Cybercriminalité : le Silence est d’or

Cybercriminalité : le Silence est d’or

Si le braquage de bourses d’échange de cryptomonnaies est presque devenu monnaie courante parmi les cybercriminels, certains n’hésitent pas à s’attaquer aux banques traditionnelles. Le groupe Silence fait partie de ces acteurs malveillants, qui disposent des capacités techniques pour s’attaquer à des établissements bancaires. Actif depuis 2016, celui ci a été mis en lumière pour la première fois par la publication d’un rapport de la société Group-IB en 2018 qui décrivait l’activité et les outils de ce groupe. Le nom de « Silence » attribué au groupe vient du fait que ceux ci avaient pour habitude de rester particulièrement discrets entre deux opérations, respectant une période de silence radio avant de lancer une nouvelle campagne d’attaques. Suite à cette publication initiale, d’autres chercheurs se sont penchés sur la question et c’est maintenant au tour du Cert-FR et des chercheurs de l’Anssi de publier leur propre rapport sur ce groupe.

Pour l’instant, Silence ne s’est pas attaqué à des établissements français. Mais comme le soulignait Group IB dans ses publications de 2019, Silence étend géographiquement le spectre de ses cibles, passant progressivement d’établissements bancaires russes à des organisations situées en Europe et à l’international. Sur les années 2018/2019, Group IB indiquait ainsi avoir repéré 16 campagnes actives attribuées au groupes, dont 7 ayant été couronnées de succès : les établissements victimes du groupe se retrouvent en Russie, mais aussi en Inde, en Amérique du sud (Chili, Costa Rica) et dans des pays européens tels que la Bulgarie. Si dans ses premiers temps, le groupe visait avant tout des établissements bancaires ne bénéficiant pas de la conformité PCI-DSS (Certification mondiale sur la sécurité des données), l’agence indique qu’au cours des derniers mois, Silence a gagné en sophistication et élargi son spectre de victimes potentielles. « Au total, de juin 2016 à juin 2019, Silence aurait dérobé environ 4,2 millions de dollars à des banques » indique l’Anssi, qui s’appuie ici à nouveau sur les conclusions de Group IB.

publicité

Faire sauter la banque

Le rapport de l’Anssi décrit le mode opératoire des membres du groupe Silence. Le vecteur d’infection initiale utilisée le plus fréquemment par Silence est l’utilisation de mails de phishing ciblés, se faisant parfois passer pour des institutions bancaires connues ou envoyées depuis des adresses légitimes d’employés d’institutions précédemment compromis par le groupe. Ces mails contiennent des pièces jointes malveillantes, qui peuvent prendre la forme de documents contenant des macros ou des exploits, ou encore d’un fichier .lnk. Une fois la pièce jointe ouverte par l’une des cibles, le groupe a recours à des outils logiciels pour la plupart développés en interne (Truebot et Ivoke) afin de se propager sur le système et de télécharger d’autres modules (Silence.mainmodule, EmpireDNSAgent ou Cardcam) qui sont utilisés pour analyser et comprendre le fonctionnement du SI de la cible.

Une fois en place dans le système d’information, les attaquants visent les applications de contrôle des distributeurs automatiques de billets via une injection de fichier DLL (Atmosphere). « Une fois activée, elle permet aux attaquants :

  • d’exécuter une commande pour récupérer des informations sur le contenu des cassettes du DAB ;
  • de contrôler à distance les retraits d’argent, en envoyant une commande au DAB ;
  • ou de contrôler physiquement le DAB, en tapant une combinaison spécifique sur le clavier du DAB » explique l’Anssi.

L’agence indique que le groupe Silence viserait également dans certains cas le système de traitement de carte bancaire du système d’information de la banque victime. « Lorsque des attaquants ont accès au système de traitement de carte, l’argent peut être retiré dans n’importe quel DAB de n’importe quelle banque depuis n’importe quel pays. En revanche, lorsque des attaquants compromettent directement l’application de gestion de DAB, les mules doivent se déplacer là où se trouve la banque victime afin de pouvoir retirer l’argent. Ce fût le cas lors de l’attaque de Silence contre la banque bangladaise DBBL en mai 2019 » analyse le rapport de l’agence.

L’Anssi n’évoque aucune compromission d’établissement français, mais indique avoir repéré des serveurs installés chez OVH qui communiquaient avec l’infrastructure utilisée par Silence pour mener ses attaques. Le groupe, qui restait à ses débuts dans l’ombre d’autres groupes connus type Carbanak, a évolué au cours des derniers mois. « A ses débuts, Silence commettait des erreurs au cours de ses attaques, et mimait des techniques provenant d’autres groupes. […] Aujourd’hui, Silence est l’un des groupes cybercriminels les plus actifs et sophistiqués contre le secteur bancaire » conclue l’Anssi, qui publie en annexe de son rapport plusieurs indicateurs de compromission à destination des RSSI d’établissement bancaires. On peut également rappeler les rapports détaillés publiés par Group-IB sur ce groupe, que la société de cybersécurité suit de prés.

Leave a Reply

Your email address will not be published. Required fields are marked *