La Bangladesh Bank, une banque commerciale vietnamienne et… Sony Pictures sont les protagonistes improbables d’une cyber-intrigue découverte par Sergei Shevchenko et Adrian Nish, deux chercheurs en sécurité de BAE Systems. Ces derniers ont trouvé plusieurs liens entre les logiciels malveillants impliqués dans le piratage de Sony Pictures en 2014 et les attaques contre ces deux banques, attaques qui se sont traduites par le vol d’identifiants permettant d’usurper le réseau de télétransmission interbancaire SWIFT. À l’époque, le FBI avait imputé l’attaque contre Sony à la Corée du Nord (les experts en sécurité étaient divisés sur le sujet). Aujourd’hui, est-ce à nouveau la Corée du Nord qui cherche cette fois à renforcer ses réserves en devises étrangères ? Ou bien est-ce un autre pays qui agit en abusant de sa « signature » ? Ou tout simplement, est-ce qu’un groupe ou une personne a réutilisé l'ancien code ? Il reste difficile de répondre à ces questions.
Néanmoins, selon les chercheurs, le lien entre deux morceaux de code du malware utilisé dans les attaques contre la Banque du Bangladesh et la banque commerciale vietnamienne avec le piratage de Sony ne fait aucun doute. En les décompilant, Sergei Shevchenko et Adrian Nish ont constaté qu’ils utilisaient la même procédure pour effacer un fichier dans l’ordinateur infecté. Dans un premier temps, la fonction remplit le fichier avec des caractères aléatoires pour s’assurer que rien ne peut être récupéré sur les secteurs du disque où il est inscrit. Ensuite, elle modifie le nom du fichier avec une chaîne aléatoire avant de le supprimer. Intrigués par la minutie avec laquelle le malware exécute sa mission, les deux chercheurs se sont mis en quête d'autres exemples de code d’effacement de fichier dans une base de données de malwares en ligne. Et ils ont trouvé dans la base de données un fichier msoutc.exe, compilé le 24 octobre 2014, transféré aux États-Unis le 4 mars 2016.
Une clé de chiffrement déjà utilisée dans un précédent ver
Pour commencer, l’exécutable essaye de créer un mutex, ou code de blocage, nommé « Global\FwtSqmSession106839323_S-1-5-20 ». Ce nommage permet d’éviter que plusieurs copies du malware soient exécutées sur le même ordinateur. Si le code existe déjà, cela signifie qu’une autre copie du malware est déjà en cours d'exécution. Dans ce cas, la nouvelle copie s’autodétruit en exécutant un script qui efface toutes ses traces du système. Ensuite, le script quitte, mais sans toucher à la première copie. S’il ne trouve pas d’autre copie, le code est exécuté, un fichier log est créé et la clef de cryptage « 11yid60u7fdey@!07ou74n001 » est utilisée. Poursuivant leur exploration, les chercheurs ont découvert que cette clé avait déjà été utilisée dans un ver mis en évidence par PwC en 2015 qui se propage via le protocole SMB utilisé pour le partage des répertoires et des imprimantes sous Windows, même si son mutex est légèrement différent.
Le mutex trouvé par PwC était lui-même identique à celui mentionné dans un rapport du Computeur Emergency Response Team (CERT) américain publié en décembre 2014 sur un malware destructif utilisé pour attaquer « une grande entreprise de divertissement », autrement dit Sony Pictures. Cependant, le ver SMB décrit par le CERT américain utilisait une autre clé de chiffrement (même si elle est assez proche). Enfin, Sergei Shevchenko et Adrian Nish ont constaté que le script d’autodestruction utilisé par msoutc.exe était quasiment identique aux scripts décrits par l’entreprise de cybersécurité Novetta, caractéristiques des logiciels malveillants développés par le Groupe Lazarus, un groupe de pirates basé en Asie, actif depuis 2009. Dans son rapport intitulé « Opération Blockbuster », Novetta avait attribué le piratage de Sony à ce Groupe Lazarus.
Le scenario d'un as de la décompilation pas écarté
Voilà donc deux banques attaquées par des logiciels malveillants contenant une fonction de suppression de fichier identique à celle utilisée dans un morceau de malware appelé msoutc.exe. Et il y a de fortes similitudes entre le script de suppression, les clés de chiffrement, les noms de mutex utilisés par msoutc.exe et ceux utilisés par les logiciels malveillants impliqués dans le piratage de Sony. N’empêche, nul ne peut dire actuellement qui se cache derrière ces attaques : au Bangladesh, les responsables gouvernementaux pointent du doigt les techniciens SWIFT qui ont travaillé sur le réseau de la banque centrale l'année dernière, tandis que le FBI conclut que l'attaque a été menée de l’intérieur, même s‘il continue d’attribuer l’attaque de Sony à la Corée du Nord.
Malgré les liens entre les attaques mis en évidence par Sergei Shevchenko et Adrian Nish, il reste une autre éventualité : qu’une personne aussi habile en décompilation que les chercheurs ait réutilisé le code - et choisi des clés de chiffrement similaires - pour brouiller les pistes. Mais selon les chercheurs du BAE, la probabilité que ce soit le cas est assez maigre : « Les chevauchements entre ces échantillons et les similitudes dans le code portent à croire que les auteurs des attaques récentes contre ces banques et une autre campagne bien connue qui remonte à près d'une décennie sont les mêmes », ont-ils déclaré.