La firme de sécurité Symantec a confirmé qu’un second groupe de hackers a cherché à dérober des banques en recourant à des messages frauduleux de SWIFT, une approche similaire à celle utilisée par un autre groupe dans l’opération lancée contre la banque centrale du Bangladesh et qui s’est soldée par le vol de 81 millions de dollars.Symantec a dit que le groupe au nom de « Odinaff » a réussi à infecter entre dix et vingt organisations avec un malware qui peut être exploité pour cacher des requêtes de transferts frauduleux qui passent par le réseau interbancaire. Il faut savoir que le réseau SWIFT est un réseau interbancaire qui offre une palette de services extrêmement diversifiés : transferts de compte à compte, opérations sur devises ou sur titres, recouvrements, etc.
Les pirates ont réussi maintes fois à contourner les mesures de sécurité locales de plusieurs organisations afin d’entrer dans le système SWIFT, le but étant de générer des mandats bancaires et transférer des millions de dollars à des comptes frauduleux. « Depuis janvier, des campagnes discrètes impliquant un malware au nom de Trojan.Odinaff ont ciblé des institutions financières mondiales », a indiqué Symantec dans un billet de blog.
Les attaques semblent privilégier le secteur bancaire, boursier et le système de paie. Les firmes fournissant des services d’assistance ont été affectées également. Symantec a indiqué que la plupart de ces attaques ont ciblé les États-Unis, Hong Kong, l’Australie, le Royaume-Uni et l’Ukraine.
Des experts de sécurité prétendent que le groupe Lazarus qui a été responsable du vol du Bangladesh serait à l’origine de ces attaques, néanmoins Symantec estime que c’est bien un autre groupe cybercriminel appelé Carbanak qui est à blâmer cette fois. Symantec a réussi à trouver des similitudes dans les méthodes employées notamment une forte ressemblance entre ce malware et le programme malicieux utilisé par Carbanak dans le passé. « Cette nouvelle vague d’attaques a également exploité une infrastructure qui a été utilisée auparavant dans des campagnes de Carbanak. Cela inclut des adresses IP repérées auparavant et liées à des attaques du groupe. »
Les hackers ont eu recours à des documents de Microsoft Word et des archives RAR afin de cibler leurs victimes. Ces fichiers malicieux auraient été distribués par email (hameçonnage) dans le but de les installer sur les ordinateurs des victimes.
Symantec a donné des détails sur le cout des cyberattaques mêlant le système SWIFT : « Bien qu’il soit difficile de réaliser ce genre d’attaques, elles seraient fortement lucratives pour les cybercriminels. Les pertes liées aux attaques de Carbanak varient entre des dizaines de millions et des centaines de millions de dollars », a précisé Symantec.
Selon Reuters, une porte-parole de la société SWIFT a dit que l’équipe de l’intelligence de sécurité des clients a notifié l’ensemble des membres à propos des activités du groupe Odinaff au début de l’été dernier. L’alerte a inclus des indications techniques pour aider à contrecarrer des attaques potentielles et une description des méthodes et habitudes du groupe cybercriminel.
Source : Reuters - Symantec
Et vous ?
Qu'en pensez-vous ? 
Envoyé par Coriolan
