Une cyberattaque majeure vise le secteur bancaire polonais

1
133

Le 3 février 2017, le site d’information polonais Zaufana Trzecia Strona a déclaré que le secteur bancaire polonais avait été touché par ce qui est considéré comme son incident de sécurité le plus grave à ce jour : une cyberattaque sur 20 des institutions bancaires du pays, entraînant la perte de grandes quantités de données.

Une attaque visant les institutions financières polonaises

La cyberattaque non revendiquée visait plus de 20 institutions financières polonaises. Les pirates informatiques semblent avoir utilisé le site Web de l’Autorité de surveillance financière polonaise (KNF) pour diffuser des logiciels malveillants. Le code JavaScript malveillant a été inséré dans des fichiers du serveur interne, ce qui a amené les navigateurs des visiteurs à télécharger un fichier externe corrompu. À son tour, ce fichier a téléchargé le malware depuis serveur annexe et l’a installé. Le code malveillant a été inséré dans le fichier suivant :

Il ressemblait à ceci :

Un porte-parole du KNF a confirmé que ses serveurs avaient été compromis par des “cybercriminels d’un autre pays“. Le réseau de serveurs de l’autorité a été arrêté pour empêcher la propagation du malware.

Cette attaque, qui a apparemment eu lieu trois mois plus tôt et n’a pas été détecté par les banques touchées, a permis aux pirates de voler de grandes quantités de données sensibles chiffrées. Les pirates informatiques ne semblent pas avoir été motivés par l’argent.

Implications pour le secteur bancaire mondial

Le 12 février, des chercheurs de BAE Systems ont publié un article décrivant les similitudes entre les logiciels malveillants ciblant les banques polonaises et les logiciels malveillants utilisés dans les attaques contre d’autres pays en octobre dernier.

Après avoir analysé les logiciels malveillants, les méthodes et les outils utilisés, les chercheurs ont conclu que le même groupe de cybercriminels était probablement derrière les cyberattaques. Les deux étaient des attaques de type watering hole, où les attaquants ciblent les victimes en compromettant les sites Web qu’ils visitent régulièrement. Les pirates se sont concentrés sur des sites Web spécifiques, en y insérant discrètement du code malveillant qui a redirigé les visiteurs vers un kit d’exploitation. Ce kit contenait des exploits pour des vulnérabilités connues de Silverlight et Flash Player. Les exploits ne sont activés que pour les visiteurs ayant des adresses IP spécifiques.

Les chercheurs de Symantec ont déterminé que ces adresses IP appartenaient à 104 organisations différentes dans 31 pays. La plupart étaient des banques ou des entreprises de télécommunications et Internet. La liste des adresses IP comprenait 19 organisations en Pologne, 15 aux États-Unis, neuf au Mexique, sept au Royaume-Uni et six au Chili.

Le code malveillant ayant ciblé les banques polonaises a été retrouvé sur le site Web du KNF. Les chercheurs de BAE Systems ont trouvé un code similaire reliant le kit d’exploitation à la Comisión Nacional Bancaria y de Valores (l’équivalent mexicain du KNF). Le même code a également été trouvé sur le site Web de la Banque uruguayenne de la République Oriental de l’Uruguay.

Lazare, le principal suspect

Le logiciel installé par le kit d’exploitation est capable de réaliser une collecte de données. Le code logiciel est similaire à celui des logiciels malveillants utilisés par le groupe Lazarus. Selon Symantec, le groupe de pirates Lazarus est actif depuis 2009. La plupart de ses attaques ont visé les États-Unis et la Corée du Sud et le groupe est soupçonné d’être impliqué dans le vol de 80 millions de dollars de la banque centrale du Bangladesh l’an dernier.

Les chercheurs de BAE Systems ont souligné qu’il n’existait aucune preuve concrète reliant Lazare à ces récentes attaques sur le système bancaire. Cependant, les techniques similaires, les logiciels malveillants et les cibles (autorités bancaires et banques publiques) soulignent l’implication du groupe. Lazarus a déjà mené avec succès d’importantes attaques contre le secteur bancaire. Les données volées lors de ces incidents pourraient-elles être le signe d’attaques plus graves à venir ?

 

Article original par CybelAngel.

Les commentaires sont fermés.