Des cyber-pirates ciblent des informations financières

Cropped Favicon Economi Matin.jpg
Par Joram Borenstein Modifié le 30 décembre 2014 à 12h48

Il y a quelques jours, une entreprise américaine de sécurité informatique, FireEye, a identifié un groupe particulier de cyber-pirates. Ce nouveau genre de pirates, surnommés F4 par FireEye, s'en prennent aux courriels d'entreprises susceptibles de contenir des informations sensibles. Le procédé est assez nouveau, car ils utilisent leurs "compétences" pour tirer profit des informations confidentielles des entreprises sur les marchés financiers.

Cette société a découvert un groupe dont les membres sont très à l'aise en matière de fusions-acquisitions et savent pertinemment comment les marchés maîtrisent les informations qui sont publiques ou pas encore publiques ou ne vont pas tarder à l'être. Ce groupe se concentre sur la manipulation du marché boursier et, vraisemblablement, bénéficie financièrement d'informations provenant d'initiés.

Depuis plus d'un an, F4 a infiltré les courriers électroniques de dirigeants de plus de 100 sociétés cotées. Les pirates semblent avoir visé en particulier les courriels de personnes susceptibles d'être impliquées dans des fusions et acquisitions, ou d'être détentrices d'informations confidentielles. Autrement dit, des membres des équipes dirigeantes, des avocats, des consultants extérieurs ou encore des chercheurs.

F4 emploie une méthode simple mais efficace pour recueillir de l'utilisateur les informations d'identification à travers leurs emails. Ils intègrent un code malveillant dans un document Word ou Excel que le destinataire ouvre via Outlook. Le groupe envoie également des e-mails avec des liens vers de fausses pages de connexion à Outlook Web App pour pouvoir dérober les informations d'identification de l'utilisateur.

Il s'agit d'une opération de type whaling ou spear-fishing très ciblée : nous avons vu (par exemple Aurora) que l'accent avait été mis sur les administrateurs qui possèdent des informations sensibles sur leur entreprise. Les assistants de direction sont eux aussi massivement ciblé : ils ont souvent un accès complet aux calendriers et aux emails des cadres dirigeants occupés et sont habitués à recevoir toutes sortes d'invitations bizarres et vraisemblables, des demandes de réunions, etc., mais le seuil de vigilance est bas quand il s'agit de filtrer les informations de leur boss, ouvrir les pièces jointes (qui pourrait être infectées), etc.

Les tactiques utilisées dans ce type d'attaques continuent à tourner autour de liens infectés qui provoquent l'installation d'un malware (drive-by-download) ou une attaque d'espionnage informatique "water holing", des pièces jointes infectées qui contaminent les systèmes non patchés (par exemple Adobe Acrobat), des individus se faisant passer pour de véritables partenaires / clients pour avoir accès aux données confidentielles.

Ce qui est intéressant à propos de ce groupe, c'est qu'il n'est pas en train d'essayer d'infecter les ordinateurs des gens. Ils essaient simplement d'obtenir les mots de passe des comptes e-mail des personnes pour accéder aux informations confidentielles.

Ce type d'attaques existe depuis des années ; il y a 6 ou 7 ans, on parlait d'attaques "Pump & Dump" présentant des titres comme étant une bonne opportunité d'investissement (pink sheet) pour faire grimper le cours de ces valeurs (pump) avant de les revendre au plus haut (dump). Et depuis 12-18 mois, les attaques se concentrent désormais directement sur les échanges.

En résumé, du point de vue technologique, la méthode du groupe F4 n'est pas très sophistiquée mais leur approche et le processus le sont.

Comme pour la plupart des attaques d'ingénierie sociale, les seuls moyens de défense sont la vigilance et l'éducation. On en revient toujours aux bonnes pratiques qui ont fait leurs preuves et dont les responsables de la sécurité parlent depuis des années : apprendre aux utilisateurs à ne pas systématiquement cliquer sur une pièce attachée envoyées par des personnes que l'on ne connaît et se fier aussi à son instinct.

Cropped Favicon Economi Matin.jpg

Joram Borenstein est  Vice Président du Marketing, Crime financier et gestion de la fraude chez Nice Actimize.

Suivez-nous sur Google News Economie Matin - Soutenez-nous en nous ajoutant à vos favoris Google Actualités.

Aucun commentaire à «Des cyber-pirates ciblent des informations financières»

Laisser un commentaire

* Champs requis