Le spectre de Sony Pictures plane sur les attaques Swift
L’enquête menée par des experts sur les attaques contre Swift a trouvé des similitudes avec une autre attaque, celle de Sony Pictures.
Un goût de déjà-vu. L’attaque menée contre Swift, la plateforme d’échanges bancaires internationaux, ne serait pas complètement inconnue des experts en sécurité. La firme anglaise BAE Systems a découvert des similitudes entre une attaque contre une banque commerciale du Vietnam et celle perpétrée contre Sony Pictures en 2014.
Rappelons que BAE Systems a été le premier à tirer la sonnette d’alarme concernant la vulnérabilité dans Swift et le détournement de 81 millions de dollars d’une banque au Bangladesh. Ce détournement résulte d’un malware ciblant un logiciel client de Swift appelé Access Alliance. Cette souche infectieuse, dénommée evtdiag.exe, peut ainsi effacer des enregistrements de transferts sortants, intercepter des messages entrants confirmant les ordres passés par les hackers ou encore manipuler des soldes sur des enregistrements afin de couvrir la fraude.
Un malware effaceur de traces
Deux chercheurs, Sergei Shevchenko et Adrian Nish ont trouvé des liens avec les malwares utilisés à la fois dans les opérations menées contre les banques asiatiques et celles qui ont permis le vol de données chez Sony Pictures. Dans un malware, ils ont découvert des correspondances comme les noms des exécutables malveillants, la structure interne du code, et en particulier un bloc distinctif de code utilisé pour effacer en toute sécurité des fichiers et dissimuler les preuves d’une attaque. Ce dernier point a intrigué les enquêteurs, au point de regarder dans la base de données pour voir si le fichier msouct.exe avait déjà été utilisé.
Bingo, il se trouve que le fichier d’effacement/nettoyage a été compilé le 24 octobre 2014 et un utilisateur l’a uploadé le 4 mars 2016. Dans leur investigation, les chercheurs ont découvert que l’exécutable scanné le système pour savoir si des copies du malware étaient déjà en place. S’il ne détecte a rien, il créé alors un fichier log en utilisant une clé, « y@s!11yid60u7f!07ou74n001 ». Or cette clé a également servi dans une attaque découverte en 2015 par PwC et qui ciblait Windows SMB (partage de répertoires et d’imprimantes). De même, elle est très similaire à une alerte du CERT US de 2014 à propos d’un malware qui a servi pour attaquer « une grande entreprise dans le domaine du divertissement ». Sans donner le nom exact, on peut raisonnablement penser qu’il s’agit de Sony Pictures.
Un faisceau de présomptions
Autre point commun, le script élaboré dans msoutc.exe pour qu’il s’efface est quasi identique à celui rapporté par Novetta dans son analyse de l’Operation Blockbuster relative à l’attaque contre Sony. Dans cette étude, la société mettait en cause un groupe de cybercriminels connu sous le nom Lazarus.
Mis bout à bout, il s’agit d’un faisceau de présomptions pour que le même groupe, ou un copycat soit à l’origine des offensives menées contre la plateforme Swift et le vol de données de Sony Pictures. A l’époque, les américains avaient (trop ?) rapidement accusé la Corée du Nord d’être à l’origine de ce vol de données. Après, il reste les questions de motivations : détournement d’argent (dans le cas du Bangladesh les pirates se sont trompés et n’ont finalement volé que 81 millions de dollars) ? déstabilisation des échanges bancaires internationaux ? Il est encore difficile de trouver un fil conducteur sur les motivations, mais sur le plan technique nul doute que l’enquête avance.
A lire aussi :
Cybersécurité : un malware menace les échanges bancaires via Swift
Piratage de Swift : la faute à une mise à jour mal maîtrisée ?
