Swift : bien au-delà de trois banques

Rien moins que douze banques pourraient avoir été victimes de ces cybercriminels qui s’attaquent aux systèmes connectés au réseau Swift. Selon Bloomberg, FireEye, chargé de l’enquête auprès de la banque centrale du Bangladesh, aurait également été sollicité par une dizaine d’autres institutions, pour la plupart en Asie du Sud Est. Selon Reuters, une banque aux Philippines aurait également été visée, mais sans succès identifié à ce jour, selon la banque centrale du pays.

BAE Systems avait précédemment indiqué avoir identifié un logiciel malveillant impliqué dans les attaques, aux caractéristiques bien spécifiques : celles d’une trousse à outils utilisée notamment dans l’attaque de Sony Pictures Entertainment, comme l’ont récemment révélé les participants à l’opération Blockbuster. Il s’agit de Destover, un ver qui se réplique en utilisant le protocole SMB utilisé pour le partage de fichiers sous Windows.  

Dans un billet de blog, Symantec assure à son tour avoir trouvé « des preuves » d’une attaque contre une banque aux Philippines. L’éditeur explique que le logiciel malveillant « utilisé par le groupe a également été déployé dans le cadre d’attaques ciblées contre [celle-ci]. En outre, certains outils utilisés partagent des similarités de code avec les logiciels malveillants utilisés dans des attaques historiques en lien avec un groupe connu comme Lazarus ». La chronologie de l’opération permettrait de remonter jusqu’à octobre 2015, « deux mois avant la découverte de l’attaque échouée au Vietnam ».