Les connexions du malware laissent penser que des pirates nord-coréens sont très probablement à l’origine des récentes attaques lancées contre plusieurs banques asiatiques, notamment le vol de 81 millions de dollars à la banque centrale du Bangladesh survenu au début de l’année. Les chercheurs en sécurité de Symantec ont également la preuve que les malwares utilisés dans la cyber attaque contre la banque du Bangladesh sont identiques à ceux qui ont ciblé une banque philippine dont le nom n’a pas été divulgué. Ce même malware est également impliqué dans la tentative de vol de 1 million de dollars à la banque vietnamienne Tien Phong Bank.
Symantec a confirmé les conclusions des chercheurs de BAE Systems faisant état de similitudes de code entre le malware utilisé pour détourner les transferts SWIFT de la banque du Bangladesh et le programme malveillant utilisé dans les attaques contre Sony Pictures Entertainment en décembre 2014. À l’époque, l’administration américaine avait accusé la Corée du Nord d’être à l’origine de l'attaque. L'an dernier, le directeur du FBI James Comey avait répété qu’il « croyait fortement » à cette possibilité malgré les dénégations du gouvernement nord-coréen et le scepticisme de certains chercheurs en sécurité.
Un groupe de hackers nord-coréen derrière ces attaques
Le groupe de hacker derrière l'attaque de Sony, actif depuis au moins 2009 et connu dans l'industrie de la sécurité informatique sous le nom de Lazarus, a essentiellement pris pour cible des entreprises américaines et sud-coréennes. L'un des programmes malveillants de la boîte à outils du groupe est appelé Backdoor.Contopee. « Symantec a identifié trois morceaux de logiciels malveillants dans des attaques ciblées contre des institutions financières et bancaires en Asie du Sud-Est : Backdoor.Fimlis, Backdoor.Fimlis.B et Backdoor.Contopee », ont déclaré les chercheurs de Symantec dans un blog.
Les programmes Backdoor ouvrent un accès non autorisé à un ordinateur, mais leur présence ne permet pas nécessairement d’identifier l'objectif final des agresseurs. Cependant, les motivations de ces attaques ciblées sont devenues plus évidentes quand les chercheurs ont trouvé un bout code similaire dans le Trojan.Banswift utilisé dans l'attaque contre la banque du Bangladesh pour détourner les transactions SWIFT, et dans des versions antérieures du Backdoor.Contopee.
Une douzaine d'attaques contre des banques asiatiques
Le bout de code commun à Trojan.Banswift et Backdoor.Contopee sert à contrôler l’effacement les fichiers. Il utilise une routine unique qui n’a pas été mise en évidence dans d’autres malwares. Backdoor.Contopee a été utilisé par le groupe Lazarus dans des attaques ciblées contre les banques de la région. Ces similitudes incitent les chercheurs de Symantec à croire que ce même groupe est à l’origine du Trojan.Banswift. « La découverte de nouvelles attaques fournit une preuve supplémentaire que le groupe impliqué mène une vaste campagne contre les objectifs financiers de la région », affirment les chercheurs de Symantec. L'annonce vient après la publication d’un rapport de Bloomberg selon lequel une douzaine de banques d'Asie du Sud-Est ont fait appel à l’entreprise de sécurité FireEye pour enquêter sur des failles de sécurité potentielles et des irrégularités SWIFT sur leurs réseaux.
Commentaire