Le gouvernement britannique affirme que des pirates informatiques russes ont tenté de voler la recherche sur les vaccins COVID-19
La pandémie de coronavirus est loin d'être terminée. Bien que de nombreux pays assouplissent les restrictions, le nombre de cas continue d'augmenter et des personnes continuent de mourir chaque jour. Il est clair que la seule solution est de vacciner en masse la population, ce qui est évidemment très difficile compte tenu du fait qu'un vaccin n'a pas encore été inventé.
Plus tôt nous l'aurons, plus de vies seront sauvées, et vous pensez qu'à la lumière de tout cela, les nations les plus puissantes du monde rassembleront leurs spécialistes les plus intelligents et les feront travailler en équipe afin que nous puissions avoir un travail vaccin le plus rapidement possible. Tu aurais tort.
En parlant du développement d'un vaccin contre le nouveau coronavirus, John Demers, procureur général adjoint de la sécurité nationale américaine, a déclaré que celui qui crée le vaccin aura une "réussite géopolitique significative". En d'autres termes, il a laissé entendre qu'il s'agissait d'une compétition, et le National Cyber Security Center (NCSC) du Royaume-Uni estime que certains concurrents jouent mal.
Table of Contents
Royaume-Uni, États-Unis et Canada: les Russes attaquent des organisations qui travaillent sur un vaccin contre les coronavirus
Hier, le NCSC a publié un rapport également soutenu par le Canadian Security Establishment (CSE), le Department for Homeland Security Cyber-security Infrastructure Security Agency (DHS CISA) des États-Unis et la US National Security Agency (NSA). Il indique qu'un groupe de pirates connus sous le nom d'APT29, Cozy Bear ou The Dukes a ciblé des organisations de soins de santé travaillant sur un vaccin COVID-19 au Canada, aux États-Unis et au Royaume-Uni.
Il est considéré comme un fait connu que l'APT 29 est soutenu par le gouvernement russe, et avec le rapport, le Royaume-Uni, les États-Unis et le Canada accusent le Kremlin d'essayer de voler des données liées à la recherche et au développement d'un vaccin COVID-19.
APT29 est toujours aussi formidable
Le rapport ne nomme aucune des organisations ciblées, mais il indique que les attaques ont commencé au début de 2020 et se poursuivent à ce jour. Le NCSC a également rassemblé une explication assez détaillée de la façon dont les pirates APT29 planifient et exécutent leurs attaques.
Comme de nombreuses autres équipes de piratage, APT29 effectue des analyses régulières et recueille des informations sur les réseaux vulnérables confrontés à Internet. Les pirates ne ciblent pas tous les systèmes qu'ils trouvent, mais ils en conservent probablement une trace afin qu'ils puissent les pirater si le besoin s'en fait sentir.
Très probablement, c'est ainsi qu'ils ont distingué les PI qui doivent être attaqués lorsqu'ils ont été invités à rassembler des informations sur les progrès accomplis par l'Occident dans le développement du vaccin COVID-19.
Pour la plupart, les cibles sont compromises à l'aide d'une liste de vulnérabilités connues dans les produits de Citrix, FortiGate, Pulse Secure, Zimbra, etc., bien que le rapport indique également que dans certains cas, les pirates collectent des informations de connexion à l'aide de spear-phishing sophistiqué attaques. Une fois à l'intérieur du réseau, APT29 utilise différentes méthodes pour obtenir la persistance et déploie quelques souches de logiciels malveillants appelées WellMess et WellMail.
Les armes de choix d'APT29
WellMess est la plus ancienne des deux familles de logiciels malveillants. Il est apparu en 2018, mais c'est la première fois que quelqu'un l'associe à APT29. Il est nommé d'après l'une des fonctions du code, et son objectif principal est d'exécuter des commandes shell et de télécharger et télécharger des données.
WellMail est une famille de logiciels malveillants auparavant non documentée qui exécute des commandes sur la machine infectée et renvoie les résultats au serveur de commande et de contrôle (C&C). Son nom vient également de l'utilisation répétée du mot "mail" dans le code, ainsi que du fait qu'il utilise le port serveur 25 pour communiquer avec le C&C.
Russie: nous n'avons rien fait
Le NCSC semble être convaincu que l'APT29 est responsable de l'attaque, et il faut dire que s'il n'était pas confiant quant à ses affirmations, il ne l'aurait probablement pas mis dans un rapport accessible au public.
Cependant, la Russie n'est pas très disposée à accepter sa responsabilité. Selon la BBC, un porte-parole du président Vladimir Poutine a nié tout lien entre la Russie et les attaques contre les organisations de développement de vaccins. Là encore, les superpuissances du monde admettent rarement utiliser des groupes de piratage sophistiqués pour espionner d'autres pays, donc cette déclaration devrait probablement être prise avec une dose de scepticisme.
En tout cas, si ce que dit le NCSC est vrai, certains des pirates informatiques les plus compétents du monde attaquent les institutions responsables de la création d'un vaccin qui sauvera des milliers de vies. Espérons que les attaques ne perturbent pas trop leur travail.
