Enquête sur un incident : vol dans une banque électronique

De plus en plus souvent, des sociétés se tournent vers Kaspersky Lab pour lui confier des missions d’enquête approfondie sur des incidents de sécurité des informations qui impliquent des programmes malveillants.

Cet article évoque une attaque traditionnelle organisée par des individus malintentionnés pour voler les fonds d’une société via une interface de banque électronique.

Incident

Récemment, une entreprise a contacté Kaspersky Lab pour lui confier une enquête sur un incident survenu sur sa plate-forme de banque électronique. Un jour, le service comptabilité reçoit un appel de la banque qui souhaite confirmer un paiement d’un montant de près de 5 millions de roubles. Personne au sein de l’entreprise n’est au courant de ce paiement, le comptable affirme qu’il n’a pas réalisé cette transaction car il était sorti déjeuner lorsque l’opération a été réalisée.

Le comptable utilise une application qui permet de créer des mandats bancaires et de les envoyer à la banque. Le journal de cette application contenait deux paiements suspects envoyés à la même adresse. Le premier paiement d’un montant approximatif de 300 000 roubles avait été exécuté car les employés de la banque n’avaient pas été alarmés par ce montant normal pour une transaction commerciale. Par contre, le deuxième mandat bancaire qui s’élevait à près de 3 millions de roubles avait quant à lui éveiller des soupçons.

Puisque le comptable n’avait pas réalisé ces opérations, la direction de l’entreprise a pensé à une attaque d’un programme malveillant. Comment cette attaque avait-elle pu se dérouler dans la mesure où les transactions s’opéraient à l’aide d’une application bancaire spéciale qui permettait l’accès à la plate-forme de banque électronique uniquement sur saisie d’un mot de passe et en présence d’un fichier spécial et que la banque, de son côté, vérifiait l’adresse IP de l’expéditeur de l’ordre de paiement ?

Enquête

L’objectif principal d’une enquête réalisée après un incident impliquant un virus consiste à déterminer exactement les conséquences de l’attaque, à identifier les ordinateurs compromis et à faire la lumière sur la manière dont le programme malveillant a pu s’introduire sur l’ordinateur de la victime. Une fois que l’organisation a obtenu ces informations, elle peut minimiser les pertes liées à l’incident, identifier les points faibles de sa protection et adopter les mesures requises pour empêcher qu’une situation similaire ne se répète.

Il peut arriver également que, dans le cadre de l’enquête, nous mettions la main sur des exemplaires de programmes malveillants restés non détectés jusqu’à présent et qui seront ajoutés aux bases antivirus afin de protéger les victimes potentielles contre ces menaces.

Dans le cas qui nous occupe, une image du disque dur de l’ordinateur du comptable fut transmise à l’équipe GERT (Global Emergency Response Team, groupe international de réaction informatique rapide) afin de le soumettre aux analyses de rigueur.

Accès à distance à l’ordinateur

L’analyse initiale du disque dur de l’ordinateur du comptable a mis en évidence la présence d’une version modifiée de l’application légitime "Remote Manipulator System", utilisée dans le cadre de l’administration à distance. Ce genre d’application est très souvent utilisé par les comptables et les administrateurs système. Ceci étant dit, l’application repérée se trouvait dans un répertoire suspect, portait un nom suspect ("C:windowsdotcomwmiterm.exe", un chemin dont la ressemblance à un chemin "système" normal n’éveillerait même pas les soupçons d’un utilisateur avancé) et elle avait été modifiée afin de dissimuler son fonctionnement :

  • L’icône n’apparaissait pas dans la barre des tâches Windows.
  • La clé de registre dans laquelle l’application conserve ses paramètres avait été modifiée (de [HKLMSYSTEMRemote Manipulator Systemv4] en [HKLMSYSTEMSystemSystemRemote Windows]. Ici aussi, la modification ressemble beaucoup à une clé de registre système).
  • L’affichage de l’interface de l’application avait été désactivé.

Ce genre de modifications caractérise les programmes malveillants et c’est la raison pour laquelle nous avons ajouté la détection de cette application aux bases antivirus sous le verdict Backdoor.Win32.RMS.

L’analyse de l’activité de Backdoor.Win32.RMS nous a permis de voir que les individus malintentionnés l’utilisait pour charger un autre programme malveillant sur l’ordinateur, à savoir Backdoor.Win32.Agent (la détection de ce programme malveillant fut ajoutée directement après sa découverte). Cette porte dérobée offrait un accès distant VNC (Virtual Network Computing) à l’ordinateur de la victime. Il est intéressant de voir que le code de ce programme malveillant compte beaucoup de points communs avec le module "hVNC" du Trojan Carberp (conséquence de l’accès ouvert au code source de ce Trojan).

Comment l’ordinateur du comptable a-t-il été infecté par Backdoor.Win32.RMS ?

Infection de l’ordinateur

Nous avons extrait de la base de données Microsoft Outlook (le fichier « outlook.pst » sur le disque dur) un message contenant une pièce jointe nommée « zapros IFNS NœAS-4-31339.doc ». Notre antivirus identifie ce document Office sous le nom Exploit.MSWord.CVE-2012-0158.

Les individus malintentionnés ont exploité l’ingénierie sociale : le texte du message, prétendument envoyé au nom de l’administration fiscale, invitait le destinataire à traiter rapidement la question abordée par le message et reprenait les coordonnées d’employés authentiques de cette administration.

GERT_1_ru

Vraisemblablement, le comptable a ouvert la pièce jointe qui, grâce à une vulnérabilité dans Microsoft Office Word, a pu télécharger une archive auto-extractible depuis un serveur distant. L’archive contenait 2 fichiers : « SYST.EXE » (en réalité, le compacteur « 7zip ») et « SYST ».

Lors de l’auto-extraction, l’archive d’origine lançait le compacteur « SYST.EXE » avec des paramètres qui indiquaient le décompactage avec mot de passe intégré de l’archive « SYST » protégée par un mot de passe. Le recours à une archive protégée par un mot de passe permet d’éviter le décompactage statique du fichier par un logiciel antivirus et de réduire ainsi la probabilité de détection des fichiers malveillants par l’antivirus.

Le décompactage de « SYST » débouchait sur la création du fichier Backdoor.Win32.RMS, que nous avions découvert plus tôt, et du script « INST.CMD » qui se chargeait de l’installation de la porte dérobée dans le système (le script copiait les fichiers du programme malveillant dans le dossier « C:windowsdotcom »).

Dès la découverte des portes dérobées, nous avons compris comment il avait été possible de voler de l’argent. En possédant un accès à distance à l’ordinateur, les individus malintentionnés pouvaient créer leurs propres mandats bancaires. Dans ce cas, le fichier clé et l’adresse IP de l’expéditeur aurait été acceptés par la plate-forme de banque électronique. Le seul problème qui restait à élucider était celui du mot de passe d’accès à l’application bancaire. Nous savions que nous devions rechercher un enregistreur de frappes.

Enregistreur de frappes

Le fichier « Svchost.exe » installé dans la racine du disque système attira note attention. Il s’agissait en fait d’un enregistreur de frappes (ajouté à la détection sous le verdict Trojan-Spy.Win32.Delf) doté d’une fonction complémentaire de gestion des paramètres de Backdoor.Win32.RMS. Il semblerait que les individus malintentionnés aient dû recourir à cette fonction inhabituelle afin de pouvoir commander la version modifiée de « Remote Manipulator System » car ils avaient masqué toute l’interface utilisateur de l’application et ne ils ne pouvaient donc plus utilise cette dernière pour configurer les paramètres.

Nous avons également découvert également ce que téléchargeait cet enregistreur de frappes à l’aide de la porte dérobée Backdoor.Win32.RMS.

Non seulement il envoyait au serveur à intervalle régulier le journal avec les informations volées, mais il enregistrait également une copie du journal sur le disque dur de l’ordinateur infecté. Parmi les informations volées par l’enregistreur de frappes, nous avons retrouvé le mot de passe de l’application bancaire.

Schéma de l’attaque

À l’issue de l’enquête, nous avons pu reconstituer les actions des individus malintentionnés :

  1. L’ordinateur du comptable avait été infecté par Backdoor.Win32.RMS suite à une attaque ciblée qui reposait sur l’ingénierie sociale et une vulnérabilité dans Microsoft Word.
  2. Les individus malintentionnés avaient ensuite exploité cette porte dérobée pour télécharger deux programmes malveillants supplémentaires sur l’ordinateur infecté : un enregistreur de frappes (Trojan-Spy.Win32.Delf) et une porte dérobée (Backdoor.Win32.Agent) offrant un accès VNC distant à l’ordinateur de la victime.
  3. L’enregistreur de frappes avait intercepté le mot de passe d’accès à la plate-forme de banque électronique.
  4. Profitant de l’absence du comptable, les individus malintentionnés avaient utilisé Backdoor.Win32.Agent et l’accès VNC à l’ordinateur pour lancer l’application bancaire au nom du comptable.
  5. Le mot de passe intercepté avait ainsi permis aux cybercriminels de créer un mandat bancaire d’un montant approximatif de 300 000 roubles et de l’envoyer à la banque.
  6. Un peu plus tard, ils avaient créé un autre mandat, cette fois-ci pour un montant de près de 3 millions de roubles.

Alors que nous étions sur le point de boucler notre enquête, nous avons détecté un autre fait intéressant : les adresses IP des serveurs d’administration de l’ensemble des programmes malveillants impliqués dans l’attaque appartenaient à un même sous-réseau.

GERT_1_ru

Schéma de l’attaque des individus malintentionnés

Sur la base des informations récoltées dans le cadre de l’enquête, nous constatons que ces criminels ont fait preuve d’une très grande efficacité et ont réussi à exécuter leur plan criminel en quatre jours seulement. Les trois premiers jours furent dédiés à la mise en place de l’attaque tandis que les actions liées directement au vol de l’argent n’ont pris que quelques heures le 4e jour.

Jour 1 : les individus malintentionnés envoient le message au comptable de l’entreprise. Le comptable le lit, ouvre la pièce jointe et, ce faisant, télécharge le programme malveillant Backdoor.Win32.RMS sur son ordinateur. Les jours suivants, les individus malintentionnés utilisent ce programme pour observer les actions du comptable.

Jour 4 : Les individus malintentionnés utilisent Backdoor.Win32.RMS pour télécharger l’enregistreur de frappes Trojan-Spy.Win32.Delf et intercepter le mot de passe de l’application bancaire. Un peu plus tard, ils téléchargent Backdoor.Win32.Agent et grâce à lui, se connectent à l’ordinateur du comptable. Une fois sur l’ordinateur de la victime, ils envoient les mandats à la banque.

Notification des victimes

Dans la mesure où les individus malintentionnés utilisaient plusieurs adresses IP d’un sous-réseau, nous avons décidé d’étudier plus en détails les serveurs d’administration. Il se fait que ces individus malintentionnés avaient commis une erreur dans la configuration du serveur et n’importe quel utilisateur était en mesure de consulter les requêtes HTTP envoyées aux serveurs des individus malintentionnés. C’est ainsi que nous avons pu identifier les adresses IP d’origine des requêtes reçues via le protocole de l’enregistreur de frappes. Cet enregistreur avait infecté plusieurs ordinateurs portant des adresses IP différentes.

Il présentait une particularité : quand il était exécuté sur l’ordinateur infecté, il téléchargeait la dernière version de son journal depuis le serveur d’administration. Cela voulait dire que n’importe quel utilisateur qui aurait ouvert une page du genre « http://NOM_DU_SERVEUR/NOM_DU_JOURNAL » dans son navigateur aurait pu voir le contenu du journal. Nous avons décidé d’examiner attentivement les requêtes HTTP adressées au serveur des individus malintentionnés et nous y avons découvert les noms des journaux que les enregistreurs de frappes envoyaient au serveur d’administration. Nous avons pu ainsi obtenir le contenu des journaux de toutes les victimes de l’enregistreur de frappes. Dans la majorité des cas, ces journaux contenaient le nom de l’organisation à qui appartenait l’ordinateur infecté ainsi que les coordonnées de la victime (l’adresse IP des victimes pouvait être obtenue via une vulnérabilité dans le serveur d’administration). Ces informations nous ont permis de contacter les autres victimes, principalement des comptables dans des P.M.E., afin de leur signaler l’infection, ce qui nous a valu beaucoup de remerciements.

Particularités des attaques bancaires

Comme nous l’avons déjà dit au début de cet article, l’attaque que nous évoquons est un cas d’école en matière de vol d’argent.

  1. Les individus malintentionnés exploitent activement l’ingénierie sociale dans le but d’amener la victime à ouvrir le fichier qui leur convient.
  2. Les employés qui ont accès à des informations commerciales et financières importantes doivent être sensibilisés aux principes de la sécurité des informations. Les sociétés doivent se munir de politiques de sécurité qui réduisent au minimum le risque d’infection du réseau de l’entreprise suite à une imprudence élémentaire d’un employé.

  3. Les attaques ciblées contre des proies importantes peuvent reposer sur de nouveaux codes d’exploitation de vulnérabilités encore inconnues. Dans ce cas, les méthodes traditionnelles de détection d’une attaque, comme IDS, sont loin d’être efficaces.
  4. Toutefois, un code d’exploitation de type 0day coûte trop cher pour des attaques contre des P.M.E. C’est la raison pour laquelle ces attaques reposent souvent sur des vulnérabilités déjà connues. Ici, la protection peut être garantie via la mise à jour opportune des applications (surtout MS Office et Java) et l’utilisation d’une solution de protection de pointe contre les codes d’exploitation.

  5. Parmi les autres caractéristiques de l’attaque, il convient de citer également le recours à une application légitime. Cette tendance se développe activement et nous observons dans de nombreuses attaques l’utilisation d’applications légitimes permettant d’obtenir un accès à distance à un ordinateur, de télécharger et d’exécuter des fichiers malveillants, etc.
  6. Ces applications légitimes ne sont pas détectées par les logiciels antivirus et la seule tâche qui incombe aux individus malintentionnés est de dissimuler les actions de ces applications. Dans le cas qui nous occupe, les individus malintentionnés ont résolu le problème en modifiant le fichier exécutable de l’application "Remote Manipulator System", ce qui nous a permis d’ajouter la signature du fichier modifié aux bases antivirus.

    En cas d’utilisation d’une application légitime non modifiée, la seule solution sera l’affichage obligatoire d’un message par les systèmes de protection qui signalera l’exécution d’une application potentiellement indésirable. Les utilisateurs qui manipulent des informations financières ou d’autres documents importants ne doivent jamais oublier qu’aucun système de sécurité n’est infaillible. Il convient de prêter attention aux notifications système et au comportement anormal de l’ordinateur et de signaler tous les événements suspects au service de sécurité.

Idéalement, le mode d’interdiction par défaut devrait être utilisé sur les ordinateurs qui interviennent dans la réalisation des paiements via la banque électronique. Ce mode limite l’accès à Internet et interdit l’exécution de toute application qui ne figure pas dans la liste blanche. Il en va de même pour les ordinateurs des employés qui manipulent des informations présentant une certaine valeur commerciale.

Conclusion

À l’heure actuelle, l’appât du gain est la principale motivation des cybercriminels. L’accès aux systèmes de banque électronique est le moyen le plus direct et le plus évident pour accéder à l’argent des sociétés et le voler. Il n’est dès lors pas étonnant que les systèmes de banque électronique deviennent une cible de prédilection pour les cybercriminels.

Les systèmes de banque électronique sont dotés d’une protection interne bien connue des utilisateurs… et des individus malintentionnés. Les mots de passe, les fichiers clé, les tokens et les restrictions d’accès sur la base de l’adresse IP donne naissance à un faux sentiment de sécurité absolue.

Ceci étant dit, ces mesures prises séparément ou globalement ne peuvent améliorer la sécurité si l’ordinateur sur lequel elles sont adoptées est compromis. Un mot de passe peut être intercepté, un fichier clé peut être copié et si les individus malintentionnés parviennent à créer un bureau dissimulé, ils sont en mesure d’utiliser l’adresse IP originale et le token connecté du comptable.

Lorsque nous sommes amenés à enquêter sur des incidents, nous sommes souvent confrontés aux situations suivantes : Un programme malveillant a été exécuté sur un ordinateur, mais après quelques temps, le logiciel antivirus a actualisé ses bases et a pu le supprimer. L’ordinateur sur lequel l’incident est survenu est toujours en utilisation. L’employé continue à l’utiliser pour réaliser des opérations comptables, convaincu que la menace a été liquidée.

Il faut bien comprendre que si un programme malveillant a pu s’exécuter sur un ordinateur, celui-ci doit être considéré comme étant compromis car bien souvent, le premier fichier n’est que le programme de téléchargement. Les programmes malveillants principaux, téléchargés par le premier fichier, sont mis à jour en continu pour éviter la détection par les logiciels antivirus. Dans d’autres cas, comme nous l’avons vu ci-dessus, des applications légitimes sont téléchargées et configurées par les individus malintentionnés pour garantir la communication avec les serveurs. Ici, les applications qui réalisent les actions malveillantes ne sont pas détectées.

Les pertes enregistrées par les entreprises suite à ces imprudences peuvent être considérables. Quand un programme malveillant a été détecté sur un ordinateur contenant des informations critiques, il n’y a pas de temps à perdre.

Toutefois, comme le démontre la pratique, les sociétés déclenchent l’alarme lorsqu’elles se trouvent déjà face aux conséquences des actions des cybercriminels telles des pertes financières ou l’indisponibilité de services critiques. Et les mesures adoptées par les entreprises dans le cadre de la réaction à ces incidents sont bien souvent inutiles et ne font que compliquer l’enquête.

Vu qu’une attaque peut se présenter sous une multitude de forme, il n’existe pas une méthodologie universelle pour réagir aux incidents. Par exemple, dans certains cas, l’arrêt immédiat de l’ordinateur permet de préserver les données qui auraient été irrémédiablement supprimées par le programme malveillant après un certain temps. Dans d’autres cas, la coupure de l’alimentation entraîne la perte de données indispensables à l’enquête qui se trouvent dans la mémoire vive de l’ordinateur. Seul un enquêteur expérimenté dans ce genre d’incident peut prendre la bonne décision.

Quoi qu’il en soit, dès le moindre soupçon d’infection, il convient de déconnecter les ordinateurs compromis d’Internet et du réseau de l’entreprise et de contacter des experts en analyse d’attaques de virus.

Seule une enquête détaillée permet d’éliminer efficacement les conséquences d’un incident.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *