Les cybercriminels ordinaires, nombreux à utiliser le coronavirus comme appât, sont de plus en plus rejoints par des acteurs plus sophistiqués parrainés par des États, a averti le groupe de technologies de défense Thales lundi.
Le groupe Hades (lié à l’APT28, d’origine russe présumée, à l’origine du piratage du parti démocrate américain en 2016) a été le premier groupe de piratage parrainé par l’État à utiliser un leurre “coronavirus », note le rapport rédigé par le service de renseignement “cyber » de Thales.
“Selon la société de cyber-sécurité QiAnXin, les pirates informatiques de Hades ont mené une campagne à la mi-février en cachant un cheval de Troie dans des documents appâts (…) déguisés en courriels provenant du Centre de santé publique du ministère de la Santé
ukrainien ». “Les courriels ciblés semblent avoir fait partie d’une campagne de désinformation plus vaste qui a touché l’ensemble du pays, sur différents fronts », avec pour objectif notamment de créer la panique en Ukraine, selon Thales.
Le groupe Vicious Panda (origine chinoise présumée) a été à l’origine “d’une nouvelle campagne contre le secteur public mongol », selon Thales, qui cite ici la société américano-israélienne Checkpoint.
Mustang Panda (origine chinoise présumée) “est parvenu à utiliser de nouveaux leurres pour prendre Taïwan pour cible” avec des appâts liés au coronavirus, tandis que Kimsuky (origine suspectée en Corée du Nord) poursuit ses attaques contre des cibles en Corée du Sud, et que le groupe APT36 (origine pakistanaise suspectée) s’en est pris à des cibles indiennes », détaille encore Thales.
Par ailleurs, Thales met en garde contre la multiplication de fausses applications de suivi du virus sous Androïd, qui profitent de la soif d’informations du public.
Selon plusieurs sources, “50 % des noms de domaines créés depuis décembre et liés au thème du Covid-19 ou coronavirus peuvent amener à l’injection de logiciels malveillants », souligne le groupe français. D’une manière générale, “il semble que l’écosystème de la menace cyber suive la propagation géographique du Covid-19 avec des attaques d’abord en Asie, puis en Europe de l’Est et maintenant en Europe de l’Ouest. Le territoire français présente donc un risque d’attaques accru »