COVID-19 : VEILLE ET ALERTES - 19/03/2020
 

 

 

 

 

Dans le cadre de la crise sanitaire actuelle, le CERT digital.security (CERT-DS) met à disposition une veille hebdomadaire et un dispositif d'alertes au fil de l'eau lié aux impacts et conséquences du Covid-19 sur la cybersécurité. Cette veille, qui est libre d’être partagée, a pour but :

  • d’informer le plus grand nombre des menaces visant les systèmes informatiques ;
  • de partager toutes les ressources et outils nécessaires à l’appréhension et la prévention des risques SSI ;
  • de mettre en exergue les bonnes pratiques numériques à adopter face à cette crise.

 

Les actualités majeures de chaque semaine sont regroupées en quatre catégories : Menaces, Fraudes, Ressources utiles et Autres actualités. 

  • Les « Menaces » comprennent les campagnes de malware, de phishing et de ransomware, ainsi que les cyberattaques visant d’importantes infrastructures ;
  • Les « Fraudes » comprennent les arnaques et les tromperies ; 
  • Les « Ressources utiles » désignent les informations et outils nécessaires pour appréhender cette crise sanitaire ;
  • Les « Autres actualités » combinent un panel de diverses informations relatives par exemple aux mesures gouvernementales prises dans le domaine de la cybersécurité.

 

 

Menaces

Attaque : Corona-virus-Map.com.exe

Procédé :  Modèle du Malware AZoRult

Surface d’attaque : Carte qui diffuse en temps réel la propagation du virus

Date de publication : 03/03/2020

Description : Ce malware cible les visiteurs qui recherchent des présentations cartographiques de la propagation du covid-19 pour voler des mots de passe et autres informations personnelles.

Lien(s) : https://blog.reasonsecurity.com/wp-content/uploads/2020/03/Threat-Analysis-Report-Corona-Virus-as-a-Malware.pdf  

**********

Attaque : Fausses déclarations politiques sur le nombre d’infection

Attaquants : Potentiellement le groupe TEMP.Hex

Procédé :  Malware SOGU et COBALSTRIKE et utilisation d’une porte dérobée « POISONIVY »

Cibles: Vietnam, Philippines, Taiwan, Mongolie

Date de publication : 12/03/2020

Description : Envois de pièces jointes malveillantes contenant des informations sur les cas de contaminations par le covid-19.

Lien(s) : https://www.technologyreview.com/s/615346/chinese-hackers-and-others-are-exploiting-coronavirus-fears-for-cyberespionage/

https://www.globalsecuritymag.fr/FireEye-constate-une,20200313,96630.html

**********

Attaque : Malware sur Microsoft office

Procédé :  Malware, phishing, porte dérobée

Surface d’attaque : Microsoft Office

Date de publication : 20/02/2020

Description : Diffusion d’un document Microsoft Office de trois pages sur le thème des coronavirus censé provenir du centre de santé publique du ministère de santé ukrainien. 

Lien(s) : https://media.cert.europa.eu/static/MEMO/2020/TLP-WHITE-CERT-EU-THREAT-ALERT-Coronavirus-cyber-exploitation.pdf

**********

Attaque : « CovidLock »

Procédé : Ransomware

Surface d’attaque : Application Android

Date de publication : 08/03/2020

Description : Le site web « coronavirusapp [.] site » prétendait fournir une application de suivi des épidémies de covid-19 pour smartphone Android pour ensuite propager un ransomware forçant la victime à modifier son mot de passe de téléphone pour finalement accéder au contenu du téléphone.

Lien(s) :

https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware

https://www.hackread.com/coronavirus-tracking-app-ransomware-scam-locks-phones-ransom/

**********

Attaque : Paralysie des systèmes informatiques du Ministère de la Santé états-unien par une cyberattaque en pleine crise sanitaire

Procédé : Ransomware

Cible : Le Ministère de la Santé et des Services Sociaux américain

Date de publication : 16/03/2020

Description : Le département « U.S. Health and Human Services » soupçonne un État étranger d’être à l’origine d’une attaque à l’encontre de ses systèmes informatiques, accompagné de la diffusion de fakenews à propos des mesures prises par le gouvernement pour faire face à la propagation du coronavirus.

Lien(s) : https://www.bloomberg.com/news/articles/2020-03-16/u-s-health-agency-suffers-cyber-attack-during-covid-19-response

**********

Attaque : Un communiqué prétendument officiel de l’OMS cache une campagne de phishing

Procédé : Phishing

Cible : Messagerie

Date de publication : 05/02/2020

Description : Des attaquants se faisant passer pour l’Organisation Mondiale de la Santé (OMS) profitent du Covid-19 pour hameçonner des victimes au travers d’emails contenant un lien vers un site imitant l’officiel, afin de récupérer adresses e-mails et mots de passe.

Lien(s) : https://www.who.int/about/communications/cyber-security

**********

Attaque : Des hackers piègent les entreprises sous couvert de préventions Covid-19

Procédé : Phishing

Cible : L’industrie des transports, les industries lourdes, le secteur bancaire

Date de publication : 10/02/2020

Description : Un malware caché dans un e-mail ayant pour objet « Coronavirus – Consignes pour l’industrie des transports » exploite la faille CVE-2017-11882 pour extraire des données sensibles des ordinateurs piégés grâce au téléchargement du logiciel malveillant AZORult. 

Lien(s) : https://www.cyberscoop.com/coronavirus-phishing-emails-proofpoint-research/

**********

Attaque : Phishing exploitant les mesures préventives contre le virus

Procédé : Phishing & malwares Emotet, Trickbot, Formbook

Cible : Messagerie

Date de publication : 13/03/2020

Description : Une recherche publiée par F-Secure note la croissance exponentielle des cyberattaques par phishing (usant des malwares Emotet, Trickbot, Formbook) exploitant les inquiétudes du grand public à propos du Covid-19 à travers des emails de prévention ou d’achat de masques chirurgicaux.

Lien(s) : https://blog.f-secure.com/coronavirus-email-attacks-evolving-as-outbreak-spreads/

 

Fraudes

Attaque :  Extorsions financières sur le darknet liées au coronavirus 

Procédé : Scams

Surface/Applications : Darknet 

Date de publication : 12/03/2020

Description : Recensement de plusieurs scams : fausses vaccinations, ventes de masques, solutions hydro alcooliques…

Lien(s) : https://www.darkowl.com/blog-content/coronavirus-on-the-darknet

**********

Attaque :  La vente de fausses attestations de déplacement dérogatoire se multiplie sur Internet

Procédé : Scams

Surface/Applications : Sites marchands frauduleux

Date de publication : 17/03/2020

Description : Suite aux annonces du Président de la République française, relatives au confinement général de la population, plusieurs sites prétendant vendre des attestions de déplacement sans limites à 5, 10 ou 100€ ont vu le jour.

Lien(s) : https://www.zataz.com/non-lattestation-de-deplacement-derogatoire-ne-coute-pas-5-10-ou-100e/

 

Ressources utiles

Type de ressources : MISP Dashboard

Surface d’application: MISP

Date de publication : NR

Description : Tableau de bord pour suivre l’évolution du virus en direct.

Lien(s) :

https://t.co/64bWDpZAKr?amp=1

https://twitter.com/MISPProject/status/1239864641993551873?s=03

**********

Type de ressources : Liste des noms de domaine (NDD) déposés liés au nom du virus 

Date de publication : 14/03/2020

Description : Cette liste recense tous les noms de domaine déposés en lien avec le virus (actualisation toutes les minutes).

Lien(s) :

https://twitter.com/dustyfresh/status/1238925029057925122

https://1984.sh/covid19-domains-feed.txt

**********

Type de ressources : SANS Security Awareness publie un kit gratuit pour sécuriser le télétravail

Cible: Les employés en télétravail

Date de publication : NR

Description : Kit destiné aux entreprises recensant les procédures de sécurité qui s'appliquent au télétravail, et une feuille de route pour les particuliers.

Lien(s) :https://www.sans.org/security-awareness-training/sans-security-awareness-work-home-deployment-kit?utm_medium=Social&utm_source=Twitter&utm_campaign=SANS+Central+Train+Without+Travel

**********

Type de ressources : Référencement des solutions de téléconsultation et de télésuivi pour la prise en charge des patients atteints de Covid-19.

Cible: Médecins, infirmières et personnels soignants

Date de publication : 18/03/2020

Description : Tableau de référence qui accompagne le personnel soignant dans le choix d’une solution de télétravail avec, pour chacune, les fonctionnalités proposées et le niveau de sécurité garanti. Cette liste a été établie par les éditeurs de solutions eux-mêmes.

Lien(s) : https://esante.gouv.fr/actualites/solutions-teleconsultation

 

Autres actualités

Pays : Chine

Sujet: Une entreprise chinoise modifie son IA pour reconnaître les citoyens portant des masques

Date de publication : 11/03/2020

Description : Le port généralisé du masque chirurgical en Chine face à l’épidémie du Covid-19 pose problème aux logiciels de reconnaissance faciale utilisés par l’État ; une entreprise aurait entraîné son IA à y remédier.

Lien(s) : https://www.lemonde.fr/international/article/2020/03/17/israel-approuve-des-methodes-de-surveillance-electronique-de-masse-contre-le-coronavirus_6033390_3210.html?utm_medium=Social&utm_source=Twitter#Echobox=1584442729

**********

Pays : Israël

Sujet: Surveillance électronique de masse pour endiguer le covid-19

Date de publication : 17/03/2020

Description : Le gouvernement israélien a autorisé le service de renseignement intérieur israélien a utiliser des méthodes de surveillance de masse pour traquer la localisation des téléphones portables de personnes infectées sans autorisation préalable de la justice.

Lien(s) : https://www.lemonde.fr/international/article/2020/03/17/israel-approuve-des-methodes-de-surveillance-electronique-de-masse-contre-le-coronavirus_6033390_3210.html?utm_medium=Social&utm_source=Twitter#Echobox=1584442729

 

L’équipe du CERT-DS
T : 01 70 83 85 82
50, avenue Daumesnil
75012 Paris