Gajus - Fotolia

Qui cherche à s’enrichir avec Swift ?

Les experts de BAE Systems assurent avoir établi des liens entre les attaques de banques visant le système Swift et celle de Sony Pictures. Avec prudence, toutefois. Skyport s’interroge de son côté sur les conseils de sécurité prodigués aux organismes utilisateurs.

La banque commerciale visée à son tour par une tentative d’utilisation frauduleuse de ses systèmes connectés au réseau Swift, comme l’indiquait la semaine dernière l’organisme, n’est autre que la banque Tien Phong au Vietnam, explique aujourd’hui Reuters. Mais, surtout, les experts de BAE Systems indiquent avoir identifié un logiciel malveillant impliqué dans les attaques, aux caractéristiques bien spécifiques.

Dans un billet de blog, ils expliquent ainsi que, dans chacun des cas connus, les attaques « utilisent une fonction exclusive d’effacement de fichiers. Son implémentation est tellement spécifique qu’elle a attiré un peu plus notre attention, et que nous avons commencé à chercher d’autres instances de code ayant utilisé la même fonction ».

Jusqu’à tomber sur une découverte de taille : « ce logiciel malveillant présente les mêmes caractéristiques uniques […] que d’autres éléments d’une trousse à outils plus vaste décrite dans l’alerte TA14-353A du Cert-US ». Celle qui se penche sur les composants logiciels impliqués dans l’attaque de Sony Pictures Entertainment comme ont pu le révéler les participants à l’opération Blockbuster. Et l’on parle là de Destover, un ver qui se réplique en utilisant le protocole SMB utilisé pour le partage de fichiers sous Windows.

Pour BAE Systems, « les ressemblances entre ces échantillons » tendent à établir des liens entre les pirates impliqués dans cette opération passée et celle qui vise aujourd’hui des banques. Prudents, les experts reconnaissent toutefois qu’il « est possible que cette fonction d’effacement de fichier spécifique existe comme code partagé, distribué entre de multiples codeurs qui cherchent à atteindre les mêmes résultats ». Mais ce code « n’est pas publiquement disponible ni présent dans d’autres logiciels », assurent les experts « après recherche sur des dizaines de millions de fichiers ».

En parallèle, Skyport Systems, l’un des finalistes de l’Innovation Sandbox de l’édition 2016 de RSA Conference, s’est penché sur les recommandations de sécurité de l’organisme Swift. Ajoutant ses propres conseils, il se montre très critique, estimant que le « document constitue une approche assez complète de la sécurisation de Swift contre le type d’attaques qui prévalaient il y a dix ans ». Autrement dit, il mériterait un sérieux rafraichissement. 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close