Sécurité IT : les cyber-criminels lorgnent sur les marchés financiers
Les équipes de FireEye (sécurité informatique) ont repéré un groupe de cyber-criminels qui se spécialise dans le vol d’informations financières stratégiques auprès de grands groupes.
Plus d’une centaine de grandes entreprises, dont une bonne partie cotée sur les marchés publics, figurent à son tableau de chasse : le collectif de pirates FIN4 est sous le feux des projecteurs après la découverte de ses activités par FireEye.
La firme américaine spécialisée dans la sécurité informatique est remontée jusqu’à la mi-2013 pour trouver trace des premiers méfaits de ce groupe de cyber-criminels qui s’intéresse exclusivement aux sociétés engagées dans des opérations stratégiques de rapprochement, d’acquisition ou de scission. Son objectif : récupérer des données privées relatives à des transactions qui n’ont pas encore été officialisées… et ainsi anticiper les tendances de la Bourse avec, à la clé, d’importants gains financiers.
Les entreprises visées exercent essentiellement dans le secteur de la santé ou l’industrie pharmaceutique (à 68 %). Mais FIN4 vise aussi des intermédiaires – en l’occurrence des sociétés de conseil juridique, financier ou en investissement – et quelques organisations publiques (12 %) qui évoluent pour la plupart sur le NYSE ou le NASDAQ.
Ses attaques ne ciblent que certains profils parmi lesquels les P-DG, les DAF, les consultants et les équipes de recherche. La technique employée n’est pas nouvelle : elle repose sur l’envoi, par e-mail, d’un document Word piégé qui contient une macro développée en Visual Basic for Applications (VBA). Celle-ci s’exécute et demande à l’utilisateur de renseigner ses identifiants de connexion au réseau d’entreprise, car sa session « a expiré ». Sauf que les informations sont transmises au serveur des pirates.
La macro en question contient un module nommé « Module1 » et destiner à gérer la connexion avec le serveur distant, par des requêtes POST. Elle abrite aussi un formulaire baptisé « UserForm1 » et/ou « UserLoginForm ». Lors de ses investigations (voir la synthèse au format PDF), FireEye a repéré une autre méthode exploitée dans le cas où l’entreprise ciblée aurait désactivé les macros : l’utilisateur est redirigé vers Outlook Web App, là aussi pour s’identifier.
Les travaux d’ingénierie sociale menés en amont permettent d’atteindre un haut niveau de personnalisation pour les e-mails frauduleux. Un soin particulier est apporté à la rédaction, vraisemblablement effectuée par des anglophones familiers de la terminologie financière.
En subtilisant ainsi les identifiants de connexion, FIN4 peut accéder aux communications privées de ses victimes… et les détourner en lançant des conversations de groupe ou en récupérant des documents pour y insérer leur macro. Le travail est « facilité » par la mise en oeuvre d’un système de codes (il en existe plusieurs dizaines) permettant de distinguer précisément à quel corps de métier se rattachent les informations personnelles récupérées.
Pour minimiser les risques d’être repérés, les pirates créent automatiquement, sur chaque compte Outlook piraté, un filtre qui supprime tous les mails contenant des mots-clés susceptible d’éveiller l’attention de l’utilisateur : « hacked », « phish », « malware », etc.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit photo : Ensuper – Shutterstock.com