Aujourd’hui, nous avons publié un livre blanc sur RTM, groupe de cybercriminels qui cible sans relâche des entreprises basées en Russie et dans les pays voisins à coups de campagnes discrètes mais ciblées. Ce groupe, actif depuis 2015 au moins, tire parti d’un logiciel malveillant écrit en Delphi pour épier ses victimes de diverses manières, notamment grâce à l’enregistrement de la saisie au clavier et lors de l’insertion de cartes à puce dans le système.
Le logiciel dispose de fonctionnalités permettant de télécharger des fichiers depuis le système touché sur le serveur de commandement et de contrôle (C&C). Il est également doté d’un module de détection fondé sur les empreintes numériques permettant de rechercher des systèmes sur lesquels des logiciels de comptabilité spécialisés sont installés. Le groupe est particulièrement à la recherche de traces d’un logiciel de comptabilité courant, appelé « 1C: Enterprise 8 ». Ce logiciel est notamment utilisé par les entreprises pour effectuer des transferts en masse par le biais de systèmes bancaires à distance.
Lors de l’analyse des communications réseau du bot de RTM, nous avons constaté que le groupe envoyait une requête concernant un fichier spécifique créé par « 1C: Enterprise 8 ». Ce fichier, intitulé « 1c_to_kl.txt », contient des informations concernant les transferts en masse et fait office d’étape intermédiaire pour l’exécution d’ordres de paiement par les systèmes bancaires à distance. Les cybercriminels peuvent gagner de l'argent en modifiant ce fichier texte, par exemple, en changeant les données du compte du bénéficiaire.
Le niveau de gravité de ce problème s’est avéré suffisant pour justifier l’émission d’une alerte par FinCERT, l’agence de certification russe qui a la responsabilité de lutter contre la cybercriminalité visant les institutions financières russes. Elle a ainsi averti les victimes potentielles fin 2016 que des criminels cherchaient à obtenir des fichiers d’exportation 1c_to_kl.txt. Nous savons que ce vecteur d’attaque spécifique a également été utilisé par au moins un autre groupe, dénommé Buhtrap.
Depuis longtemps déjà, des groupes tels que Corkow et Buhtrap ciblent spécifiquement les utilisateurs de systèmes bancaires à distance. Ces groupes utilisent des systèmes de porte dérobée et des outils personnalisés complexes pour subtiliser des informations à leurs victimes du monde de l’entreprise. RTM est une autre manifestation de cette tendance, qui consiste pour des criminels spécialisés à monter des attaques ciblées contre des clients d’institutions financières afin d’optimiser leurs gains financiers.
Dernièrement, nous avons constaté que d’autres groupes utilisaient des tactiques semblables en ciblant les entreprises d’autres parties du monde. D’ailleurs, l’été dernier, MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information en Suisse, a publié une lettre d’information afin d’avertir les entreprises de l’existence de groupes de pirates informatiques utilisant le logiciel malveillant Dridex pour cibler des logiciels de paiement hors ligne. Si nous n’avons jusqu’à présent relevé aucune activité de RTM en dehors des frontières de la Russie et de ses pays voisins, il ne serait pas étonnant de les voir cibler d’autres pays du monde.
Pour en savoir plus sur les activités de RTM et les outils utilisés par ces pirates informatiques, re