En avril 2013, l’assistante d’un vice-président d’une multinationale basée en France reçoit un message faisant référence à une facture et son lien pointant vers un système de partage de fichier très populaire. Quelques minutes plus tard, cette même assistante reçoit un appel téléphonique d’un “autre” vice-président de l’entreprise, l’enjoignant de procéder immédiatement au paiement de cette facture; cette personne parle avec autorité, dans un excellent Français.
Seulement voilà, la facture est un faux et le vice-président au téléphone un escroc !
La facture supposée contient en réalité un cheval de Troie de type RAT (Remote Access Tool) configuré pour contacter un serveur de Command&Control situé en Ukraine. Grâce au RAT, l’attaquant prend le contrôle de la machine de l’assistante, enregistre les frappes au clavier, peut voir l’écran, inspecte puis exfiltre des fichiers.
Ce modus operandi, utilisant un message suivi d’un appel téléphonique est très inhabituel et le signe d’une campagne d’ingénierie sociale très agressive. Les premiers éléments de cette attaque ont été publiés en mai 2013, mais des investigations plus approfondies ont permis d’en savoir plus sur ces attaques/arnaques, qui d’ailleurs se poursuivent à cet instant…
Banques, entreprises et organisations ont mis en place des mesures pour prévenir les transferts d’argent non-autorisés. Cependant, les attaquants rivalisent d’inventivité pour déjouer ces mécanismes défensifs.
Par exemple, voici ce que l’on a pu voir lors de la même attaque :
Lors d’une autre affaire, l’attaquant utilise directement le système propriétaire interne de transfert de fonds de l’entreprise, celui-ci nécessitant une authentification à double facteur (via un “token” matériel).
Dans cette opération :
Lors d’une autre attaque, les attaquants n’ont utilisé aucun logiciel malveillant.
Dans ce cas :
Basé sur les investigations effectuées, plusieurs organisations différentes, mais toutes basées en France ont été touchées. Le but final de l’attaquant était toujours de transférer des fonds de la compagnie vers des comptes offshore.
Figure 1. Industries ciblées par l’opération “Francophoned”
Dans la plupart des cas, la première victime est assistant(e) ou comptable dans l’organisation. Dans les cas ou la victime initiale n’a pas les droits suffisants pour virer des fonds, l’attaquant usurpe son identité pour identifier la personne au département comptable ou financier ayant l’autorité adéquate, puis prend le contrôle de sa machine via d’autres actions de manipulation.
En examinant les messages et le trafic vers les serveurs de C&C, il a pu être déterminé que l’attaquant est situé, ou fait transiter ses attaques depuis Israël. Ces adresses IP sources sont cependant inhabituelles car appartenant à un netblock d’une compagnie de téléphonie mobile Israélienne. Suite aux analyses de trafic plus poussées, il a été possible de déterminer que les attaques proviennent bien d’un réseau mobile, mais plus important, que l’attaquant utilise des cartes MiFi.
Figure 2. Trafic C&C de l’opération “Francophoned”
Les cartes MiFi sont des GSM radio-cellulaires (équivalentes à un téléphone mobile) qui offre un accès internet à un ordinateur via un réseau téléphonique mobile. Ceci permet d’offrir l’anonymat à l’attaquant lorsque la carte SIM de la carte MiFi est achetée en liquide en boutique. De nombreux fournisseurs 3G de par le monde autorisent l’achat de carte prépayées sans vérifier l’identité de l’acheteur. Dès lors, les informations du fournisseur d’accès ne permettent pas de remonter à un individu.
Plus surprenant encore, l’analyse du trafic indique que l’attaquant se déplaçait lors des attaques, le rendant extrêmement difficile à suivre. L’emploi de telles techniques montrent la complexité accrue des méthodes déployées par les attaquants. Localiser une carte MiFi en mouvement demande en effet des ressources terrain équipés d’outils spécifiques et de l’aide du fournisseur d’accès pour en trianguler la position.
L’opération “FRANCOPHONED” démontre à quel point la sophistication des opérations cyber-criminelles s’est accrue au cours du temps. Une tendance qui va sans aucun doute s’installer dans la durée.
Symantec souhaite remercier les équipes du “Computer Emergency Response Team” Ukrainien (CERT-UA) pour leur assistance lors de ces recherches.