Des hackers d’État russes attaquent des chercheurs de Covide-19

Selon un avis conjoint émis par le National Cyber Security Centre (NCSC) et ses homologues canadiens et américains, le groupe APT29 ou Cozy Bear (APT) cible les organisations qui travaillent sur un vaccin contre le coronavirus Covid-19 au nom de ses payeurs dans les services de renseignement russes.

La campagne d’activités malveillantes est en cours, a déclaré le NCSC, et vise principalement les agences gouvernementales, les organismes diplomatiques, les organisations de soins de santé, les groupes de réflexion, et le secteur de l’énergie dans la poursuite d’une variété de propriété intellectuelle.

« Nous condamnons ces attaques ignobles contre ceux qui font un travail vital pour lutter contre la pandémie de coronavirus », a déclaré Paul Chichester, directeur des opérations du NCSC.

« En collaboration avec nos alliés, le NCSC s’est engagé à protéger nos actifs les plus essentiels et notre priorité absolue à l’heure actuelle est de protéger le secteur de la santé », a-t-il déclaré.

« Nous exhortons les organisations à se familiariser avec les conseils que nous avons publiés pour aider à défendre leurs réseaux. »

Le ministre des Affaires étrangères Dominic Raab a ajouté : « Il est tout à fait inacceptable que les services de renseignement russes ciblent ceux qui travaillent à la lutte contre la pandémie de coronavirus.

« Alors que d’autres poursuivent leurs intérêts égoïstes avec un comportement téméraire, le Royaume-Uni et ses alliés s’efforcent de trouver un vaccin et de protéger la santé mondiale », a-t-il déclaré. « Le Royaume-Uni continuera de contrer ceux qui mènent de telles cyberattaques et travaillera avec nos alliés pour demander des comptes aux auteurs. »

Selon le NCSC, qui a publié une évaluation complète qui peut être téléchargé ici, Cozy Bear utilise deux variétés de logiciels malveillants personnalisés, surnommé WellMess et WellMail.

Il accède à ses cibles grâce à un certain nombre de vulnérabilités généralisées, y compris l’exploit infâme CVE-2019-19781 Citrix, ainsi que d’autres dans les produits FortiGate, Pulse Secure et Zimbra. Les groupes de défense des menaces soutenus par les États-nations utilisent fréquemment les exploits accessibles au public pour effectuer un balayage et une exploitation généralisés contre les systèmes vulnérables.

Il est également connu pour utiliser des techniques de spear-phishing afin d’obtenir des informations d’identification d’authentification pour les pages de connexion internet à ses organisations cibles.

Le NCSC a déclaré que Cozy Bear continuerait probablement à cibler les organisations impliquées dans la recherche et le développement de vaccins Covide-19 alors qu’il cherche à répondre à d’autres questions de renseignement relatives à la pandémie.

Les organisations en première ligne de la R&D vaccins sont mieux avisées de suivre un certain nombre d’étapes de base pour renforcer leur posture de cybersécurité afin de se donner les meilleures chances de ne pas être victimes d’attaques russes.

Il s’agit notamment de garder tous les équipements informatiques, les appareils et les réseaux à jour avec les dernières versions prises en charge, l’application de correctifs fréquemment et l’utilisation de produits antivirus et des analyses régulières pour se prémunir contre les nouvelles variantes de logiciels malveillants; la mise en œuvre de l’authentification multifacteur pour réduire l’impact du compromis de mot de passe; mener des exercices de formation réguliers avec les employés et leur donner des ressources et du soutien pour signaler les incidents sans honte ni punition; et d’établir des capacités de surveillance de la sécurité pour recueillir des données utiles qui aideront à analyser toute intrusion. Des conseils complets sur tous ces sujets sont disponibles auprès du NCSC.

La divulgation du NCSC fait suite aux allégations du gouvernement selon lesquelles la Russie aurait également tenté de s’immiscer dans les élections générales britanniques de 2019 en divulguant des documents sensibles via le site Reddit. Cela précède la publication prévue la semaine prochaine d’un rapport longtemps retardé sur l’ingérence russe dans les affaires intérieures du Royaume-Uni, après que le Premier ministre Boris Johnson et son conseiller non élu, Dominic Cummings, ont échoué dans leur tentative d’installer Chris Grayling à la tête de la commission du renseignement et de la sécurité.