Bourse : des délits d’initiés via le piratage d’e-mails ?
FireEye a mis au jour un groupe de hackers, Fin4, exploitant un cocktail de techniques très sophistiquées pour dérober de l’information lui permettant d’anticiper des mouvements boursiers.
La société FireEye a mis au jour un réseau de hackers ciblant spécifiquement la correspondance de dirigeants d’entreprise dans l’espoir d’extorquer de l’information relative aux mouvements boursiers. Le spécialiste de la sécurité affirme que cette équipe a mené des attaques contre près de 100 sociétés cotées ou leur conseil. La plupart des cibles appartiennent au secteur de la santé ou de la pharmacie. Pour FireEye, ce choix pourrait être dû aux rapides mouvements boursiers que connaît ce secteur lors de fusions ou de découvertes de nouvelles molécules…
« C’est la première fois que nous voyons un groupe de hackers extorquer systématiquement de l’information qui n’a de valeur pour un criminel que quand elle utilisée sur les marchés financiers », explique Dan McWhorter, un vice-président de FireEye.
Baptisé Fin4 par FireEye, ce groupe de hackers très spécialisés se concentre sur la capture de noms d’utilisateurs et de mots de passe donnant accès à des comptes de messagerie. Le tout sans utiliser de malwares, rendant ainsi la détection de ses activités très difficile. Le groupe Fin4 exploite des techniques de phishing et de solides compétences d’ingénierie sociale pour tromper ses victimes, utilisant notamment des adresses d’expédition déjà compromises.
Documents volés et détournés
Ces e-mails renferment des documents piégés, relatifs par exemple à des échanges sur des opérations de fusion ou aux communications avec la SEC (le gendarme des bourses US) pour éloigner la méfiance des victimes. FireEye explique que Fin4 utilise des macros Visual Basic (VBA) associées à ces documents pour dérober les codes d’accès de ses cibles, via de fausses boîtes de dialogue d’authentification Windows. Raffinement suprême : les documents eux-mêmes sont souvent parfaitement légitimes, et ont été dérobés par Fin4 avant d’être modifiés. Le groupe de pirates emploie également des liens vers de fausses pages de connexion à Outlook Web App. « Cela peut s’avérer utile pour cibler des organisations qui ont désactivé les macros VBA dans Microsoft Office », note FireEye, dans son rapport. Le groupe s’avère également prévoyant : une fois en possession d’un compte mail, il crée des règles dans Outlook effaçant automatiquement les e-mails renfermant des mots comme « hacked », « phish » ou « malware ». Une façon de s’assurer que d’éventuels messages d’avertissement ne parviennent pas à l’utilisateur.
Un autre détail montre le niveau d’organisation de ce groupe : les données dérobées et transmises aux serveurs de commande et de contrôle sont étiquetées avec des informations relatives à la nature de la victime. Exemples : CEO_CFO_COO_CORPDEV, SCIENTISTS_AND_RESEARCH ou <ADVISORY FIRM NAME>.
Selon FireEye, Fin4 est basée aux Etats-Unis ou en Europe de l’Ouest. Le groupe, actif depuis au moins la mi-2013, possède des connaissances approfondies des pratiques de la finance et des industries qu’il cible. Les membres de Fin4 utilisent Tor pour masquer leurs localisations et leurs identités.
A lire aussi :
Phishing : le chiffrement s’invite dans les liens malicieux (avis d’expert)
Divisions RH et comptabilité cibles favorites du phishing en France
