L’attaque dévastatrice menée à l’automne 2014 contre Sony Pictures et les multiples assauts recensés ces derniers mois sur le réseau bancaire Swift sont-ils signés du même auteur ?
La firme britannique BAE Systems, qui travaille dans les secteurs de la défense et de l’aérospatiale, l’a récemment laissé entendre.
Même son de cloche chez Symantec après une analyse de plusieurs souches malveillantes.
Le groupe américain a identifié trois malware utilisés contre des établissements financiers en Asie : Fimlis, Fimlis.B et Contopee. Leur point commun : ils partagent tous du code avec Banswift, un cheval de Troie exploité dans le cadre de l’offensive qui a permis de voler 81 millions de dollars à la banque centrale du Bangladesh*.
La première alerte de Swift était intervenue après cet incident.
La plate-forme, qui brasse chaque jour plusieurs milliards de dollars de transactions, avait par la suite précisé que d’autres organisations étaient susceptibles d’avoir été touchées. C’est là que la Tien Phong Bank, localisée au Vietnam, s’était signalée.
Depuis lors, un troisième acteur, en l’occurrence Banco del Austro (Équateur), a officiellement rejoint la liste, avec 12 millions de dollars dérobés, pour l’heure sans lien établi avec les fraudes en Asie.
Quel parallèle avec Sony Pictures ? La réponse s’appelle peut-être Contopee.
Le malware a déjà été utilisé par des pirates que l’on associe au collectif de cybercriminels Lazarus… lequel se trouve en première ligne dans le piratage du studio de production filiale de Sony – il a d’ailleurs été la cible de l’opération Blockbuster, menée en collaboration par plusieurs organisations privées et publiques, avec le concours de fournisseurs de solutions de sécurité.
Symantec confirme, en outre, ce qu’avançait BAE Systems : il existe des similitudes entre les souches malveillantes utilisés pour pirater Swift et celles dont s’est servi Lazarus, y compris dans le dossier Sony Pictures.
La correspondance entre les noms des exécutables malveillants est un premier élément. Mais c’est surtout dans le code que des ressemblances apparaissent. En particulier sur un bloc intégré dans msouct.exe (exploité au Balgladesh) et utilisé pour effacer des fichiers et dissimuler les preuves d’une attaque. On retrouve en l’occurrence les mêmes séries d’octets de contrôle.
msouct.exe crée par ailleurs, sur les systèmes infectés, un fichier log avec une clé très similaire à celle mentionnée dans une alerte du CERT-US à propose de l’attaque contre Sony Pictures.
* Ce détournement résulte d’une souche infectieuse qui a ciblé Access Alliance, un logiciel client de Swift. Baptisée evtdiag.exe, elle est capable d’effacer des enregistrements de transferts sortants, d’intercepter des messages entrants confirmant les ordres passés par les hackers ou encore manipuler des soldes sur des enregistrements afin de couvrir la fraude.
Crédit photo : Hurst Photo – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…