A la Une

Les cyberattaques sur les banques internationales montrent des liens vers les pirates qui ont frappé Sony

Les Hacks a commencé à la fin de l’année dernière, l’installation de code non autorisé sur les sites Web appartenant à des régulateurs financiers

Les chercheurs de Symantec et de BAE Systems disent qu’une partie de l’infrastructure logicielle et Internet dans l’effort global de piratage informatique a également été utilisée dans l’attaque de Sony et, plus récemment, dans d’autres attaques sur des banques en Asie. Photo: david becker / Reuters

Les spécialistes de la cybersécurité ont trouvé des preuves suggérant que les récentes attaques contre des institutions en Pologne faisaient partie d’un effort international de piratage ciblant les institutions financières aux États-Unis, au Mexique et au Royaume-Uni – une attaque qui partage les traits avec l’attaque de 2014 sur Sony Corp.

Les hacks ont commencé à la fin de l’année dernière, l’installation de codes non autorisés sur les sites appartenant à des régulateurs financiers, puis en utilisant ceux destinés à attaquer les ordinateurs appartenant à une liste sélectionnée d’institutions financières mondiales, selon les chercheurs qui ont examiné les attaques chez les fournisseurs de sécurité Symantec Corp. et BAE Systems PLC.

Les chercheurs ne savent pas exactement combien de banques ont été compromises ou si elles ont subi des pertes financières. Mais les chercheurs disent qu’il semble que cela fait partie d’un effort bien organisé et large de piratage qui partage des liens avec d’autres attaques, y compris le dévastateur piratage de 2014 qui a détruit les systèmes et exposés des messages électroniques à Sony Pictures Entertainment. Des responsables américains ont déclaré que la Corée du Nord était responsable de cette attaque. La Corée du Nord a nié, bien qu’elle ait suggéré qu’il soit possible que ses partisans l’ait fait.

Les chercheurs de BAE Systems et de Symantec disent qu’une partie de l’infrastructure logicielle et Internet dans l’effort mondial a également été utilisée dans l’attaque de Sony et, plus récemment, dans d’autres attaques contre des banques en Asie. Selon Kaspersky Lab ZAO, une société russe de cybersécurité, les chercheurs en sécurité ont nommé le groupe lié à la Corée du Nord pouvant être derrière ces attaques « Lazarus ».

Si les récentes attaques sont effectivement effectués par Lazarus, cela suggèrerait que le groupe élargit ses attaques bancaires. Le piratage bancaire du groupe avait auparavant porté sur l’Asie, a déclaré Eric Chien, directeur technique de la division Security Technology and Response de Symantec. « Nous ne les avons jamais vu faire quoi que ce soit, par exemple, aux États-Unis, sans parler de l’Europe », a-t-il déclaré. « Maintenant, nous les voyons ciblant les États-Unis et l’Europe. »

En novembre, le Federal Bureau of Investigation a averti les institutions financières des États-Unis qu’il «surveillait les rapports émergents indiquant qu’il était apparu que les cyber-acteurs malveillants dotés de ressources et organisés avaient l’intention de cibler le secteur financier américain».

Le FBI n’a pas répondu aux demandes de commentaires sur les dernières attaques.

Les attaques ont commencé en octobre en compromettant le site Web de l’Autorité de surveillance financière polonaise, un incident qui a été signalé la semaine dernière par le blog Badcyber.com. Les hackers ont programmé ce site Web pour attaquer les ordinateurs bancaires qui ont visité le site, disent les chercheurs.

Les enquêteurs de sécurité qualifient cette technique de «trou d’eau». Elle permet aux criminels d’utiliser un point d’accès commun pour percer une gamme d’autres organisations. Dans ce cas, en infectant un site Web fréquenté par des employés bancaires, les pirates pourraient espérer diffuser des logiciels malveillants sur les ordinateurs des institutions financières sur leur liste, a déclaré Adrian Nish, responsable de l’équipe Threat Intelligence de BAE Systems.

Un porte-parole de l’Autorité polonaise de supervision financière a confirmé que le régulateur avait «identifié une tentative externe d’interférer dans le système informatique opérationnel», et avait remis la preuve de l’incident à l’application de la loi après la restauration du site Web. L’Agence polonaise de police nationale n’a pas répondu immédiatement à une demande de commentaires vendredi.

Les hackers ont programmé les serveurs Web piratés pour attaquer des ordinateurs seulement s’ils proviennent d’une liste restreinte d’environ 75 institutions – un effort apparent pour garder un profil inférieur et aider à esquiver la détection, disent les chercheurs.

Cette liste comprend 19 institutions financières en Pologne, 15 aux États-Unis, neuf au Mexique et sept au Royaume Uni (U.K.), a déclaré BAE Systems, qui a refusé de nommer les institutions.

Les attaques ont également compromis un site web appartenant à l’autorité de réglementation financière du Mexique, la Commission nationale bancaire et des valeurs mobilières, et une banque publique en Uruguay, a déclaré M. Nish. Une porte-parole de la Commission nationale bancaire et des valeurs mobilières a déclaré qu’elle n’avait vu aucune preuve que ses ordinateurs étaient compromis. « Au cours du week-end dernier, nous avons reçu un avis d’une attaque coordonnée adressée aux institutions bancaires dans le monde entier », a-t-elle dit. « Notre Centre des opérations de sécurité a effectué une inspection approfondie, à partir de laquelle aucun comportement anormal n’a été détecté. » L’enquête de la Commission se poursuit, a-t-elle déclaré.

Les attaques, avec leur utilisation de la technique « trou d’eau », semblent être plus sophistiquées que les attaques antérieures de Lazarus, ont déclaré le Dr Nish et M. Chien. Dans le monde omniprésent de la cybersécurité, le code peut être volé et réutilisé, ce qui pousse l’entreprise à attribuer les attaques à des acteurs spécifiques en prennant du temps et [les conclusions sont] souvent inexactes. Dr. Nish, à BAE, a dit qu’il a une «haute confiance» sur le fait que le groupe impliqué est Lazarus. « Nous connaissons très bien les outils qu’ils utilisent et nous connaissons l’infrastructure qu’ils utilisent et leurs tactiques », a déclaré M. Nish. « Et nous pouvons confirmer avec force que les outils qui ont été trouvés sur les réseaux bancaires et dans ces attaques du site font partie de la trousse d’outils du groupe. »

Chien a déclaré que Symantec n’avait pas encore fait l’analyse nécessaire pour établir définitivement la connexion, Mais que les outils utilisés dans ces dernières attaques sont liés aux outils Lazarus utilisés dans le passé.

Écrivez à Robert McMillan à Robert.Mcmillan@wsj.com

Source : The Wall Street Journal

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :