Symantec souligne la multiplication d’attaques de nature similaire autour du Golfe de Guinée visant des institutions financières.

Symantec, géant de la cybersécurité américain, met en avant les compétences de son dernier né — le Targeted Attack Analytics (TAA), un programme propulsé à l’intelligence artificielle, de détection et prévention des menaces. « L‘arme fatale » concède Laurent Heslault, Directeur des stratégies Sécurité chez Symantec France — en remettant sur le devant de la scène des attaques passées presque inaperçues jusqu’alors.

Avec cette série d’attaques ayant pris pour cible des institutions financières africaines, l’entreprise américaine montre la popularité auprès des cybercriminels de méthodes de dissimulation avancées et de fait, l’efficacité de son approche automatisée.

Mondialisation de la cyber-criminalité

Les quatre types d’attaques découvertes depuis 2017 par le programme TAA en Afrique montrent une similarité : les acteurs malveillants utilisaient à leur profit des logiciels déjà présents sur les postes de travail afin rendre indétectable leur intrusion. Pour Symantec, les acteurs malveillants ont, à plusieurs reprises, employé la méthode tactique dite « living off the land », littéralement vivre de la terre, qui, techniquement, consiste à utiliser les outils déjà présents sur le poste à infecter. En l’occurrence, les attaquants ont utilisé PowerShell, PsExec, RDP et UltraVNC (deux outils de prise de contrôle à distance), pour parvenir à leurs fins.

Image d'erreur

Basilique Notre-Dame de la Paix de Yamoussoukro, Côte d’Ivoire, 2013 jbdodane

Les attaques ont également, souligne Symantec, la même propension à utiliser des logiciels malveillants répandus et communs. Ce qui limite leur efficacité et la performance des attaques, mais assure un certain anonymat. Si bien que Symantec n’est pas parvenu à attribuer ces incidents. L’entreprise pense à une série de groupes d’assaillants.

Par-delà la ressemblance des attaques qui témoigne d’une vraie popularité des tactiques living off the land, l’arrivée de menaces importantes à l’encontre des banques et organisations africaines — Côte d’Ivoire, Ghana, Guinée Équatoriale, Cameroun et R.D.C. –, racontent une mondialisation de la cyber-criminalité. « Jusqu’à présent, écrit l’entreprise, Symantec avait trouvé peu d’attaques ciblant les secteurs financiers en Afrique de l’Ouest ».

À l’instar de la « retombée » des attaques sur les intermédiaires et partenaires commerciaux des cibles sensibles en Occident — des cibles devenues très protégées –, l’attaque de leurs partenaires remporte plus de succès, car les cibles sensibles de certaines régions moins bien protégées gagnent en attractivité pour les attaquants. Laurent Heslault,  confirme : « les cyber-criminels suivent l’argent : lorsqu’une porte blindée est dressée, ils prennent d’autres cibles avec un rendement similaire pour moins de difficultés d’attaque ». Si M. Heslault confirme qu’aucune partie du monde n’est épargnée par la cyber-criminalité, il concède que l’attaque est la première de la sorte dans la zone.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !