Joram Borenstein
Il y a quelques jours, une entreprise américaine de sécurité informatique, FireEye, a identifié un groupe particulier de cyber-pirates. Ce nouveau genre de pirates, surnommés FIN4 par FireEye, s'en prennent aux courriels d'entreprises susceptibles de contenir des informations sensibles. Le procédé est assez nouveau, car ils utilisent leurs "compétences" pour tirer profit des informations confidentielles des entreprises sur les marchés financiers.
Cette société a découvert un groupe dont les membres sont très à l'aise en matière de fusions-acquisitions et savent pertinemment comment les marchés maîtrisent les informations qui sont publiques ou pas encore publiques ou ne vont pas tarder à l'être. Ce groupe se concentre sur la manipulation du marché boursier et, vraisemblablement, bénéficie financièrement d'informations provenant d'initiés.
Depuis plus d'un an, FIN4 a infiltré les courriers électroniques de dirigeants de plus de 100 sociétés cotées. Les pirates semblent avoir visé en particulier les courriels de personnes susceptibles d'être impliquées dans des fusions et acquisitions, ou d'être détentrices d'informations confidentielles. Autrement dit, des membres des équipes dirigeantes, des avocats, des consultants extérieurs ou encore des chercheurs.
FIN4 emploie une méthode simple mais efficace pour recueillir de l'utilisateur les informations d'identification à travers leurs emails. Ils intègrent un code malveillant dans un document Word ou Excel que le destinataire ouvre via Outlook. Le groupe envoie également des e-mails avec des liens vers de fausses pages de connexion à Outlook Web App pour pouvoir dérober les informations d'identification de l'utilisateur.
Il s'agit d'une opération de type whaling ou spear-fishing très ciblée : nous avons vu (par exemple Aurora) que l'accent avait été mis sur les administrateurs qui possèdent des informations sensibles sur leur entreprise. Les assistants de direction sont eux aussi massivement ciblé : ils ont souvent un accès complet aux calendriers et aux emails des cadres dirigeants occupés et sont habitués à recevoir toutes sortes d'invitations bizarres et vraisemblables, des demandes de réunions, etc., mais le seuil de vigilance est bas quand il s'agit de filtrer les informations de leur boss, ouvrir les pièces jointes (qui pourrait être infectées), etc.
Les tactiques utilisées dans ce type d'attaques continuent à tourner autour de liens infectés qui provoquent l'installation d'un malware (drive-by-download) ou une attaque d'espionnage informatique "water holing", des pièces jointes infectées qui contaminent les systèmes non patchés (par exemple Adobe Acrobat), des individus se faisant passer pour de véritables partenaires / clients pour avoir accès aux données confidentielles.
Ce qui est intéressant à propos de ce groupe, c'est qu'il n'est pas en train d'essayer d'infecter les ordinateurs des gens. Ils essaient simplement d'obtenir les mots de passe des comptes e-mail des personnes pour accéder aux informations confidentielles.
Ce type d'attaques existe depuis des années ; il y a 6 ou 7 ans, on parlait d'attaques "Pump & Dump" présentant des titres comme étant une bonne opportunité d'investissement (pink sheet) pour faire grimper le cours de ces valeurs (pump) avant de les revendre au plus haut (dump). Et depuis 12-18 mois, les attaques se concentrent désormais directement sur les échanges.
En résumé, du point de vue technologique, la méthode du groupe FIN4 n'est pas très sophistiquée mais leur approche et le processus le sont.
Comme pour la plupart des attaques d'ingénierie sociale, les seuls moyens de défense sont la vigilance et l'éducation. On en revient toujours aux bonnes pratiques qui ont fait leurs preuves et dont les responsables de la sécurité parlent depuis des années : apprendre aux utilisateurs à ne pas systématiquement cliquer sur une pièce attachée envoyées par des personnes que l'on ne connaît et se fier aussi à son instinct.
Cette société a découvert un groupe dont les membres sont très à l'aise en matière de fusions-acquisitions et savent pertinemment comment les marchés maîtrisent les informations qui sont publiques ou pas encore publiques ou ne vont pas tarder à l'être. Ce groupe se concentre sur la manipulation du marché boursier et, vraisemblablement, bénéficie financièrement d'informations provenant d'initiés.
Depuis plus d'un an, FIN4 a infiltré les courriers électroniques de dirigeants de plus de 100 sociétés cotées. Les pirates semblent avoir visé en particulier les courriels de personnes susceptibles d'être impliquées dans des fusions et acquisitions, ou d'être détentrices d'informations confidentielles. Autrement dit, des membres des équipes dirigeantes, des avocats, des consultants extérieurs ou encore des chercheurs.
FIN4 emploie une méthode simple mais efficace pour recueillir de l'utilisateur les informations d'identification à travers leurs emails. Ils intègrent un code malveillant dans un document Word ou Excel que le destinataire ouvre via Outlook. Le groupe envoie également des e-mails avec des liens vers de fausses pages de connexion à Outlook Web App pour pouvoir dérober les informations d'identification de l'utilisateur.
Il s'agit d'une opération de type whaling ou spear-fishing très ciblée : nous avons vu (par exemple Aurora) que l'accent avait été mis sur les administrateurs qui possèdent des informations sensibles sur leur entreprise. Les assistants de direction sont eux aussi massivement ciblé : ils ont souvent un accès complet aux calendriers et aux emails des cadres dirigeants occupés et sont habitués à recevoir toutes sortes d'invitations bizarres et vraisemblables, des demandes de réunions, etc., mais le seuil de vigilance est bas quand il s'agit de filtrer les informations de leur boss, ouvrir les pièces jointes (qui pourrait être infectées), etc.
Les tactiques utilisées dans ce type d'attaques continuent à tourner autour de liens infectés qui provoquent l'installation d'un malware (drive-by-download) ou une attaque d'espionnage informatique "water holing", des pièces jointes infectées qui contaminent les systèmes non patchés (par exemple Adobe Acrobat), des individus se faisant passer pour de véritables partenaires / clients pour avoir accès aux données confidentielles.
Ce qui est intéressant à propos de ce groupe, c'est qu'il n'est pas en train d'essayer d'infecter les ordinateurs des gens. Ils essaient simplement d'obtenir les mots de passe des comptes e-mail des personnes pour accéder aux informations confidentielles.
Ce type d'attaques existe depuis des années ; il y a 6 ou 7 ans, on parlait d'attaques "Pump & Dump" présentant des titres comme étant une bonne opportunité d'investissement (pink sheet) pour faire grimper le cours de ces valeurs (pump) avant de les revendre au plus haut (dump). Et depuis 12-18 mois, les attaques se concentrent désormais directement sur les échanges.
En résumé, du point de vue technologique, la méthode du groupe FIN4 n'est pas très sophistiquée mais leur approche et le processus le sont.
Comme pour la plupart des attaques d'ingénierie sociale, les seuls moyens de défense sont la vigilance et l'éducation. On en revient toujours aux bonnes pratiques qui ont fait leurs preuves et dont les responsables de la sécurité parlent depuis des années : apprendre aux utilisateurs à ne pas systématiquement cliquer sur une pièce attachée envoyées par des personnes que l'on ne connaît et se fier aussi à son instinct.
Les médias du groupe Finyear
Chaque jour (5j/7) lisez gratuitement :
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Chaque mois lisez gratuitement :
Le magazine digital :
- Finyear Magazine
Les 6 lettres digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- Le Capital Investisseur
- GRC Manager
- Le Contrôleur de Gestion (PROJET 2014)
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises de la finance d’entreprise et de la finance d'affaires.
Chaque mois lisez gratuitement :
Le magazine digital :
- Finyear Magazine
Les 6 lettres digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- Le Capital Investisseur
- GRC Manager
- Le Contrôleur de Gestion (PROJET 2014)
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres