BFM Tech

L’ombre de la Corée du Nord plane sur les cyberattaques du réseau bancaire Swift

-

- - -

Plusieurs banques ont été récemment victimes de transferts de fonds frauduleux basés sur des virements Swift. Certains indices techniques mènent vers un groupe de hackers lié à la Corée du Nord.

Une campagne de piratage sophistiquée cible actuellement le secteur financier dans le monde entier, au travers du réseau interbancaire Swift (Society for Worldwide Interbank Financial Telecommunication). C’est l’organisation elle-même qui le dit dans une lettre adressée à ses clients, dans laquelle elle révèle une récente attaque visant une banque commerciale. Des pirates ont réussi à infiltrer les systèmes de cet établissement pour initier des transferts de fonds par le réseau Swift. Ils ont également été capables de falsifier des déclarations ou des confirmations auxquelles recourent les banques pour des contrôles complémentaires, afin de retarder la découverte de la fraude. Ils ont en particulier piraté un logiciel de lecture PDF pour modifier le contenu des messages de confirmation envoyés par le réseau Swift.

Sur le plan opérationnel, cette attaque est similaire à celle qui a eu lieu en février dernier, lorsque des pirates ont réussi à voler 81 millions de dollars de la Banque centrale du Bangladesh en initiant de faux virements Swift à partir de son compte à la Réserve fédérale des Etats-Unis vers différents comptes aux Philippines.

Dans ce cas, les pirates ont réussi à cacher le pot aux roses en modifiant, notamment, les impressions papier des messages de confirmation. La nouvelle attaque montre que le précédent "incident" n'était pas un événement isolé, "mais fait partie d'une campagne plus élargie et aux capacités d'adaptation élevées qui s'en prend aux banques", estime Swift.

L’organisation précise que la sécurité de son infrastructure n’est pas en cause. "Nous souhaitons vous assurer que ni le réseau Swift, ni les systèmes de messagerie Swift, ni le logiciel n'ont été compromis", souligne la société dans sa lettre. Dans les deux cas, en effet, les pirates ont usurpé l'identité d'un opérateur back-office de la banque pour créer et envoyer leurs virements.

La piste remonte vers la piratage de Sony Pictures

Qui se cache derrière cette nouvelle campagne? C'est évidemment difficile à dire. Les chercheurs en sécurité de BAE Systems ont néanmoins mis la main sur un malware qui a été utilisé dans une banque commerciale vietnamienne pour effectuer des virements frauduleux par le réseau Swift. Ce logiciel malveillant était similaire à celui utilisé dans le piratage de la Banque centrale du Bangladesh. Ils s'appuyaient notamment sur le même code source. Or, certaines parties de ce code peuvent être reliés aux malwares d'un groupe de d'excellents hackers, baptisé "Lazarus".

Selon un rapport d'analyse publié en février dernier (Operation Blockbuster) ces hackers étaient, entre autres, à l'origine du cybersabotage de Sony Pictures en 2014 pour laquelle les Etats-Unis avait clairement accusé la Corée du Nord. Ils étaient également à l'origine d'une vaste campagne de cyberattaques contre des médias et des instituts financiers de la Corée du Sud entre 2009 et 2013. Lazarus est donc probablement un groupe de hackers soutenu par le gouvernement de Pyongyang. Et il est lié, d'une manière ou d'une autre, aux récentes cyberattaques bancaires. L'analyse de BAE Systems n'est pas une preuve irréfutable, mais constitue "un indice important dans l'enquête", estiment les chercheurs.

lire aussi

L'inquiétant retour des hackers responsables du "casse du siècle", le 08/02/2016