Pour gérer vos consentements :

Le spectre de Sony Pictures plane sur les attaques Swift

Un goût de déjà-vu. L’attaque menée contre Swift, la plateforme d’échanges bancaires internationaux, ne serait pas complètement inconnue des experts en sécurité. La firme anglaise BAE Systems a découvert des similitudes entre une attaque contre une banque commerciale du Vietnam et celle perpétrée contre Sony Pictures en 2014.

Rappelons que BAE Systems a été le premier à tirer la sonnette d’alarme concernant la vulnérabilité dans Swift et le détournement de 81 millions de dollars d’une banque au Bangladesh. Ce détournement résulte d’un malware ciblant un logiciel client de Swift appelé Access Alliance. Cette souche infectieuse, dénommée evtdiag.exe, peut ainsi effacer des enregistrements de transferts sortants, intercepter des messages entrants confirmant les ordres passés par les hackers ou encore manipuler des soldes sur des enregistrements afin de couvrir la fraude.

Un malware effaceur de traces

Deux chercheurs, Sergei Shevchenko et Adrian Nish ont trouvé des liens avec les malwares utilisés à la fois dans les opérations menées contre les banques asiatiques et celles qui ont permis le vol de données chez Sony Pictures. Dans un malware, ils ont découvert des correspondances comme les noms des exécutables malveillants, la structure interne du code, et en particulier un bloc distinctif de code utilisé pour effacer en toute sécurité des fichiers et dissimuler les preuves d’une attaque. Ce dernier point a intrigué les enquêteurs, au point de regarder dans la base de données pour voir si le fichier msouct.exe avait déjà été utilisé.

Bingo, il se trouve que le fichier d’effacement/nettoyage a été compilé le 24 octobre 2014 et un utilisateur l’a uploadé le 4 mars 2016. Dans leur investigation, les chercheurs ont découvert que l’exécutable scanné le système pour savoir si des copies du malware étaient déjà en place. S’il ne détecte a rien, il créé alors un fichier log en utilisant une clé, « y@s!11yid60u7f!07ou74n001 ». Or cette clé a également servi dans une attaque découverte en 2015 par PwC et qui ciblait Windows SMB (partage de répertoires et d’imprimantes). De même, elle est très similaire à une alerte du CERT US de 2014 à propos d’un malware qui a servi pour attaquer « une grande entreprise dans le domaine du divertissement ». Sans donner le nom exact, on peut raisonnablement penser qu’il s’agit de Sony Pictures.

Un faisceau de présomptions

Autre point commun, le script élaboré dans msoutc.exe pour qu’il s’efface est quasi identique à celui rapporté par Novetta dans son analyse de l’Operation Blockbuster relative à l’attaque contre Sony. Dans cette étude, la société mettait en cause un groupe de cybercriminels connu sous le nom Lazarus.

Mis bout à bout, il s’agit d’un faisceau de présomptions pour que le même groupe, ou un copycat soit à l’origine des offensives menées contre la plateforme Swift et le vol de données de Sony Pictures. A l’époque, les américains avaient (trop ?) rapidement accusé la Corée du Nord d’être à l’origine de ce vol de données. Après, il reste les questions de motivations : détournement d’argent (dans le cas du Bangladesh les pirates se sont trompés et n’ont finalement volé que 81 millions de dollars) ? déstabilisation des échanges bancaires internationaux ? Il est encore difficile de trouver un fil conducteur sur les motivations, mais sur le plan technique nul doute que l’enquête avance.

A lire aussi :

Cybersécurité : un malware menace les échanges bancaires via Swift

Piratage de Swift : la faute à une mise à jour mal maîtrisée ?

igor.stevanovic / shutterstock

Recent Posts

Arm-NVIDIA : de la Chine aux USA, les barrières se dressent

Aux États-Unis, un nouvel obstacle se dresse face au projet de fusion Arm-NVIDIA. Quelles autres…

2 jours ago

Géolocalisation en entreprise : un suivi proportionné ?

Utilisés dans le cadre professionnel, smartphones et véhicules peuvent être géolocalisés par l'employeur. Qu'en pensent…

2 jours ago

Salesforce : avec Bret Taylor, Marc Benioff prépare sa succession

Promu co-CEO, Bret Taylor pilote avec Marc Benioff le prochain chapitre de Salesforce. Leurs mots…

2 jours ago

Data et cybersécurité : les métiers les plus mouvants du SI ?

Les métiers de la data et de la cybersécurité concentrent une part importante des évolutions…

2 jours ago

Teams Essentials : une réponse à la Commission européenne ?

Microsoft dégaine une offre qui permet d'accéder à Teams indépendamment de sa suite bureautique cloud.…

2 jours ago

« Convergences numériques 2022 » : le Cigref, Numeum et d’autres interpellent les présidentiables

Cigref, Numeum, Cinov, Afnum... L'industrie numérique française sert les rangs pour peser sur les programmes…

3 jours ago