Sécurité IT : attaques en série sur la finance mondiale

Sécurité
odinaff

Symantec a mis le doigt sur une nouvelle vague d’attaques contre des institutions financières. Le mode opératoire n’est pas inconnu.

Comme une impression de déjà-vu dans le monde de la cybersécurité…

Revoilà SWIFT impliqué dans une affaire de piratage à grande échelle.

Le réseau interbancaire n’est pas directement visé. Il a été touché au travers d’attaques contre plusieurs institutions financières.

Symantec attribue ces assauts à des pirates affiliés au collectif Carbanak, que l’on dit composé de cybercriminels localisés en Ukraine, en Russie, mais aussi en Chine, et qui aurait volé plus d’un milliard de dollars en s’en prenant à des banques ainsi qu’à des commerçants.

Le mode opératoire s’apparente à celui mis en place plus tôt cette année par les pirates – vraisemblablement du groupe Lazarus – qui ont dérobé 81 millions de dollars à la Banque centrale du Bangladesh.

Tout commence avec un cheval de Troie diffusé via des e-mails d’apparence légitime.

Baptisé Odinaff, le malware se cache généralement dans une macro, au sein d’un fichier Office. Il peut aussi être intégré dans une archive au format .rar.

Symantec a constaté que sa diffusion se faisait aussi par le biais de botnets, en direction de machines déjà infectées par d’autres logiciels malveillants tels qu’Andromeda et Snifula.

Attaque en profondeur

Une fois installé, Odinaff se connecte à un serveur distant et relève, toutes les 5 minutes, les commandes qui lui sont envoyées.

Il n’est qu’une première étape dans la chaîne d’infection : sont ensuite téléchargés des outils additionnels qui rappellent ceux exploités par Carbanak*. On relèvera mimikatz pour la récupération de mots de passe, Netscan pour l’analyse du réseau et Runas pour le contrôle de l’exécution de processus.

Les pirates ont aussi développé leurs propres logiciels malveillants, par exemple pour réaliser des captures d’écran dans des intervalles de 5 à 30 secondes.

Certains de ces outils sont « personnalisés » pour cibler des machines d’intérêt, à l’image de la backdoor Batel, capable de fonctionner exclusivement en mémoire vive, mais aussi et surtout de ces petits exécutables codés en C et dont le rôle est de détecter l’ajout, dans certains dossiers, de fichiers contenant des chaînes de caractères spécifiques ; notamment des dates et des IBAN.

Lorsque certains mot-clés sont repérés, les données correspondantes – en l’occurrence, des messages d’alerte émis par SWIFT concernant des transactions potentiellement frauduleuses – sont dissimulés.

S’y adjoint un outil qui efface le premier secteur adressable du disque dur, c’est-à-dire les 512 octets où se trouve la zone d’amorçage (Master Boot Record). Une manière de rendre plus difficile le traçage d’une attaque.

La vague d’attaques en question a débuté en janvier. Elle a visé les États-Unis (25 % des offensives), Hong Kong (20 %), l’Australie (19 %), le Royaume-Uni (12 %), l’Ukraine (8 %) ou encore l’Irlande (4 %).

Au-delà des institutions financières, principales victimes, des sociétés ont été touchées dans le secteur public et la santé. On ignore, en revanche, si les attaques ont été couronnées de succès…

* On relativisera en soulignant que dans l’univers du cybercrime, la réutilisation de souches malveillantes est un principe répandu. Même si dans le cas présent, la similitude avec Carbanak va jusqu’à l’infrastructure exploitée pour les attaques.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur