La semaine dernière, le sénateur chilien Felipe Harboe a repris sur Twitter une nouvelle plutôt effrayante : il a appris que la société qui gère le réseau interbancaire du pays, Redbanc, avait été victime d’une grave cyberattaque à la fin du mois de décembre.
Deux jours plus tard, peu de temps avant qu’un site d’informations locales publie un article plus détaillé, Redbanc a reconnu publiquement que l’attaque avait bien eu lieu, confirmant ainsi peu de chose au-delà du fait que son réseau n’a pas été perturbé et a continué à fonctionner normalement.
Cet événement n’a eu aucun d’impact sur nos opérations, permettant ainsi un bon fonctionnement de nos services. Conformément à nos protocoles, nous avons tenu les différents acteurs du secteur et les autorités informés à tout moment, avec une transparence totale et un esprit de collaboration.
Des cyberattaques ont lieu tout le temps, bien sûr, mais celle-ci a tout de même piqué notre curiosité pour plusieurs raisons !
La première était qu’il s’agissait d’une cyberattaque contre une entreprise qui connecte et gère le réseau de distributeurs automatiques de billets pour l’ensemble du pays.
En termes bancaires, c’est un gros problème, en partie parce que les réseaux de distributeurs automatiques sont une cible très juteuse, mais aussi parce qu’elle a eu lieu après une autre attaque de ransomware majeure dirigée contre Banco de Chile en juin dernier.
Quelques jours plus tard, la société de sécurité Flashpoint a affirmé que le malware utilisé contre Redbanc s’appelait PowerRatankba, une plateforme connectée au groupe nord-coréen Lazarus.
De nos jours, l’attribution d’une attaque est devenue un point d’attention majeur qui englobe souvent des thèmes plus pragmatiques enfouis plus profondément dans l’histoire en question.
L’attaque
L’un d’eux est l’affirmation du site d’information chilien selon laquelle l’attaque a commencé avec une annonce sur LinkedIn offrant un emploi de développeur, à laquelle un employé de Redbanc a répondu.
Les attaquants ont configuré un appel Skype pour faire passer un entretien au cours de laquelle la personne concernée avait été amenée à télécharger un fichier appelé ApplicationPDF.exe, envoyé via un lien web, et qui avait ensuite infecté l’ordinateur de l’employé en question.
Il existe un aspect technique concernant ce qui s’est passé par la suite, et que Flashpoint a analysé en détails en se basant sur ses connaissances des malwares utilisés.
Le malware aurait été exécuté avec suffisamment de succès pour que les attaquants puissent explorer le réseau à la recherche de nouvelles failles de sécurité. À un moment donné, cela a été remarqué et d’autres tentatives ont été bloquées.
Un point plus fondamental à retenir est qu’une société exploitant un élément essentiel de l’infrastructure bancaire permettait à des attaquants de pénétrer sur son réseau avec un appel Skype bidon.
C’est de l’ingénierie sociale, oui, mais quel type d’ingénierie sociale exactement ?
Si l’employé avait été confronté à la même technique au niveau, cette fois, d’une boîte de réception d’emails, il aurait été certainement plus vigilant, car c’est bien par ce biais que nous nous attendons à être piégés par ingénierie sociale.
En fait, les cybercriminels qui lancent des attaques par phishing et par ingénierie sociale vont essayer de s’engouffrer dans n’importe quelle brèche. Ce qui compte, ce n’est pas le canal, mais l’action que la cible est invitée à exécuter, dans ce cas, télécharger et cliquer sur un fichier.
Les entreprises peuvent réagir de plusieurs manières différentes face à une telle situation, notamment en empêchant les employés d’utiliser des applications de réseaux sociaux ou de télécharger des fichiers.
Une idée consiste à mettre les entreprises à l’épreuve avec des tests de pénétration pour voir où se trouvent ces faiblesses en matière d’ingénierie sociale avant que les attaquants ne les trouvent eux-mêmes.
Une autre consiste à demander aux employés d’authentifier avec qui ils communiquent avant d’accepter leurs fichiers. Cette simple étape pourrait permettre d’écarter bon nombre de ces attaques avant qu’elles n’ouvrent un canal de communication en direct.
Le plus important peut être de souligner une fois encore que ces attaques se produisent tout le temps et qu’elles sont souvent faciles à déjouer. Apprenez aux employés à utiliser un outil de formation tel que Sophos PhishThreat pour mieux détecter les signes précurseurs d’une attaque de phishing et de spear-phishing.
Billet inspiré de Attackers used a LinkedIn job ad and Skype call to breach bank’s defences, sur Sophos nakedsecurity.