Les pirates informatiques sponsorisés par les gouvernements russe et nord-coréen ont ciblé des entreprises directement impliquées dans la recherche de vaccins et de traitements contre la COVID-19 et dans certains cas, les attaques ont réussi, a déclaré Microsoft hier.
En tout, sept sociétés importantes ont été ciblées, a déclaré Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients. Il s’agit de fabricants de vaccins avec des vaccins COVID-19 à différents stades d’essais cliniques, d’une organisation de recherche clinique participant aux essais et d’un développeur d’un test COVID-19. Sont également visées les organisations ayant conclu des contrats avec des agences gouvernementales du monde entier ou ayant bénéficié d’investissements de leur part pour des travaux liés à la COVID-19. Les cibles sont situées aux États-Unis, au Canada, en France, en Inde et en Corée du Sud.
« Nous pensons que ces attaques sont inadmissibles et devraient être condamnées par toute la société civilisée », a déclaré Tom Burt, le responsable de la sécurité et de la confiance des clients de Microsoft, dans un article de blog.
Le géant de la technologie a imputé les attaques à trois groupes distincts de pirates informatiques. Le groupe russe, que Microsoft appelle Strontium, mais qui est plus connu sous le nom d’APT28 ou Fancy Bear, a utilisé une technique appelée “password spraying” pour cibler ses victimes, une attaque remarquablement efficace qui tente d’accéder à un grand nombre de comptes d’employés en utilisant seulement une poignée de mots de passe courants. Ce qui implique souvent des mots de passe recyclés ou réutilisés. Fancy Bear est surtout connu pour ses opérations de désinformation et de piratage à l’approche des élections présidentielles de 2016, mais le groupe a également été blâmé pour une série d’autres attaques très médiatisées contre des médias et des entreprises.
Les deux autres groupes sont soutenus par le régime nord-coréen, dont l’un, que Microsoft appelle Zinc, mais qui est plus connu sous le nom de Groupe Lazarus, a utilisé des courriels ciblés de harponnage déguisés en recruteurs pour tenter de voler les mots de passe de ses victimes. Lazarus a été blâmé pour le piratage de Sony en 2016 et l’attaque de WannaCry en 2017, ainsi que pour d’autres attaques motivées par des logiciels malveillants.
Mais on sait peu de choses sur l’autre groupe de hackers soutenu par la Corée du Nord, que Microsoft appelle Cerium. Selon Microsoft, ce groupe a également utilisé des courriels de harponnage ciblés en se faisant passer pour des représentants de l’Organisation mondiale de la santé, chargée de coordonner les efforts de lutte contre la pandémie COVID-19.
« La majorité de ces attaques ont été bloquées par des protections de sécurité intégrées à nos produits. Nous avons informé toutes les organisations ciblées, et lorsque les attaques ont réussi, nous avons offert notre aide », a déclaré Burt à propos des activités de ces trois groupes.
Le billet de blog de Microsoft est publié deux semaines après que des responsables de trois organisations gouvernementales américaines aient averti que des pirates informatiques russes avaient pris pour cible des centaines d’hôpitaux américains. D’autres attaques, a déclaré Burt, ont visé des hôpitaux en République tchèque, en France, en Espagne, en Thaïlande et aux États-Unis. En septembre, une patiente est morte après qu’une attaque avec demande de rançon l’ait redirigée vers un hôpital éloigné en Allemagne.
En avril, Microsoft a déclaré qu’il mettait son service de notification de menaces AccountGuard à la disposition des organisations de soins de santé et de défense des droits de l’homme travaillant sur COVID-19. À ce jour, 195 organisations se sont inscrites. Microsoft protège désormais 1,7 million de comptes de courrier électronique pour les groupes liés aux soins de santé.
Le président de Microsoft pendant le Forum de la paix de Paris, Brad Smith, exhortera les gouvernements à faire davantage pour lutter contre les cyberattaques contre le secteur de la santé, en particulier pendant la pandémie.
« Microsoft appelle les dirigeants du monde entier à affirmer que le droit international protège les établissements de soins de santé et à prendre des mesures pour faire respecter la loi. Nous pensons que la loi doit être appliquée non seulement lorsque les attaques proviennent d’organismes gouvernementaux, mais aussi lorsqu’elles émanent de groupes criminels que les gouvernements permettent d’opérer – ou même facilitent – à l’intérieur de leurs frontières », a déclaré Burt.
On suppose généralement que les pirates gouvernementaux qui ciblent la recherche sur les vaccins font de l’espionnage pour les efforts de vaccination de leur propre pays, plutôt que de pirater pour nuire délibérément à ces organisations. Mais cette activité peut encore entraver cette recherche, a déclaré John Hultquist, le directeur de l’analyse des renseignements de la société de cybersécurité Mandiant Solutions. « Les acteurs nord-coréens ont l’habitude d’effectuer une intrusion puis de mener une attaque destructrice pour rendre le travail de la police scientifique très difficile. L’idée qu’ils puissent voler des recherches sur la COVID-19 et mener une attaque destructrice est assez sérieuse », a-t-il déclaré.