Des attaques « invisibles » menacent les banques

La société Kaspersky Lab, spécialisée dans la cyber-sécurité, a découvert un malware d’un genre nouveau, pratiquement indétectable.

securiteLa société Kaspersky Lab, spécialisée dans la cyber-sécurité, a découvert un malware d’un genre nouveau, pratiquement indétectable. Il aurait déjà infecté plus de 140 organisations à travers le monde. – Par ITnation

Depuis quelques années, les banques, avec notamment l’apparition des services en ligne, sont dans le viseur des hackers. Pour être toujours plus efficaces et échapper aux analyses de contrôle, les cyber-attaques se montrent de plus en plus complexes.

Un nouveau type de malware, quasiment invisible, a ainsi été décelé sur des serveurs Windows par des chercheurs en sécurité de Kaspersky Lab. Au moins 140 entreprises dont des banques, des organisations gouvernementales et des opérateurs télécoms auraient été ciblées à travers 40 pays au cours de ces dernières années. La France et les États-Unis sont les pays les plus touchés, avec respectivement 10 et 21 attaques. Toujours actifs, les hackers continuent de menacer les organisations.

Des traces minimes

Découvert pour la première fois l’an dernier, ce malware a de quoi dérouter les responsables de la cyber-sécurité. En n’utilisant aucun fichier sur le disque dur, ce code malveillant devient presqu’invisible. Il peut uniquement être identifié en analysant la mémoire vive des systèmes pénétrés. « Alors que les données d’un disque dur peuvent rester disponibles pendant un an après un événement, les artefacts cachés dans la mémoire seront effacés lors du premier redémarrage de l’ordinateur », précise Kaspersky Lab dans son communiqué de presse.

Concrètement, pour parvenir à leurs fins, les attaquants s’appuient sur des outils et des logiciels standard, tels que PowerShell, Meterpreter et Mimikatz. Le code malveillant est alors dissimulé dans la mémoire et se propage sur le réseau, de manière à recueillir les mots de passe d’administrateurs et prendre le contrôle de leurs appareils à distance. Selon Kapersky Lab, le malware cherche à infecter les serveurs chargés de sécuriser les distributeurs automatiques de billets. L’objectif, bien sûr : les vider.

Furtif et non-identifiable

Grâce à cette méthode, les hackers ont donc réussi à accéder à des systèmes à distance et à exfiltrer des données d’un réseau sans qu’aucun fichier ne soit crée, ni même aucune entrée dans des fichiers log réalisée. « Cette approche combinée contribue à rendre la détection du malware par les technologies de liste blanche plus difficile, et ne laisse aux chercheurs en sécurité pratiquement aucun artefact ni échantillon de logiciel malveillant sur lequel travailler », assure le spécialiste en cyber-sécurité. La détermination des attaquants à masquer leur activité et à compliquer de plus en plus la détection et la réponse aux incidents, explique la recrudescence de techniques illégales et de malwares résidant en mémoire. »

Début avril, à l’occasion de sa conférence annuelle Security Analyst Summit, Kaspersky Lab dévoilera davantage d’informations quant au modus operandi du groupe responsable. Son identification, toutefois, semble impossible au vu des outils courants et des logiciels open source utilisés pour mener à bien ses attaques.