FR
FR EN DE
Accueil | Une cyberattaque majeure vise le secteur bancaire polonais

Une cyberattaque majeure vise le secteur bancaire polonais

Orlaith Traynor

3 min lire - 23 février 2017
Major Cyber Attack Targets the Polish Banking Industry

Le 3 février 2017, le site d'information polonais Zaufana Trzecia Strona a rapporté que le secteur bancaire polonais avait été touché par ce qui est considéré comme son incident de sécurité le plus grave à ce jour : une cyberattaque contre 20 institutions bancaires du pays, qui a entraîné la perte de grandes quantités de données.

Une attaque visant les institutions financières polonaises

La cyberattaque non revendiquée a visé plus de 20 institutions financières polonaises. Les pirates semblent avoir utilisé le site web de l'autorité polonaise de surveillance financière (KNF) pour diffuser des logiciels malveillants. Un code JavaScript malveillant a été inséré dans les fichiers internes du serveur, amenant les navigateurs des visiteurs à télécharger un fichier externe. À son tour, ce fichier a téléchargé le logiciel malveillant à partir d'un serveur externe et l'a installé. Le code malveillant a été inséré dans le fichier suivant : Louise blog 1 Il se présentait comme suit : Louise blog 2 Un porte-parole de la KNF a confirmé que ses serveurs avaient été compromis par des "pirates informatiques d'un autre pays". Le réseau de serveurs de l'autorité a été fermé pour empêcher la propagation du virus. Cette attaque, qui a apparemment eu lieu trois mois plus tôt et qui n'a pas été détectée par la banques concernéesLes pirates ont ainsi pu dérober de grandes quantités de données cryptées. Les pirates ne semblent pas avoir été motivés par l'argent.

Implications pour le secteur bancaire mondial

Le 12 février, des chercheurs de BAE Systems a publié un article soulignant les similitudes entre les logiciels malveillants ciblant les banques polonaises et les logiciels malveillants utilisés dans des attaques contre d'autres pays en octobre dernier. Après avoir analysé les logiciels malveillants, les méthodes et les outils utilisés, les chercheurs ont conclu que le même groupe était probablement à l'origine des deux séries d'attaques. Les deux attaques de points d'eauLes pirates ciblent les victimes en compromettant les sites web qu'elles visitent régulièrement. Les pirates se sont concentrés sur des sites web spécifiques, en insérant un code qui redirigeait les visiteurs vers un kit d'exploitation. Ce kit contenait des exploits pour les vulnérabilités connues de Silverlight et de Flash Player. Les exploits n'étaient activés que pour les visiteurs ayant des adresses IP spécifiques. Chercheurs chez Symantec a déterminé que ces adresses IP appartenaient à 104 organisations différentes dans 31 pays. Il s'agissait pour la plupart de banques, mais aussi d'entreprises de télécommunications et d'Internet. La liste des adresses IP comprenait 19 organisations polonaises, 15 américaines, 9 mexicaines, 7 britanniques et 6 chiliennes. Le code malveillant ciblant les banques polonaises a été trouvé sur le site web de KNF. Des chercheurs de BAE Systems ont trouvé un code similaire renvoyant au kit d'exploitation sur le site de la Comisión Nacional Bancaria y de Valores du Mexique (l'équivalent mexicain de KNF). Le même code a également été trouvé sur le site web du Banco de la República Oriental del Uruguay.

Lazare, le principal suspect

Le logiciel installé par le kit d'exploitation collecte des données. Le code du logiciel est similaire à celui des logiciels malveillants utilisés par le groupe Lazarus. Selon Symantec, le groupe de pirates Lazarus est actif depuis 2009. La plupart de ses attaques ont visé les États-Unis et la Corée du Sud. Le groupe est soupçonné d'être impliqué dans le vol de $80 millions de la banque centrale du Bangladesh l'année dernière. Les chercheurs de BAE Systems ont souligné qu'il n'y avait pas de preuves solides permettant de relier Lazarus à ces récentes attaques contre le système bancaire. Toutefois, la similitude des techniques, des logiciels malveillants et des cibles (autorités bancaires et banques publiques) laisse penser que le groupe est impliqué. Lazarus a déjà mené avec succès des attaques majeures contre le secteur bancaire. Les données dérobées lors de ces incidents pourraient-elles être le signe d'attaques plus sérieuses à venir ? Découvrez comment nous pouvons vous aider dès aujourd'hui. Demandez une démonstration gratuite.