La société de sécurité informatique Kaspersky Lab a détecté une cyberattaque d’un nouveau genre. Plutôt que de tenter d’introduire un cheval de Troie – un fichier d’apparence sain infecté par un logiciel malveillant -, les hackers ont utilisé des outils tout à fait conventionnels pour s’immiscer de façon furtive dans les serveurs de 140 organismes dans le monde : des banques, administrations et opérateurs télécoms. Parmi les victimes, 10 sont implantées en France, ce qui fait de l’Hexagone le second pays le plus touché derrière les Etats-Unis (21).
Interrogé par Ars Technica, Kurt Baumgartner, expert chez le spécialiste russe de la cybersécurité, indique que les auteurs de ces attaques “sortent de l’argent des banques depuis l’intérieur des banques”, en ciblant les ordinateurs contrôlant les distributeurs automatiques pour les vider.
“Il est quasi impossible de déterminer le groupe responsable”
Dans le détail, les cyberattaques sont réalisées à partir de l’utilisation de code d’exploitation open source, et de logiciels Windows courants. Ainsi, contrairement aux hackers habituels, ceux-là ne créent pas de code dédié mais utilisent des outils légitimes et largement répandus, rendant difficile leur identification.
De plus, au lieu de créer un fichier et de pénétrer dans le disque dur du système, ils s’introduisent dans la mémoire vive. Cette dernière étant rafraîchie à chaque redémarrage du système, le passage des hackers est effacé automatiquement.
Kaspersky a repéré le procédé fin 2016 grâce à une banque, dont les systèmes de sécurité avaient détecté une cyberattaque avant que le système ne se rafraîchisse justement. Reste que pour l’instant “nul ne sait qui se cache derrière ces attaques”, ni même le nombre exact d’organismes touchés, tant la combine est bien ficelée.
“Il est quasi impossible de déterminer le groupe responsable, ni même s’il s’agit d’un seul groupe ou de plusieurs groupes partageant les mêmes outils. Les groupes connus qui emploient les méthodes les plus proches sont GCMAN et Carbanak“, détaille Kaspersky dans un communiqué.