adimas - Fotolia
Des pirates russes ? Non, ils essaient juste de le faire croire
Les pirates à l’origine de récentes attaques sur plusieurs banques, notamment en Pologne, semblent chercher à brouiller les pistes en utilisant sciemment du russe dans leur code, mais sans être russophones.
Fin janvier, une vingtaine de banques polonaises ont été la cible d’un groupe de cybercriminels. Ce dernier en a compromis le système d’information en piégeant les employés par la technique dite du point d’eau – waterhole – consistant à injecter du code malveillant dans des pages Web légitimes en visant des vulnérabilités de navigateurs. En fait, selon Symantec, il ne s’agissait là que d’un sous-ensemble d’une campagne considérablement plus vaste, lancée à l’automne dernier – sinon plus tôt –, et ayant affecté plus d’une centaine d’organisations dans rien moins que 31 pays.
L’un des outils malveillants utilisés fait partie, selon BAE Systems, de l’arsenal du groupe Lazarus. Ce dernier est suspecté d’être à l’origine de l’attaque dont a été victime Sony Picture Entertainment. Des liens techniques avec ce groupe ont également été mentionnés pour les détournements de fonds réalisés l’an passé en s’appuyant sur le réseau Swift.
Mais BAE Systems a continué, au cours des dernières semaines, l’analyse des échantillons de logiciels malveillants retrouvés sur les systèmes compromis en Pologne. Et cet examen révèle le recours à de nombreux termes russes. De quoi établir un lien avec la Russie ? Assurément pas. Pour les experts de BAE Systems, cela ne fait pas de doute : les auteurs ne sont pas russophones – cinq des commandes en russe « ont été probablement produites par traduction en ligne » – et l’utilisation de cette langue « est probablement une tactique de diversion ». De quoi rappeler, encore une fois, l’importance de la prudence dans l’attribution, comme le soulignait récemment dans nos colonnes le Général d’armée Watin-Augouard.
Pour l’heure, outre l’exemple polonais, aucun pays affecté n’a été expressément nommé. Mais en France, l’Autorité de contrôle prudentiel et de résolution (ACPR) a, l’an passé, fait part de ses inquiétudes sur la maturité réelle des secteurs de la banque et de l’assurance en matière de cybersécurité.