploiement de logiciels malveillants.
Lien(s) :
https://www.justice.gov/usao-md/pr/maryland-us-attorneys-office-seizes-fifth-domain-name-purporting-be-website-biotech

 

Pays : États-Unis
Sujet : Des informations personnelles de patients dépistés contre le COVID-19 stockées sur des serveurs non sécurisés
Date de publication : 10/03/2021
Description : Le service de test, géré par Premier Diagnostics et basé dans l’Utah, a stocké des informations sensibles sur deux compartiments Amazon S3 non sécurisés. Au total, plus de 200 000 images de documents d’identité (permis de conduire, cartes d’assurance médicale et passeports) étaient accessibles sans besoin d’authentification.
Lien(s) :
https://www.comparitech.com/blog/information-security/utah-covid-test-center-leak/