Les États-Unis, le Canada et le Royaume-Uni accusent le groupe de cyberespionnage APT29 d'avoir mené des cyberattaques à l'encontre d'organisations - non citées - prenant part à la recherche d'un vaccin contre le Covid-19.
Le groupe APT29 est également connu en tant que Cozy Bear ou The Dukes parmi ses multiples autres petits noms. Il serait à la solde des services de renseignement de la Russie. Du reste, il est fait mention par le Canada, d'une activité de cybermenace de la Russie.
Déjà en mai, les États-Unis et le Royaume-Uni avaient alerté au sujet de cyberattaques APT (Advanced Persistent Threat) ciblant activement des organisations impliquées dans les réponses nationales et internationales sur le Covid-19. Le groupe APT29 n'avait toutefois pas été évoqué.
Le but serait de dérober des informations et de la propriété intellectuelle en lien avec le développement et le test de vaccins. Selon un rapport (PDF), APT29 a recours à une variété d'outils et de techniques dans le cadre de son opération de piratage.
Notamment grâce à des campagnes de phishing ciblé (spear phishing ; avec des techniques d'ingénierie sociale), le groupe de cyberespionnage conserverait un stock d'identifiants volés pour accéder à des systèmes susceptibles de devenir ultérieurement plus pertinents pour ses besoins.
Dans les récentes attaques sur la recherche pour le Covid-19, APT19 aurait scanné des adresses IP spécifiques d'organisations, à la recherche de systèmes vulnérables afin de mettre la main sur des données de connexion. Des exploits publics ont été déployés.
Précédemment, un rapport avait fait état de tentatives d'exploitation de vulnérabilités de sécurité (corrigées) affectant des produits VPN de Pulse Secure, Fortinet et Palo Alto, des produits Citrix.
Malicious cyber actors are using WellMess, WellMail, and SoreFang #malware to target COVID-19 vaccine development. IOCs and mitigations are provided in a joint #cybersecurity advisory from @CISAgov, @NCSC, @CSE_cst, @NSACyber. Read more at https://t.co/J9dPcxgAbt. #COVID19
— US-CERT (@USCERT_gov) July 16, 2020
D'après le nouveau rapport, APT29 aurait déployé dans certains cas le malware WellMess (pour l'exécution de commandes shell arbitraires et le téléchargement de fichiers) et une nouvelle version personnalisée de celui-ci baptisée WellMail.
" WellMail est un outil léger conçu pour exécuter des commandes ou des scripts dont les résultats sont envoyés à un serveur de commande et de contrôlé codé en dur (ndlr : dans le malware lui-même) ", peut-on lire. Dans un échantillon analysé, les chemins des fichiers contenaient le mot " mail " et l'utilisation du port serveur 25 (SMTP).
" Tout comme WellMess, WellMail utilise un client codé en dur et des certificats TLS d'autorité de certification pour communiquer avec les serveurs de commande et contrôle. Le binaire est un utilitaire ELF (ndlr : Executable and Linkable Format) écrit en Golang (ndrl : langage de programmation Go) qui reçoit une commande ou un script à exécuter via le shell Linux. "
Avec une même infrastructure que WellMess, le malware dénommé SoreFang serait utilisé pour l'exfiltration de données et le rapatriement d'une autre charge utile malveillante.
Il n'est pas précisé si les attaques ont effectivement permis de voler des informations confidentielles. Comme les experts en cybersécurité aiment à le rappeler, il est à souligner que l'attribution de l'origine d'une cyberattaque APT est un exercice sujet à caution.
Bien évidemment, la Russie bat en brèche les accusations… Le Royaume-Uni y a ajouté une suspicion d'ingérence lors des campagnes pour les législatives de décembre.
