Les attaques de malwares qui ont récemment mis en alerte les banques polonaises faisaient en fait partie d’une campagne plus large ciblant les organisations financières de plus de 30 pays. Les chercheurs en sécurité de Symantec et BAE Systems ont rattaché le malware à des attaques similaires qui ont eu lieu depuis octobre 2016 dans d’autres régions. Il y a également des similarités avec des outils précédemment utilisés par un groupe d’attaquants connus dans l’industrie de la sécurité sous le nom de Lazarus.

Les attaquants ont compromis des sites web qui présentaient un intérêt en fonction de leur cible finale. C’est la technique dite du « point d’eau » (« Watering Hole »). Elle consiste à créer un site compromis et à y attirer les victimes. Le code injecté sur le site redirige les visiteurs vers un kit d’exploit spécifique qui contient des programmes exploitant des failles des logiciels Silverlight et Flash Player. Ces derniers ne s’activent que pour les visiteurs dont les adresses IP répondent à certains critères. « Ces adresses IP appartiennent à 104 organisations différentes situées dans 31 pays », expliquent les chercheurs de Symantec dans un billet posté le 12 février. « La grande majorité sont des banques, auxquelles s’ajoutent quelques acteurs des télécommunications et de l’Internet ».

Dans le cas des établissements bancaires ciblés en Pologne, il est suspecté que le code malveillant ait été hébergé sur le site web de l’autorité de supervision financière polonaise (Polish Financial Supervision Authority), le régulateur gouvernemental du secteur bancaire. Les chercheurs de BAE Systems ont de leur côté trouvé des preuves qu’un code similaire pointant vers le kit d’exploit spécifique se trouvait sur le site web de la banque nationale du Mexique en novembre, celle-ci constituant l’équivalent mexicain de la Polish Financial Supervision Authority. Le même code a également été trouvé sur le site web de Banco de la República Oriental del Uruguay, la plus grande banque d’état d’Amérique du Sud, selon BAE Systems. Dans la liste des adresses IP ciblées se trouvaient celles de 19 organisations se trouvant en Pologne, 15 situés aux Etats-Unis, 9 au Mexique, 7 au Royaume-Uni et 6 au Chili.

La France ne figure pas parmi les pays listés par Symantec dans son billet (ci-dessus).

Un malware dénommé Downloader.Ratankba

Le programme déclenchant les exploits est un malware jusque-là inconnu que Symantec appelle maintenant Downloader.Ratankba. Il télécharge un autre programme malveillant qui peut rassembler des informations sur le système informatique compromis. Le code de ce deuxième outil a des similarités avec le malware utilisé précédemment par le groupe Lazarus. Ce dernier opère depuis 2009. Il s’en est souvent pris à des cibles aux Etats-Unis et en Corée du Sud, rappelle Symantec. Le groupe est également soupçonné d’être impliqué dans le vol de 81 millions de dollars perpétré contre la banque centrale du Bengladesh l’an dernier. Dans cette attaque, un malware avait été utilisé pour manipuler les ordinateurs utilisés par la banque pour envoyer des ordres de virements via le réseau de messagerie interbancaire Swift.

« Les preuves techniques pour relier le groupe Lazarus… à l’activité « du trou d’eau » n’est pas claire », constatent les chercheurs de BAE Systems dans un billet publié ce week-end. Toutefois, ajoutent-ils, le choix de régulateurs bancaires et de banques d’état pourrait être un indice, compte-tenu que leurs précédents braquages ont ciblé des banques centrales, même cela n’a pas vraiment permis d’infiltrer plus largement le secteur bancaire.