Coronavirus : les cybercriminels en profitent

Coronavirus : les cybercriminels en profitent

Les groupes cybercriminels liés aux gouvernements de Chine, de Corée du Nord et de Russie ne passeront pas à coté de la pandémie mondiale et ont commencé à utiliser des e-mails de phishing basés sur les coronavirus dans le cadre de leurs efforts pour infecter les victimes avec des logiciels malveillants et accéder à leur infrastructure.

Au cours des dernières semaines, la communauté de la sécurité informatique a vu des pirates informatiques liés aux état chinois, coréens et russes tenter ces tactiques. L’utilisation d’e-mails de phishing sur le thème du Covid-19 n’est pas vraiment une surprise pour ceux qui ont suffisamment suivi l’industrie de la sécurité de l’information.

Les espions ne passent jamais à coté de ce type d’occasion. De l’attentat terroriste de Paris en novembre 2015 à l’oppression de la population ouïghour en Chine, les groupes APT ont toujours conçu leurs e-mails contrefaits pour obtenir les meilleurs résultats à un certain moment donné, et, historiquement, les événements tragiques ont toujours été une source d’e-mails malveillants.

publicité

Russie

Le premier groupe de piratage à utiliser un leurre coronavirus a été le groupe Hades, censé opérer à partir de la Russie, et lié à APT28 (Fancy Bear), l’un des groupes qui a également piraté le DNC en 2016.

Selon la firme de cybersécurité QiAnXin, les pirates informatiques de Hades ont mené une campagne de ce type à la mi-février. Ils ont caché un cheval de Troie C# dans des documents malveillants contenant les dernières nouvelles concernant le Covid-19.

Les documents ont été envoyés à des cibles en Ukraine, déguisés en courriels provenant du Centre de santé publique du ministère de la Santé d’Ukraine.

Les e-mails ciblés semblent avoir fait partie d’une campagne de désinformation plus vaste qui a frappé l’ensemble du pays. Tout d’abord, au moment où Hades visait ses cibles, une vague de courriels de spam sur le thème des coronavirus a frappé le pays. Deuxièmement, la campagne d’e-mails a été suivie d’un flot de messages sur les réseaux sociaux affirmant que la maladie était arrivée dans le pays.

Selon un article de BuzzFeed News, l’un de ces e-mails est devenu viral, et soutenu par l’alarmisme des réseaux sociaux, a conduit à une panique générale et à des émeutes violentes dans une partie du pays. BuzzFeed News a rapporté que dans certaines villes ukrainiennes, les résidents bloquaient les hôpitaux, craignant que leurs enfants ne soient infectés par des évacués infectés par le coronavirus venant de la région orientale de l’Ukraine déchirée par la guerre.

Dans cette panique générale, quelques courriels contenant des logiciels malveillants avaient beaucoup plus de chances de passer inaperçus et d’atteindre leurs cibles, dont la plupart étaient très probablement intéressés par les événements en cours dans le pays.

Corée du Nord

Le deuxième pays à avoir utilisé le Covid-19 pour ses opérations de piratage est la Corée du Nord, à la fin du mois de février. Sa campagne était néanmoins loin d’être aussi sophistiquée que celle qui a frappé l’Ukraine. Selon un tweet partagé par la firme sud-coréenne de cybersécurité IssueMakersLab, un groupe de pirates nord-coréens a également dissimulé des logiciels malveillants dans des documents détaillant la réponse de la Corée du Sud à l’épidémie de Covid-19.

Les documents – qui auraient été envoyés à des responsables sud-coréens – ont été piégés avec BabyShark, une souche de malware précédemment utilisée par un groupe de hackers nord-coréen connu sous le nom de Kimsuky.

Chine

Mais la plupart des campagnes de logiciels malveillants utilisant le thème du coronavirus proviennent de Chine, toutes envoyées au cours des deux dernières semaines, alors que la Chine sortait de sa propre crise liée au Covid-19. La première a eu lieu au début de ce mois. La firme vietnamienne de cybersécurité VinCSS a détecté un groupe de piratage lié à l’état chinois (nom de code : Mustang Panda) diffusant des e-mails avec une pièce jointe en .RAR qui prétendait porter un message sur l’épidémie de coronavirus du Premier ministre vietnamien.

L’attaque, également confirmée par CrowdStrike, installait un cheval de Troie basique sur les ordinateurs des utilisateurs ayant téléchargé et décompressé le fichier. La deuxième attaque a été détaillée aujourd’hui par la firme de cybersécurité Check Point, qui a suivi un autre groupe chinois appelé Vicious Panda ciblant les organisations gouvernementales mongoles avec des documents prétendant détenir des informations sur la prévalence de nouvelles infections de coronavirus.

Cependant, ces attaques ne sont pas les seules à se nourrir de la panique mondiale du COVID-19.
Les groupes de cybercriminels traditionnels, non liés à des Etats, utilisent également les même leurres, selon un article publié la semaine dernière, citant les résultats de Fortinet, Sophos, Proofpoint et d’autres.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *