Citadel s’attaque au secteur pétrochimique

Des éléments criminels font de plus en plus souvent leur apparition dans les cyberattaques contre des secteurs clés de l’économie. L’exemple le plus récent de cette tendance est le Trojan bancaire Citadel dont une nouvelle version a été utilisée récemment par des individus malintentionnés dans le cadre d’attaques contre des sociétés pétrochimiques du Moyen-Orient.

D’après les experts de Trusteer (qui fait désormais partie d’IBM), ces menaces persistantes avancées (APT) ont été observées au cours des deux derniers mois ; les chercheurs de la société ont découvert des versions remaniées de Citadel dans les réseaux des entreprises attaquées. Le programme malveillant, qui a changé d’orientation, surveillait des URL totalement différentes, par exemple les accès à la messagerie d’entreprise, enregistrait les données saisies et les envoyait à son centre de commande. Ces informations volées permettaient aux attaquants d’accéder à la boîte aux lettres d’un employé de la société ou d’un sous-traitant. Autrement dit, ils pouvaient lire son courrier, envoyer des messages en son nom et diffuser des messages de phishing afin de s’enfoncer plus encore dans le réseau de la victime.

Dana Tamir, responsable du développement des produits IBM de sécurité d’entreprise a signalé que parmi les victimes des individus malintentionnés, on retrouve un des plus grands distributeurs de dérivés du pétrole au Moyen Orient ainsi qu’un fournisseur régional de matière première pour les sociétés pétrochimiques. Elle n’a toutefois fourni aucune information sur l’ampleur de l’attaque, ni sur ses résultats.

Les attaques ciblées contre des secteurs économiques clés ne sont pas nouvelles. Les secteurs énergétiques, chimiques et militaires sont de plus en plus souvent exposés à ce genre d’attaque. Dans la majorité des cas, les pirates utilisent des codes d’exploitation de diffusion massive et non pas des codes d’exploitation de type 0jour. D’après Dana Tamir, l’utilisation de programmes malveillants financiers est une nouvelle tendance qui se développe ; les auteurs des attaques ciblées sont attirés principalement par la grande diffusion de ces outils prêts à l’emploi. D’après les estimations d’IBM, un ordinateur sur 500 serait actuellement infecté par un programme malveillant que la société classe dans la catégorie APT.š

Dana Tamir explique que "cette tendance a été observée pour la première fois il y a quelques années, dans le cadre d’attaques uniques. Ces incidents n’étaient pas réguliers, mais nous avions malgré tout décelé une tendance qui avait le potentiel de se développer. Ces derniers temps, cette tendance s’est considérablement accélérée."

Pour rappel, la semaine dernière le service en ligne Salesforce.com a publié un avertissement sur d’éventuelles attaques de Dyre ou Dyreza.š Récemment, ce Trojan bancaire a élargi son cercle de cibles et a commencé à viser les comptes des utilisateurs de Salesforce. Ces nouvelles attaques constituent une réelle menace pour la structure d’entreprise car l’application SaaS de Salesforce contient des informations financières importantes qui ont de la valeur pour la concurrence et pour le marché noir.

La transformation d’un programme malveillant de type bancaire en APT n’est pas compliquée. Les programmes malveillants financiers peuvent se connecter à un centre de commande, bon nombre d’entre eux sont associés à des enregistreurs de frappes et possèdent d’autres fonctions pour le vol d’informations. La variante de Citadel découverte par Trusteer était dotée d’un module capable de voler les données saisies dans un formulaire en ligne avant leur chiffrement à l’aide du protocole SSL. Les Trojans bancaires utilisent également des injections Web capables d’ajouter du contenu HTML à des pages : fausses notifications ou demandes de saisie des informations d’authentification.

"Au début, les programmes malveillants financiers réalisaient des attaques du type "homme dans le navigateur". Ils possédaient un enregistreur de frappes et quelques autres fonctions de bases. Mais au fil des ans, ils se sont améliorés. Ces Trojans sont habiles et peuvent déjouer les outils de détection. Leur deuxième avantage est leur large diffusion. Ils sont diffusés de manière agressive via des bannières malveillantes, des messages de phishing, des téléchargement drive-by et d’autres méthodes de diffusion rapide sur un maximum d’ordinateurs. Nous les avons rencontré dans presque toutes les organisations" explique Dana Tamir.

"Ces Trojans sont en fait des outils très complexes. pour transformer un Trojan bancaire en outil pour une APT, il suffit de lui indiquer une nouvelle cible, c’est-à-dire actualiser le fichier de configuration. Il se mettra alors en quête de nouvelles proies." ajoute la responsable de Trusteer.

Security Intelligence

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *