Accueil Cybersécurité Comment opère Lazarus, le groupe de pirates de banques internationales

Comment opère Lazarus, le groupe de pirates de banques internationales

Le groupe de hackers Lazarus

En 2016, le vol de 81 millions de dollars à la Banque Centrale du Bangladesh a fait grand bruit. Qui se cache derrière cette attaque ? Vraisemblablement Lazarus, un groupe de hackers à l’origine d’autres vols dans des institutions financières, des casinos, des entreprises de crypto-monnaies ou chez des éditeurs de logiciels dédiés aux sociétés de placement du monde entier…

A la suite du plus grand piratage au monde de ce type, l’éditeur Kaspersky s’est lancé dans l’analyse scientifique des indices laissés par les pirates dans des banques situées dans le Sud-Est asiatique et en Europe. Ils en ont conclu que les attaques avaient très probablement été perpétrées par Lazarus, un groupuscule passé maître dans l’art du cyberespionnage et du cybersabotage. “Cette cellule est connue pour avoir perpétré une série d’attaques de grande envergure ayant ciblé des fabricants, des médias et des institutions financières dans au moins 18 pays aux quatre coins du monde depuis 2009“, indique Kaspersky, qui apporte une série de détails sur le mode opératoire de ce groupe.

Lazarus2
Selon Kaspersky Lab, le groupe Lazarus a fait parler de lui à partir de décembre 2015 : des échantillons de malwares en lien avec ses activités ont été repérés sur les réseaux d’institutions financières, de casinos, d’éditeurs de logiciels dédiés à des sociétés de placement et d’entreprises de crypto-monnaies en Corée, au Bangladesh, en Inde, au Vietnam, en Indonésie, au Costa Rica, en Malaisie, en Pologne, en Irak, en Ethiopie, au Kenya, au Nigeria, en Uruguay, au Gabon, en Thaïlande et dans plusieurs autres pays. Les derniers échantillons malveillants repérés par Kaspersky Lab datent de mars 2017, ce qui laisse penser que les pirates ne comptent pas s’arrêter là.

Le modus operandi de Lazarus

Les experts ont pu découper le mode opératoire des pirates en quatre phases.

Lazarus 1

1 Compromission initiale : les pirates ouvrent une brèche dans un seul des systèmes informatiques de la banque, soit en exploitant à distance des portions de code vulnérables (sur un serveur web par exemple), soit à l’aide d’une attaque dite de « watering hole » qui consiste à piéger un site web légitime. Lorsqu’une victime (un employé de la banque ciblée) consulte ce dernier, son ordinateur est infecté par des composants additionnels.

2 Trouver ses marques : les membres du groupe migrent vers d’autres ordinateurs hôtes au sein de la banque où ils déploient des backdoors persistants, qui leur permettent d’aller et venir à leur guise à l’aide des programmes malveillants installés.

3 Reconnaissance interne : le groupe passe ensuite des jours et des semaines à étudier scrupuleusement le réseau afin d’identifier les ressources intéressantes. Il peut s’agir d’un serveur de sauvegarde qui conserve les données d’authentification, des serveurs de messagerie, des contrôleurs de noms de domaine donnant accès à l’ensemble de l’entreprise, ou encore de serveurs où sont stockées les archives des transactions financières.

4 Passage à l’acte : l’ultime étape consiste, pour les pirates, à déployer leur malware conçu pour passer outre les dispositifs de sécurité internes des logiciels financiers et effectuer des transactions illicites au nom de la banque.

Vitaly Kamluk, directeur de l’équipe de recherches et d’analyses APAC chez Kaspersky Lab, prévient : le groupe Lazarus investit énormément pour créer de nouvelles variantes de son malware. “Nous sommes persuadés qu’ils referont surface prochainement. Les attaques comme celles menées par le groupe Lazarus montrent qu’une erreur de configuration, même minime, peut ouvrir une brèche importante dans le réseau d’une entreprise, avec à la clé la perte potentielle de centaines de millions de dollars. Nous espérons que les dirigeants des banques, des casinos et de sociétés de placement du monde entier apprendront à se méfier de Lazarus. ». L’éditeur appelle les organisations à passer au crible leurs réseaux à la recherche de l’éventuelle présence d’échantillons du malware Lazarus (par exemple, HEUR:Trojan-Banker.Win32.Alreay*, Trojan-Banker.Win32.Agent*)