On en sait aujourd'hui plus sur l'origine de l'attaque par malwares qui a ciblé dans le monde - et en particulier en Pologne - plus d'une centaine d'organisations financières ainsi que des établissements bancaires la semaine dernière. Après investigations, les chercheurs en sécurité de BAE Systems ont en effet été en mesure d'identifier que ce sont bien les pirates du groupe Lazarus qui sont derrière cette attaque. Jusqu'à présent, des soupçons avaient été émis mais on a eu confirmation de leur implication.
Le groupe a cependant pris soin de brouiller les pistes. Des mots et des commandes écrits en russe ont en effet été insérés dans le code du malware. Après enquête, les chercheurs de BAE Systems ont trouvé que ces indications ont été en fait traduites avec des outils en ligne, le résultat ne faisant en fait que peu de sens pour les personnes parlant nativement le russe. « Dans certains cas les traductions inappropriées ont transformé la signification entière des mots », ont indiqué les chercheurs de BAE Systems. « Cela indique fortement que les auteurs de cette attaque ne parlent pas russe et ont utilisé des mots russes pour brouiller les pistes. »
Lazarus impliqué dans l'attaque de la banque centrale du Bengladesh
Des preuves techniques ont cependant pu être établies pour lier ces malwares avec une campagne d'attaques menées par le groupe de pirates Lazarus. Ce dernier, actif depuis 2009, a été responsable de nombreuses cyberattaques contre des Etats et des organisations privées en Corée du Sud et aux Etats-Unis. Un groupe également lié à l'attaque de Sony Pictures Entertainement en 2014 ou encore plus récemment à celle ayant visé la banque centrale du Bengladesh. Selon le FBI ainsi que d'autres agences américaines, les membres du groupe Lazarus seraient principalement originaires de Corée du Nord.
Il existe cependant plusieurs gangs russes qui se sont faits comme spécialité de cibler les banques. Ces derniers utilisent des attaques de type spear-phishing pour s'installer dans les réseaux des banques avant d'obtenir des informations pour leur permettre de connaitre les procédures internes des organisations et de commencer à voler de l'argent. Les chercheurs de BAE Systems suggèrent que le groupe Lazarus essaierait d'harmoniser ses pratiques avec celles des cybercriminels russophones.