Alors que les pirates du monde entier s’appuient sur les e-mails et les messages texte pour violer les réseaux, un groupe criminel infâme semble se tourner vers le facteur pour livrer son code malveillant.
Des logiciels malveillants créés par FIN7, qui, selon les chercheurs, ont volé plus d’un milliard de dollars ces dernières années, ont été livrés par le service postal américain à plusieurs organisations ces derniers mois, selon la société de sécurité FireEye.
Le code est fourni sur des clés USB qui, une fois insérées dans un ordinateur, installent une «porte dérobée» connue sous le nom de Griffon qui peut entraîner le vol de données sensibles. Le code malveillant, que plusieurs sociétés de sécurité ont attribué à FIN7, s’enfonce dans l’ordinateur cible et balise le groupe pour obtenir des instructions supplémentaires. Le nombre de livraisons USB ayant entraîné des violations de réseau n’est pas encore clair. FireEye a déclaré que son enquête était en cours.
Les tentatives de piratage soulèvent des questions sur la façon dont un groupe pensait être basé en Europe de l’Est, et que les responsables américains ont chassé pendant des années, a pu faire livrer leurs logiciels malveillants en mains propres à des organisations américaines.
FIN7 utilise peut-être un «intermédiaire ou une mule involontaire aux États-Unis», bien que des preuves concrètes restent insaisissables, a déclaré Barry Vengerik, directeur technique de FireEye.
Dans un cas, quelqu’un a expédié un logiciel malveillant FIN7 à une grande entreprise du secteur hôtelier américain avec une carte-cadeau de Best Buy. Une lettre de langue anglaise datée du 12 février affirmant provenir d’un responsable des relations avec la clientèle de Best Buy contenait le périphérique USB malveillant. La société de cybersécurité Trustwave a déclaré un de ses clients repéré l’appareil suspect et ne l’a pas branché.
Le bureau local du FBI à Seattle a tweeté jeudi un avertissement concernant des clés USB malveillantes arrivant par courrier.
Avez-vous reçu une clé USB non sollicitée comme celle-ci par la poste? Cela peut être une tentative de compromettre votre ordinateur. Si vous recevez une clé USB, veuillez contacter votre #FBI Bureau. pic.twitter.com/Zu93rSJnyt
– FBI Seattle (@FBISeattle) 27 mars 2020
Ce n’est que la dernière astuce d’ingénierie sociale d’un groupe de piratage qui hante les hôtels et les détaillants depuis des années. Les procureurs américains ont arrêté l’administrateur informatique de FIN7, qui a plaidé coupable en septembre, bien que le piratage se soit poursuivi. Le groupe est si bien formé que certains chercheurs le considèrent comme une «menace persistante avancée» ou un groupe parrainé par l’État. Ils sont aussi méticuleux au point de appeler les victimes avant et après l’envoi d’un e-mail de phishing pour les faire cliquer dessus.
« Dans le passé, nous avons vu FIN7 échanger des dizaines de courriels avec leurs victimes avant d’envoyer les charges utiles malveillantes », a déclaré Félix Aimé, chercheur principal en sécurité à la société antivirus Kaspersky. «Ces nouvelles campagnes utilisant des appareils physiques sont la continuation directe de leurs campagnes d’ingénierie sociale hautement sophistiquées.»
La livraison d’une clé USB est une tactique populaire parmi les «équipes rouges» et les testeurs de pénétration – des professionnels de la cybersécurité embauchés pour évaluer la sécurité d’une organisation. Mais il semble être moins courant chez les pirates malveillants.
FIN7, cependant, a été connu pour diriger au moins une fausse entreprise de cybersécurité qui emploie des traducteurs et des testeurs de pénétration qui peuvent ne pas se rendre compte qu’ils travaillent pour des criminels. Parfois, l’apparence étrange d’une clé USB n’est pas un test.