[Australie] Des APT ciblent les centres de recherche travaillant sur le COVID-19

Le Centre de Cybersécurité Australien (ACSC) a récemment publié un article alertant sur des activités malveillantes perpétrées par des APT (Advanced Persistent Threat) et des groupes de cybercriminels contre des centres de recherches et des organisations médicales travaillant sur le COVID-19. 

Le but premier de ces activités est d’obtenir des informations hautement sensibles, tels que celles liées au développement de vaccins ou de traitements contre le virus. Les APT sont des groupes pouvant être financés par des Etats que ce type d’information peut intéresser. D’autres groupes peuvent lancer des attaques pour des raisons purement financières et notamment utiliser des rançongiciels contre des structures de santé afin d’obtenir un profit rapide. 

Les vecteurs d’attaque employés sont variés et peuvent aller du simple mail d'hameçonnage à l’exploitation de vulnérabilités RDP en passant par des attaques par force brute afin d’obtenir des identifiants de comptes à privilèges. 

La menace représentée par les APT est importante et peut aller jusqu’à mettre à mal la sécurité et l’économie d’un pays. Comme dit plus haut, ce sont des groupes habituellement sponsorisés par des Etats qui, par conséquent, disposent de nombreuses ressources et qui peuvent employer des tactiques particulièrement sophistiquées. Le mode d’action des APT se caractérise par la furtivité et la patience extrême. Ils peuvent, s’ils le jugent nécessaire, analyser des réseaux de haute valeur durant des mois voire des années. Ils n'hésitent pas à analyser les personnes associées à l’organisation ciblée afin de trouver un point faible à exploiter. Des APT dormantes sont aujourd’hui actives car toute information liée au COVID-19 peut donner un avantage stratégique à un État. 

Contrairement aux APT, les groupes de cybercriminels vont agir en fonction des opportunités afin de générer des profits immédiats. Ils sont en constante recherche de personnes ou d’organisations vulnérables et utilisent souvent des techniques moins évoluées telles que du hameçonnage par mail ou SMS afin de répandre des maliciels. 

A la frontière entre les groupes traditionnels de cybercriminels et les APT, il existe désormais des groupes internationaux de cybercriminels. Ils disposent de plus de moyens, développent leurs propres outils, sont organisés en réseaux complexes et peuvent dans certains cas vendre leurs services. Avec leur appui, n’importe quel individu avec un minimum d’expertise technique peut lancer une attaque à fort impact. 

Afin de se protéger contre ces menaces, l’ACSC propose ces 8 recommandations :

  • Utiliser l’authentification à multiples facteurs

  • Bloquer les macros

  • Patcher régulièrement les systèmes et applications

  • Faire régulièrement des copies des systèmes et bases de données critiques 

  • Implémenter des contrôles de sécurité

  • Alerter et éduquer les collaborateurs 

  • Analyser le contenu des mails

  • Ecrire / mettre à jour les plans de réponse à incident(s)

  • Séparer les réseaux

Pour plus de détails, l’article original est disponible dans la section Références. Pour plus d’informations sur les recommandations à mettre en œuvre afin de renforcer la sécurité de son système d’information, il est possible de se référer au guide d’hygiène informatique de l’ANSSI