🏥 Contexte

Publié le 8 avril 2026 par The Register, cet article rapporte la découverte par le chercheur Nick Hatter de plusieurs sous-domaines du namespace scot.nhs.uk compromis et utilisés pour héberger des liens vers du contenu adulte et des streams sportifs illégaux.

🔍 Domaines concernés

  • Domaine compromis (The New Surgery, Kilmacolm) : thenewsurgery-kilmacolm-langbank.scot.nhs.uk — ancien domaine du cabinet, non utilisé depuis au moins 2019
  • Domaine compromis (Lerwick GP Practice, Shetland) : domaine actuellement en usage par le cabinet, servant des liens illicites
  • Des liens malveillants ont été indexés par Google, certains créés dès janvier 2026

⚙️ Vecteur d’attaque suspecté

Les requêtes dig montrent que les domaines NHS pointent correctement vers WP Engine, suggérant que la compromission est intervenue côté WordPress (CMS). Les hypothèses avancées incluent :

  • Exploitation d’une vulnérabilité de plugin WordPress
  • Compromission de credentials d’un administrateur système permettant une modification des enregistrements DNS

Le professeur Alan Woodward (Université de Surrey) souligne que la capacité à créer ou modifier un sous-domaine dans le namespace scot.nhs.uk implique potentiellement une pénétration plus profonde qu’un simple hack de cabinet.

🏛️ Réponse institutionnelle

  • NHS Greater Glasgow and Clyde (NHSGGC) : travaille avec le Cyber Centre of Excellence de Public Services Delivery Scotland ; aucune preuve de compromission du site principal ou des systèmes NHS Scotland
  • Scott Barnett, CISO de Public Services Delivery Scotland : aucune exposition de données personnelles ou sensibles détectée à ce stade ; enquête en cours

📌 Éléments notables

  • Le namespace scot.nhs.uk est fermé : l’enregistrement requiert une autorisation officielle NHS, rendant la compromission d’autant plus significative
  • Les domaines NHS sont éligibles au UK NCSC Protective DNS scheme, mais l’adhésion n’est pas automatique
  • Nick Hatter estime que d’autres cabinets NHS Scotland pourraient être vulnérables

📰 Type d’article

Article de presse spécialisée relatant une annonce d’incident en cours, visant à informer la communauté cybersécurité et le grand public de la compromission de domaines NHS Scotland.

🧠 TTPs et IOCs détectés

TTP

  • T1584.001 — Compromise Infrastructure: Domains (Resource Development)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1565.002 — Data Manipulation: Transmitted Data Manipulation (Impact)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

  • Domaines : thenewsurgery-kilmacolm-langbank.scot.nhs.uk

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 5917 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.theregister.com/2026/04/08/scotland_nhs_domain_compromised/