Un groupe de hackers surnommé "FIN4" par FireEye se serait spécialisé dans les attaques ciblées par phising, pour tenter d'obtenir des informations confidentielles d'une centaine d'entreprises cotées en bourse, en particulier sur leurs opérations de fusions et acquisitions.

Le cabinet de sécurité informatique FireEye a publié lundi les premiers résultats d'une enquête qu'il mène sur un groupe de hackers encore non identifié, qu'il surnommé "FIN4", dont l'objectif serait de glaner un maximum d'informations sur des opérations en cours de fusion ou d'acquisition d'entreprises. Si le fait de recourir au piratage de données pour se prêter à des délits d'initiés n'est pas chose inédite, c'est l'ampleur qui étonne FireEye.

Depuis mi-2013, le groupe aurait en effet visé plus d'une centaine d'entreprises cotées en bourse, essentiellement dans le secteur de l'industrie pharmaceutique et médicale, de façon très ciblée et relativement sophistiquée, certainement dans l'espoir d'obtenir en amont des informations confidentielles sur les rachats d'entreprises, pour vendre ou acheter des actions avant que les projets ne soient concrétisés ou officialisés. 

Le schéma de l'attaque semble bien rodé. Grâce à des techniques de phishing renforcées par de l'ingénierie sociale, FIN4 commencerait par obtenir l'accès aux e-mails d'un cadre d'un premier cabinet de conseils en opérations d'achats ou fusions, pour connaître ses dossiers en cours. Le groupe de hackers profiterait alors de cet accès pour envoyer un e-mail de phishing personnalisé dans un anglais parfait à un autre contact, d'une autre société de conseil, et ainsi remonter jusqu'à la société cotée, en se faisant passer pour les conseillers :

Outlook Web App particulièrement visé ?

Pour obtenir les identifiants et mots de passe des e-mails, les hackers enverraient des documents Word ou Excel réellement utilisés dans les entreprises visées, enrichis par des macros VBA qui permettent de générer des boîtes de dialogue qui demandent les identifiants, renvoyés alors vers un serveur distant sous contrôle des pirates. Parfois, ceux-ci renvoient plutôt vers un site de phishing qui se fait passer pour Outlook Web App, l'application en ligne de Microsoft qui donne accès à la messagerie Office 365 Entreprise ou  Microsoft Exchange. Le rapport de FireEye ne cite aucun autre outil professionnel que ceux de Microsoft.

Les informations sur les fusions et acquisitions ne sont pas les seules visées. Selon FireEye, le groupe chercherait aussi à obtenir des documents sur les produits en cours de développement, ou sur les difficultés juridiques rencontrés par l'entreprise. Mais il s'agit à chaque fois d'informations qui peuvent influer sur le cours de bourse lorsqu'elles sont rendues publiques.

Aucune information n'est communiquée sur le succès ou non de ces tentatives de piratage. Le cabinet de sécurité informatique estime que l'attaque est menée directement depuis les Etats-Unis, ou l'Europe de l'Ouest, et précise que le groupe prend toutes les précautions utiles pour se cacher, allant jusqu'à créer dans Outlook Web App une règle de tri qui supprime d'office tout message susceptible de prévenir d'un "hack", d'un "piratage", ou d'un "phishing". Les pirates utiliseraient Tor pour se connecter aux serveurs de contrôle, masquant ainsi leur réelle adresse IP et leur localisation.

Partager sur les réseaux sociaux

Articles liés