Pour gérer vos consentements :
Categories: Sécurité

Sécurité IT : attaques en série sur la finance mondiale

Comme une impression de déjà-vu dans le monde de la cybersécurité…

Revoilà SWIFT impliqué dans une affaire de piratage à grande échelle.

Le réseau interbancaire n’est pas directement visé. Il a été touché au travers d’attaques contre plusieurs institutions financières.

Symantec attribue ces assauts à des pirates affiliés au collectif Carbanak, que l’on dit composé de cybercriminels localisés en Ukraine, en Russie, mais aussi en Chine, et qui aurait volé plus d’un milliard de dollars en s’en prenant à des banques ainsi qu’à des commerçants.

Le mode opératoire s’apparente à celui mis en place plus tôt cette année par les pirates – vraisemblablement du groupe Lazarus – qui ont dérobé 81 millions de dollars à la Banque centrale du Bangladesh.

Tout commence avec un cheval de Troie diffusé via des e-mails d’apparence légitime.

Baptisé Odinaff, le malware se cache généralement dans une macro, au sein d’un fichier Office. Il peut aussi être intégré dans une archive au format .rar.

Symantec a constaté que sa diffusion se faisait aussi par le biais de botnets, en direction de machines déjà infectées par d’autres logiciels malveillants tels qu’Andromeda et Snifula.

Attaque en profondeur

Une fois installé, Odinaff se connecte à un serveur distant et relève, toutes les 5 minutes, les commandes qui lui sont envoyées.

Il n’est qu’une première étape dans la chaîne d’infection : sont ensuite téléchargés des outils additionnels qui rappellent ceux exploités par Carbanak*. On relèvera mimikatz pour la récupération de mots de passe, Netscan pour l’analyse du réseau et Runas pour le contrôle de l’exécution de processus.

Les pirates ont aussi développé leurs propres logiciels malveillants, par exemple pour réaliser des captures d’écran dans des intervalles de 5 à 30 secondes.

Certains de ces outils sont « personnalisés » pour cibler des machines d’intérêt, à l’image de la backdoor Batel, capable de fonctionner exclusivement en mémoire vive, mais aussi et surtout de ces petits exécutables codés en C et dont le rôle est de détecter l’ajout, dans certains dossiers, de fichiers contenant des chaînes de caractères spécifiques ; notamment des dates et des IBAN.

Lorsque certains mot-clés sont repérés, les données correspondantes – en l’occurrence, des messages d’alerte émis par SWIFT concernant des transactions potentiellement frauduleuses – sont dissimulés.

S’y adjoint un outil qui efface le premier secteur adressable du disque dur, c’est-à-dire les 512 octets où se trouve la zone d’amorçage (Master Boot Record). Une manière de rendre plus difficile le traçage d’une attaque.

La vague d’attaques en question a débuté en janvier. Elle a visé les États-Unis (25 % des offensives), Hong Kong (20 %), l’Australie (19 %), le Royaume-Uni (12 %), l’Ukraine (8 %) ou encore l’Irlande (4 %).

Au-delà des institutions financières, principales victimes, des sociétés ont été touchées dans le secteur public et la santé. On ignore, en revanche, si les attaques ont été couronnées de succès…

* On relativisera en soulignant que dans l’univers du cybercrime, la réutilisation de souches malveillantes est un principe répandu. Même si dans le cas présent, la similitude avec Carbanak va jusqu’à l’infrastructure exploitée pour les attaques.

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago