De nouvelles attaques contre plusieurs banques, notamment la Banque Centrale du Bangladesh et la banque Tien Phong Bank au Vietnam ont amené le réseau interbancaire SWIFT à prendre de nouvelles mesures de sécurité.
Symantec vient de découvrir il y a quelques jours qu’une nouvelle banque aux Philippines a été touchée par une cyber-attaques, après notamment le vol de 81 M$ à la Banque Centrale du Bangladesh. L’éditeur spécialisé dans la sécurité confirme que le groupe Lazarus est derrière ces attaques, notamment en raison des nouveaux malware identifiés lors de ces attaques. Ce groupe Lazarus est suspecté d’avoir mené les attaques contre Sony Pictures.
Le malware utilisé par le groupe a également été déployé dans des attaques ciblées contre une banque aux Philippines. En plus de cela, certains des outils utilisés similitudes de code avec les logiciels malveillants utilisés dans les attaques historiques liées à un groupe de la menace connue sous le nom de Lazarus. Les attaques remontent aussi loin que Octobre 2015, deux mois avant la découverte de l’attentat manqué au Vietnam, qui a été jusque-là l’incident connu plus tôt.
L’attaque contre la banque centrale du Bangladesh a déclenché une alerte par des paiements via le réseau SWIFT. Il a été constaté que les pirates avaient utilisé des logiciels malveillants pour dissimuler des preuves de transferts frauduleux. SWIFT a publié un autre avertissement indiquant qu’il avait trouvé des preuves de logiciels malveillants utilisé contre une autre banque de la même façon. Tien Phong Banque du Vietnam a déclaré ensuite qu’il a intercepté un transfert frauduleux de plus de 1 1M$ au 4e trimestre de l’année dernière.
Symantec a identifié trois morceaux de logiciels malveillants qui ont été utilisés dans des attaques ciblées limitées contre l’industrie financière en Asie du Sud-Est : Backdoor.Fimlis, Backdoor.Fimlis.B et Backdoor.Contopee.
Backdoor.Contopee a été précédemment utilisé par des attaquants associés à un groupe de menace large connu sous le nom de Lazarus. Lazarus a été liée à une série d’attaques agressives depuis 2009, en grande partie axée sur des cibles aux États-Unis et la Corée du Sud. Le groupe était lié à Backdoor.Destover, un cheval de Troie très destructeur qui a fait l’objet d’un avertissement du FBI après qu’il a été utilisé dans une attaque contre Sony Pictures Entertainment. Le FBI a conclu que le gouvernement nord-coréen était responsable de cette attaque.
SWIFT lance un plan en 5 points
Face à ces nouvelles menaces, le réseau SWIFT a lancé un nouveau programme de sécurité. C’est à l’occasion de la 14e Conférence européenne des services financiers qui s’est tenu la semaine dernière à Bruxelles que Gottfried Leibbrandt (photo ci-contre) a annoncé cinq nouvelles mesures pour renforcer la sécurité du système financier mondial.
– Améliorer le partage d’information entre la communauté financière mondiale information. L’ambition est de faire à l’échelle internationale ce que les banques dans plusieurs pays sont déjà en train de faire au niveau national ;
– Renforcer les exigences de sécurité des logiciels clients afin de mieux protéger l’environnement des établissements financiers ;
– Augmenter les audits de sécurité pour les clients ;
– Favoriser l’utilisation de solutions de contrôle de paiement afin de mieux détecter les comportements suspects ;
– Renforcer les exigences de certification pour les fournisseurs tiers.
Le CEO de SWIFT a rappelé lors de son intervention la gravité de la sécurité avec comme difficulté particulière l’interconnexion entre les systèmes bancaires qui fonctionnent avant tout sur la confiance. La perte de confiance peut être rapide et dommageable et son retour est beaucoup plus long. Il a tenu a rappelé que le réseau SWIFT, ses logiciels et ses services de messagerie n’ont pas été compromis.