Discussion :

[Olivier Famien]

Selon BAE Systems, les pirates des réseaux bancaires polonais ont commenté leur code en utilisant le russe
afin de faire diversion sur leur origine

Vers la fin du mois de janvier, une banque polonaise a remarqué la présence d’un comportement suspect sur son réseau. Après avoir analysé ses indicateurs de détection de malware, elle a découvert qu’un logiciel malveillant avait franchi ses mécanismes de sécurité pour se retrouver sur son réseau. La banque ayant fait cette découverte a partagé les informations relatives au malware avec les autres banques polonaises. Après avoir également examiné leurs réseaux, au moins 20 banques ont confirmé avoir été également infectées par le même malware.

Selon les résultats des premières investigations, le malware aurait accédé aux réseaux des banques en exploitant une faille présente sur le serveur web du site www.knf.gov.pl appartenant à l’organe de réglementation du secteur financier polonais chargé d’assurer la sécurité dans le secteur bancaire. Un des fichiers locaux JavaScript aurait été modifié par les pirates, ce qui leur aurait permis de charger un fichier JavaScript externe qui en fin de compte aurait exécuté des charges utiles malveillantes.

Une fois les charges utiles téléchargées, le malware est parvenu à se connecter à certains serveurs distants et a pu être utilisé à plusieurs fins comme la reconnaissance du réseau des banques ou encore la récupération de données. Même si pour l’heure on ne se sait pas si des pertes financières sont enregistrées, ce qui est au moins certain, c’est que les pirates sont parvenus à prendre le contrôle des serveurs clés de l’infrastructure des banques et ont effectué des transferts de gros volumes de données chiffrées. Pour parvenir à leurs fins, les pirates ont doté leur malware de plusieurs fonctionnalités, dont des méthodes d’obfuscation et de chiffrement, une implémentation de plusieurs niveaux, un outil d’accès à distance et des mécanismes le rendant indétectable par les solutions d’antivirus actuelles.

Après avoir pratiqué de l’ingénierie inverse et passé plusieurs semaines à examiner les fichiers utilisés pour mener les attaques contre les banques polonaises, les chercheurs en sécurité de BAE Systems ont pu progresser dans leurs recherches. En effet, de prime abord, ceux-ci notent que plusieurs parties du code ont été écrites en russe. En jetant un coup d’œil plus approfondi sur ces descriptions faites en russe, plusieurs éléments intrigants apparaissent. L’on note « l’utilisation de nombreux mots russes qui ont été traduits incorrectement », expliquent les experts. Et dans certains cas, ajoutent ces derniers, « les traductions inexactes ont transformé le sens des mots entièrement ». Pour étayer ses dires, l’entreprise explique plusieurs mots utilisés comme « poluchit », « pereslat », « derzhat », « vykhodit » ou encore « ustanavlivat » sont mal orthographiés avec un signe qui manque à la fin du mot ou ont une erreur au niveau du temps du verbe. Pour BAE Sytems, l’usage du russe est en fait un leurre pour cacher l’origine du pays du malware.

L’entreprise de sécurité ne s’est donc pas laissé convaincre par cette approche et a poussé ses investigations encore plus loin en comparant le code et les méthodes utilisées avec les malwares aux informations déjà détenues. À la lumière des éléments dont dispose BAE Systems, il ne fait l’ombre d’aucun doute, pour l’entreprise, que les attaques contre les institutions financières polonaises ont été menées par le groupe de pirates baptisé Lazarus. Par exemple, des parties du shellcode du malware qui chargent les API ressemblent intimement à d’autres outils déjà reconnus comme appartenant à Lazarus. De même, la composition du nom du fichier .chm utilisé pour injecter du code malveillant dans le processus du système renvoie à la même méthode utilisée par le module du kit d’outils Lazarus pour construire les noms des fichiers .chm ou .hlp.

Nous soulignons que le groupe Lazarus est en activité depuis au moins 2009 et serait lié au vol de 81 millions de dollars dans les comptes de la banque centrale du Bangladesh, ainsi qu’au piratage de Sony dont les bouts de code du malware utilisé révèlent une similitude avec des malwares déjà imputés à ce groupe.

Source : BadCyber, BAE Systems

Et vous ?

Pensez-vous que l’auteur de ce malware soit le groupe Lazarus ?

Voir aussi

Une erreur de frappe dans une instruction de virement bancaire a permis de démasquer des pirates qui ont volé plus de 80 millions de dollars
SWIFT : les attaquants du réseau bancaire seraient-ils les mêmes que ceux de Sony Pictures ? Les malwares utilisés sont similaires selon Symantec

La Rubrique sécurité, Forum sécurité, Cours et tutoriels sécurtité, FAQ Sécurtié

[Ryu2000]

J'aime bien ce passage, c'est un peu ironique quelque part :

le malware aurait accédé aux réseaux des banques en exploitant une faille présente sur le serveur web du site www.knf.gov.pl appartenant à l’organe de réglementation du secteur financier polonais chargé d’assurer la sécurité dans le secteur bancaire.

Pensez-vous que l’auteur de ce malware soit le groupe Lazarus ?

En tout cas il s'agit d'un groupe qui utilise leur méthode apparemment.

[poma88]

Je les admire ces mecs/femmes !

[GordonFreeman]

Un des fichiers locaux JavaScript aurait été modifié par les pirates, ce qui leur aurait permis de charger un fichier JavaScript externe qui en fin de compte aurait exécuté des charges utiles malveillantes.

Je serais curieux de savoir ce qui est sous-entendus dans la phrase :

aurait exécuté des charges utiles malveillantes

Javascript est censé s'exécuter dans un sandbox empêchant des comportement malicieux tels l'accès au filesystem etc...

Ça serait intéressant d'en savoir plus!