Covid-19 et vaccin : la Russie accusée de cyberattaque par les USA, le Canada et le Royaume-Uni

Le par Jérôme G.  |  2 commentaire(s)
coronavirus

USA, Canada et Royaume-Uni accusent de concert le groupe APT19 pour des cyberattaques contre des centres de recherche sur le Covid-19. Un groupe intimement lié aux services de renseignement de la Russie.

Les États-Unis, le Canada et le Royaume-Uni accusent le groupe de cyberespionnage APT29 d'avoir mené des cyberattaques à l'encontre d'organisations - non citées - prenant part à la recherche d'un vaccin contre le Covid-19.

Le groupe APT29 est également connu en tant que Cozy Bear ou The Dukes parmi ses multiples autres petits noms. Il serait à la solde des services de renseignement de la Russie. Du reste, il est fait mention par le Canada, d'une activité de cybermenace de la Russie.

Déjà en mai, les États-Unis et le Royaume-Uni avaient alerté au sujet de cyberattaques APT (Advanced Persistent Threat) ciblant activement des organisations impliquées dans les réponses nationales et internationales sur le Covid-19. Le groupe APT29 n'avait toutefois pas été évoqué.

Le but serait de dérober des informations et de la propriété intellectuelle en lien avec le développement et le test de vaccins. Selon un rapport (PDF), APT29 a recours à une variété d'outils et de techniques dans le cadre de son opération de piratage.

apt29-covid-19-vaccin-cyberattaque-nsa

Notamment grâce à des campagnes de phishing ciblé (spear phishing ; avec des techniques d'ingénierie sociale), le groupe de cyberespionnage conserverait un stock d'identifiants volés pour accéder à des systèmes susceptibles de devenir ultérieurement plus pertinents pour ses besoins.

Dans les récentes attaques sur la recherche pour le Covid-19, APT19 aurait scanné des adresses IP spécifiques d'organisations, à la recherche de systèmes vulnérables afin de mettre la main sur des données de connexion. Des exploits publics ont été déployés.

Précédemment, un rapport avait fait état de tentatives d'exploitation de vulnérabilités de sécurité (corrigées) affectant des produits VPN de Pulse Secure, Fortinet et Palo Alto, des produits Citrix.

D'après le nouveau rapport, APT29 aurait déployé dans certains cas le malware WellMess (pour l'exécution de commandes shell arbitraires et le téléchargement de fichiers) et une nouvelle version personnalisée de celui-ci baptisée WellMail.

" WellMail est un outil léger conçu pour exécuter des commandes ou des scripts dont les résultats sont envoyés à un serveur de commande et de contrôlé codé en dur (ndlr : dans le malware lui-même) ", peut-on lire. Dans un échantillon analysé, les chemins des fichiers contenaient le mot " mail " et l'utilisation du port serveur 25 (SMTP).

" Tout comme WellMess, WellMail utilise un client codé en dur et des certificats TLS d'autorité de certification pour communiquer avec les serveurs de commande et contrôle. Le binaire est un utilitaire ELF (ndlr : Executable and Linkable Format) écrit en Golang (ndrl : langage de programmation Go) qui reçoit une commande ou un script à exécuter via le shell Linux. "

Avec une même infrastructure que WellMess, le malware dénommé SoreFang serait utilisé pour l'exfiltration de données et le rapatriement d'une autre charge utile malveillante.

Il n'est pas précisé si les attaques ont effectivement permis de voler des informations confidentielles. Comme les experts en cybersécurité aiment à le rappeler, il est à souligner que l'attribution de l'origine d'une cyberattaque APT est un exercice sujet à caution.

Bien évidemment, la Russie bat en brèche les accusations… Le Royaume-Uni y a ajouté une suspicion d'ingérence lors des campagnes pour les législatives de décembre.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
jacob13 offline Hors ligne VIP icone 6027 points
Le #2104283
J'adore ce genre d'article ou à la fin on rappelle que l'on ne peut pas savoir qui est derrière une attaque informatique et qui fait que tout l'article n'est que spéculation.
Anonyme
Le #2104300
jacob13 a écrit :

J'adore ce genre d'article ou à la fin on rappelle que l'on ne peut pas savoir qui est derrière une attaque informatique et qui fait que tout l'article n'est que spéculation.


Non bah non, on ne sait pas du tout depuis le temps qui se cache derrière le groupe APT19...
icone Suivre les commentaires
Poster un commentaire