Des pirates ont tenté de voler des informations sur les vaccins contre les coronavirus

Le Royaume-Uni, les États-Unis et le Canada accusent la Russie de tenter de voler des données sur les vaccins contre les coronavirus.

Le Royaume-Uni, les États-Unis et le Canada ont rapporté que le groupe APT29, également connu sous le nom de Cozy Bear, et lié aux services de renseignements du Kremlin, a attaqué divers laboratoires dans leur pays.

Le Centre national de cybersécurité (NCSC) du Royaume-Uni a fait cette annonce jeudi, en coordination avec les autorités américaines et canadiennes.

Les trois nations ont allégué que le groupe de pirates informatiques APT29, également connu sous le nom de Cozy Bear et qui ferait partie du service de renseignement russe, s’en prend aux institutions de recherche universitaire et pharmaceutiques impliquées dans le développement du vaccin contre le coronavirus, afin de voler des informations.

Les attaques persistantes et continues sont considérées par les responsables des services de renseignement comme une tentative de voler la propriété intellectuelle, mais pas de perturber la recherche.

La campagne « d’activités malveillantes » est en cours et comprend des attaques « principalement contre des cibles gouvernementales, diplomatiques, de groupes de réflexion, de santé et d’énergie », a déclaré le Centre national de la cybersécurité dans un communiqué.

Il n’est pas clair si des informations ont effectivement été volées, mais l’agence affirme que les informations confidentielles des personnes concernées n’ont pas été compromises.

Cozy Bear, alternativement appelé « The Dukes », a été identifié par Washington comme l’un des deux groupes de pirates informatiques liés au gouvernement russe qui ont pénétré le réseau informatique du Comité national démocrate et volé des courriels avant les élections présidentielles de 2016. L’autre groupe est souvent appelé Fancy Bear.

« L’APT29 utilise une variété d’outils et de techniques pour cibler principalement des objectifs gouvernementaux, diplomatiques, de recherche, de santé et d’énergie pour obtenir des informations », a rapporté le Centre national de cybersécurité.

Le groupe utilise des logiciels malveillants personnalisés connus sous les noms de « WellMess » et « WellMail » pour cibler diverses organisations dans le monde entier. Cela inclut les organisations impliquées dans le développement du vaccin COVID-19. WellMess et WellMail n’ont jamais été publiquement associés à l’APT29.

WellMess est un logiciel malveillant écrit en Golang ou en .NET et est utilisé depuis au moins 2018. Il porte le nom d’une de ses fonctions : « wellmess ». Il s’agit d’un logiciel malveillant léger conçu pour exécuter des commandes shell arbitraires et pour télécharger des fichiers. Le malware supporte les méthodes de communication HTTP, TLS et DNS.

WellMail est un autre outil léger conçu pour exécuter des commandes ou des scripts et les résultats sont envoyés à un serveur crypté. Le NCSC a nommé ce malware « WellMail » en raison des chemins d’accès aux fichiers contenant le mot « mail » et de l’utilisation du port 25 du serveur présent dans l’échantillon analysé.

Comme WellMess, WellMail utilise des certificats TLS cryptés de clients et d’autorités de certification pour communiquer avec les serveurs C2.

Cozy Bear utilise fréquemment les failles de sécurité du domaine public pour effectuer des scans généralisés contre les systèmes vulnérables dans le but d’obtenir des justificatifs d’authentification qui permettent un accès plus large.

Ce vaste choix de cibles peut permettre au groupe d’accéder à un grand nombre de systèmes dans le monde entier, dont beaucoup n’ont peut-être pas de valeur immédiate sur le plan de l’intelligence, mais pourraient en avoir à l’avenir, comme on le voit aujourd’hui avec les centres de recherche qui développent des traitements contre les coronavirus.

« Le groupe peut tenir un registre des justificatifs d’identité volés pour accéder à ces systèmes s’ils deviennent plus pertinents pour ses besoins. Lors des récentes attaques contre la recherche et le développement du vaccin COVID-19, le groupe a procédé à une analyse de base de la vulnérabilité des adresses IP externes des organisations. Le groupe a ensuite exploité les vulnérabilités des services identifiés », explique le rapport.

Une fois qu’ils accèdent à un système, les pirates informatiques quittent ces outils et cherchent à obtenir des références légitimes de systèmes compromis afin de maintenir un accès permanent.

Tout porte à croire qu’ils utilisent des services d’anonymat lorsqu’ils utilisent les informations d’identification volées, de sorte qu’ils ne peuvent pas être identifiés.

« L’APT29 continuera probablement à cibler les organisations impliquées dans la recherche et le développement du vaccin COVID-19, car elles cherchent à répondre à des questions de renseignement supplémentaires liées à la pandémie. Les organisations sont fortement encouragées à utiliser les normes conseillées pour détecter l’activité détaillée dans ce rapport », a déclaré le CSNC dans la conclusion du document publié.