Sécurité IT : liaisons dangereuses entre Swift et Sony Pictures
Le piratage de Sony Pictures et les attaques contre le réseau bancaire Swift sont-ils l’œuvre d’un même groupe ? Plusieurs éléments le laissent suggérer.
L’attaque dévastatrice menée à l’automne 2014 contre Sony Pictures et les multiples assauts recensés ces derniers mois sur le réseau bancaire Swift sont-ils signés du même auteur ?
La firme britannique BAE Systems, qui travaille dans les secteurs de la défense et de l’aérospatiale, l’a récemment laissé entendre.
Même son de cloche chez Symantec après une analyse de plusieurs souches malveillantes.
Le groupe américain a identifié trois malware utilisés contre des établissements financiers en Asie : Fimlis, Fimlis.B et Contopee. Leur point commun : ils partagent tous du code avec Banswift, un cheval de Troie exploité dans le cadre de l’offensive qui a permis de voler 81 millions de dollars à la banque centrale du Bangladesh*.
La première alerte de Swift était intervenue après cet incident.
La plate-forme, qui brasse chaque jour plusieurs milliards de dollars de transactions, avait par la suite précisé que d’autres organisations étaient susceptibles d’avoir été touchées. C’est là que la Tien Phong Bank, localisée au Vietnam, s’était signalée.
Depuis lors, un troisième acteur, en l’occurrence Banco del Austro (Équateur), a officiellement rejoint la liste, avec 12 millions de dollars dérobés, pour l’heure sans lien établi avec les fraudes en Asie.
L’ombre de Lazarus
Quel parallèle avec Sony Pictures ? La réponse s’appelle peut-être Contopee.
Le malware a déjà été utilisé par des pirates que l’on associe au collectif de cybercriminels Lazarus… lequel se trouve en première ligne dans le piratage du studio de production filiale de Sony – il a d’ailleurs été la cible de l’opération Blockbuster, menée en collaboration par plusieurs organisations privées et publiques, avec le concours de fournisseurs de solutions de sécurité.
Symantec confirme, en outre, ce qu’avançait BAE Systems : il existe des similitudes entre les souches malveillantes utilisés pour pirater Swift et celles dont s’est servi Lazarus, y compris dans le dossier Sony Pictures.
La correspondance entre les noms des exécutables malveillants est un premier élément. Mais c’est surtout dans le code que des ressemblances apparaissent. En particulier sur un bloc intégré dans msouct.exe (exploité au Balgladesh) et utilisé pour effacer des fichiers et dissimuler les preuves d’une attaque. On retrouve en l’occurrence les mêmes séries d’octets de contrôle.
msouct.exe crée par ailleurs, sur les systèmes infectés, un fichier log avec une clé très similaire à celle mentionnée dans une alerte du CERT-US à propose de l’attaque contre Sony Pictures.
* Ce détournement résulte d’une souche infectieuse qui a ciblé Access Alliance, un logiciel client de Swift. Baptisée evtdiag.exe, elle est capable d’effacer des enregistrements de transferts sortants, d’intercepter des messages entrants confirmant les ordres passés par les hackers ou encore manipuler des soldes sur des enregistrements afin de couvrir la fraude.
Crédit photo : Hurst Photo – Shutterstock.com