Où l’on reparle de Lazarus.
Pointé du doigt dans l’affaire Sony Pictures*, le groupe de cybercriminels est également soupçonné d’être à l’origine d’une attaque contre la Banque centrale du Bangladesh avec, à la clé, un butin de 81 millions de dollars vraisemblablement dérobé par l’intermédiaire d’un compte hébergé à la Réserve fédérale de New York.
Il ne s’agirait pas là de son seul assaut dans l’univers de la finance. Outre les multiples offensives plus ou moins directes qu’on lui prête contre le réseau Swift, une campagne ciblée menée ces derniers mois dans une trentaine de pays semble lui être attribuable.
L’entreprise polonaise Nierbezpiecznik, qui fournit du conseil et des services en sécurité informatique, s’est penchée sur cette opération qui a impliqué le détournement de sites Internet, dont celui de la Komisja Nadzoeu Finansowego (KNF).
L’organe régulateur des marchés financiers en Pologne aurait été victime d’une intrusion dans un serveur d’application JBoss. Un exploit basé sur les plugins Flash et Silverlight a pu être mis en place sur des zones particulières du site qu’étaient susceptibles de consulter des cibles d’intérêt identifiées par des adresses IP.
Si l’une de ces cibles d’intérêt – au nombre de 25 – visitait une page infectée, elle pouvait « attraper » un cheval de Troie qui, une fois installé, téléchargeait d’autres logiciels malveillants.
L’intrusion remonterait à octobre 2016, mais elle n’a été dévoilée qu’il y a une dizaine de jours, la KNF ne l’ayant officiellement pas repérée jusque-là. Ironie du sort, le régulateur a été pris par une faille qu’il a justement imposé aux institutions financières de combler.
Symantec, qui a baptisé le malware Ratankba, perçoit, après analyse du code, des ressemblances avec des outils associés à Lazarus. Notamment la localisation du serveur de commande et de contrôle (C&C) à l’adresse eye[-]watch[.]in (dont nous mettons deux éléments entre crochets pour des questions de sécurité).
On relativisera en soulignant que dans l’univers du cybercrime, la réutilisation de souches malveillantes est un principe répandu.
On relèvera toutefois les quelque 150 IP visées dans le cadre de cette opération (13 aux États-Unis, 9 au Mexique, 5 au Brésil comme au Chili, etc.). Elles sont rattachées à une centaine d’organisations ; essentiellement des banques, mais aussi des groupes Internet et des opérateurs télécoms.
Les motivations des pirates n’étaient apparemment pas tant de voler de l’argent, mais de récupérer des données telles que les historiques de crédits et ainsi usurper – ou monter de toutes pièces – des profils financiers.
* Des ressemblances avaient déjà été détectées entre les outils exploités lors du hack de Sony et ceux utilisés en 2012-2013 contre des institutions bancaires en Corée du Sud.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…