L’industrie bancaire Polonaise visée par une cyber-attaque d’envergure

Les cyberattaques d’octobre 2016 contre l’industrie bancaire polonaise feraient partie d’une entreprise plus large visant le secteur bancaire mondial et menée par le groupe de pirates Lazarus.

Le 3 Février 2017, le site polonais d’informations Zaufana Trzecia Strona rapportait ce qui est considéré comme l’incident le plus sérieux dans l’histoire de l’industrie bancaire polonaise : une cyberattaque ciblant plus de 20 banques polonaises, et menant à un considerable vol de données.

Une attaque secouant l’industrie bancaire polonaise

De nombreuses institutions financières du pays, plus d’une vingtaine au total, avaient été ainsi touchées par une cyber attaque non revendiquée. Les pirates avaient utilisé le régulateur financier polonais, l’Autorité de Contrôle Financier Polonaise (KNF), pour répandre le malware. Du code JavaScript malveillant avait été injecté dans des fichiers des serveurs internes de la KNF.  L’exécution de celui-ci conduisait le navigateur des visiteurs du site à télécharger un fichier externe, qui à son tour, téléchargeait le malware depuis un serveur externe et procédait à son installation.

Le code malveillant avait été injecté dans le fichier suivant :

Louise blog 1

Et ressemblait à ceci :

Louise blog 2

Un porte-parole de la KNF avait confirmé la compromission des serveurs par des “pirates d’un autre pays”. Le réseau de serveurs de la KNF avait été fermé pour éviter que le virus ne se répande.
Cette attaque, qui avait apparemment eu lieu 3 mois auparavant, avait permis aux pirates de dérober un volume important d’informations chiffrées, que les banques victimes de l’attaque n’avaient pas été en mesure d’identifier. L’argent ne semblait donc pas avoir été la cible des pirates.

Une entreprise dirigée contre le secteur bancaire mondial?

Le 12 février, des chercheurs de BAE Systems ont publié un article détaillant la similarité entre le malware visant les banques polonaises, et celui utilisé lors d’attaques ayant eu lieu en octobre dernier dans d’autres pays.

 

Le logiciel malveillant, ainsi que la méthode et les outils utilisés, mènent les chercheurs à attribuer ces différentes actions au même groupe de pirates. Celles-ci ont comme point commun d’être des attaques par point d’eau (watering-hole attack) : les attaquants compromettent les sites d’intérêts de leurs cibles finales pour être sûrs de les atteindre. Les pirates ont donc ciblé certains sites, y ont injecté du code redirigeant les visiteurs vers un kit d’exploit. Ce kit contenait des exploits pour des vulnérabilités connues de Silverlight et Flash Player. Les exploits n’étaient activés que pour les visiteurs ayant des adresses IP spécifiques.

Des chercheurs de Symantec ont repérés que ces adresses IP appartenaient à 104 organisations différentes, situés dans 31 pays. En grande majorité, les organisations en question étaient des banques, accompagnés de quelques entreprises de télécommunication. Cette liste d’IP contient ainsi l’adresse de 19 organisations polonaises, 15 des Etats-Unis, 9 mexicaines, 7 du Royaume-Uni, et 6 chiliennes.

Ainsi, si le code malveillant visant les banques polonaises a été injecté dans le site web de la KNF, les chercheurs de BAE Systems ont découvert un code similaire renvoyant au kit d’exploits sur le site de la Commission Nationale des Banques et du Commerce du Mexique, l’équivalent mexicain de la KNF. Le même code a aussi été trouvé dans le site de la Banque de la République Orientale d’Uruguay.

Le groupe Lazarus, suspect n°1 de cette attaque

Le logiciel installé par le kit d’exploit a pour but la collecte d’information. Le code de ce logiciel contient des similitudes avec celui d’un malware utilisé par le groupe Lazarus. Selon Symantec, le groupe de pirates Lazarus est actif depuis 2009 et s’est principalement concentré sur les Etats-Unis et la Corée du Sud. Ce groupe est aussi suspecté d’être impliqué dans le vol de 80 million de dollars à la banque Centrale du Bangladesh l’année dernière.

Les chercheurs de BAE Systems rappellent que les preuves disponibles ne permettent pas de lier avec certitude Lazarus et les attaques récemment menées sur le secteur bancaire. Cependant, ils soulignent que la similarité entre les techniques et les malwares utilisés dans les deux cas, ainsi que le choix de cibles (autorités bancaires et banques publiques), sont autant d’indices désignant ces pirates, déjà coupables d’attaques d’importances envers le secteur bancaire. De quoi redouter une opération de plus grande envergure, dans laquelle seraient utilisées les données déjà dérobées.

Suggestions