+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    683
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 683
    Points : 15 063
    Points
    15 063

    Par défaut Selon BAE Systems, les pirates des réseaux bancaires polonais ont commenté leur code en utilisant le russe

    Selon BAE Systems, les pirates des réseaux bancaires polonais ont commenté leur code en utilisant le russe
    afin de faire diversion sur leur origine

    Vers la fin du mois de janvier, une banque polonaise a remarqué la présence d’un comportement suspect sur son réseau. Après avoir analysé ses indicateurs de détection de malware, elle a découvert qu’un logiciel malveillant avait franchi ses mécanismes de sécurité pour se retrouver sur son réseau. La banque ayant fait cette découverte a partagé les informations relatives au malware avec les autres banques polonaises. Après avoir également examiné leurs réseaux, au moins 20 banques ont confirmé avoir été également infectées par le même malware.

    Selon les résultats des premières investigations, le malware aurait accédé aux réseaux des banques en exploitant une faille présente sur le serveur web du site www.knf.gov.pl appartenant à l’organe de réglementation du secteur financier polonais chargé d’assurer la sécurité dans le secteur bancaire. Un des fichiers locaux JavaScript aurait été modifié par les pirates, ce qui leur aurait permis de charger un fichier JavaScript externe qui en fin de compte aurait exécuté des charges utiles malveillantes.

    Une fois les charges utiles téléchargées, le malware est parvenu à se connecter à certains serveurs distants et a pu être utilisé à plusieurs fins comme la reconnaissance du réseau des banques ou encore la récupération de données. Même si pour l’heure on ne se sait pas si des pertes financières sont enregistrées, ce qui est au moins certain, c’est que les pirates sont parvenus à prendre le contrôle des serveurs clés de l’infrastructure des banques et ont effectué des transferts de gros volumes de données chiffrées. Pour parvenir à leurs fins, les pirates ont doté leur malware de plusieurs fonctionnalités, dont des méthodes d’obfuscation et de chiffrement, une implémentation de plusieurs niveaux, un outil d’accès à distance et des mécanismes le rendant indétectable par les solutions d’antivirus actuelles.

    Après avoir pratiqué de l’ingénierie inverse et passé plusieurs semaines à examiner les fichiers utilisés pour mener les attaques contre les banques polonaises, les chercheurs en sécurité de BAE Systems ont pu progresser dans leurs recherches. En effet, de prime abord, ceux-ci notent que plusieurs parties du code ont été écrites en russe. En jetant un coup d’œil plus approfondi sur ces descriptions faites en russe, plusieurs éléments intrigants apparaissent. L’on note « l’utilisation de nombreux mots russes qui ont été traduits incorrectement », expliquent les experts. Et dans certains cas, ajoutent ces derniers, « les traductions inexactes ont transformé le sens des mots entièrement ». Pour étayer ses dires, l’entreprise explique plusieurs mots utilisés comme « poluchit », « pereslat », « derzhat », « vykhodit » ou encore « ustanavlivat » sont mal orthographiés avec un signe qui manque à la fin du mot ou ont une erreur au niveau du temps du verbe. Pour BAE Sytems, l’usage du russe est en fait un leurre pour cacher l’origine du pays du malware.

    L’entreprise de sécurité ne s’est donc pas laissé convaincre par cette approche et a poussé ses investigations encore plus loin en comparant le code et les méthodes utilisées avec les malwares aux informations déjà détenues. À la lumière des éléments dont dispose BAE Systems, il ne fait l’ombre d’aucun doute, pour l’entreprise, que les attaques contre les institutions financières polonaises ont été menées par le groupe de pirates baptisé Lazarus. Par exemple, des parties du shellcode du malware qui chargent les API ressemblent intimement à d’autres outils déjà reconnus comme appartenant à Lazarus. De même, la composition du nom du fichier .chm utilisé pour injecter du code malveillant dans le processus du système renvoie à la même méthode utilisée par le module du kit d’outils Lazarus pour construire les noms des fichiers .chm ou .hlp.

    Nous soulignons que le groupe Lazarus est en activité depuis au moins 2009 et serait lié au vol de 81 millions de dollars dans les comptes de la banque centrale du Bangladesh, ainsi qu’au piratage de Sony dont les bouts de code du malware utilisé révèlent une similitude avec des malwares déjà imputés à ce groupe.

    Source : BadCyber, BAE Systems

    Et vous ?

    Pensez-vous que l’auteur de ce malware soit le groupe Lazarus ?

    Voir aussi

    Une erreur de frappe dans une instruction de virement bancaire a permis de démasquer des pirates qui ont volé plus de 80 millions de dollars
    SWIFT : les attaquants du réseau bancaire seraient-ils les mêmes que ceux de Sony Pictures ? Les malwares utilisés sont similaires selon Symantec

    La Rubrique sécurité, Forum sécurité, Cours et tutoriels sécurtité, FAQ Sécurtié
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    2 135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 2 135
    Points : 3 844
    Points
    3 844

    Par défaut

    J'aime bien ce passage, c'est un peu ironique quelque part :
    Citation Envoyé par Olivier Famien Voir le message
    le malware aurait accédé aux réseaux des banques en exploitant une faille présente sur le serveur web du site www.knf.gov.pl appartenant à l’organe de réglementation du secteur financier polonais chargé d’assurer la sécurité dans le secteur bancaire.
    Citation Envoyé par Olivier Famien Voir le message
    Pensez-vous que l’auteur de ce malware soit le groupe Lazarus ?
    En tout cas il s'agit d'un groupe qui utilise leur méthode apparemment.
    "Alors il entrait le type et il disait une baguette pas trop cuite" Émile.
    Aidez la chaîne Nolife, abonnez-vous : http://www.nolife-tv.com/

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    juin 2015
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2015
    Messages : 23
    Points : 30
    Points
    30

    Par défaut

    Je les admire ces mecs/femmes !

  4. #4
    Membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    février 2017
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : février 2017
    Messages : 15
    Points : 68
    Points
    68

    Par défaut Heu ouais mais non ?!

    Un des fichiers locaux JavaScript aurait été modifié par les pirates, ce qui leur aurait permis de charger un fichier JavaScript externe qui en fin de compte aurait exécuté des charges utiles malveillantes.
    Je serais curieux de savoir ce qui est sous-entendus dans la phrase :
    aurait exécuté des charges utiles malveillantes
    Javascript est censé s'exécuter dans un sandbox empêchant des comportement malicieux tels l'accès au filesystem etc...

    Ça serait intéressant d'en savoir plus!

Discussions similaires

  1. Réponses: 3
    Dernier message: 28/05/2012, 11h43
  2. Réponses: 3
    Dernier message: 20/03/2010, 14h04
  3. Réponses: 162
    Dernier message: 25/02/2010, 15h14
  4. Les Pirates des cieux : Présentation
    Par P@ulo dans le forum Les Pirates des Cieux
    Réponses: 0
    Dernier message: 07/06/2008, 14h53
  5. "Les Pirates des cieux" c'est quoi ?
    Par SKone dans le forum Les Pirates des Cieux
    Réponses: 4
    Dernier message: 07/06/2008, 14h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo