Artur Marciniec - Fotolia
Un autre cas de fraude sur le réseau Swift
Après la banque centrale du Bangladesh, l’organisation fait état d’une autre banque victime d’une utilisation frauduleuse de ses systèmes connectés au réseau Swift. Un faux lecteur de PDF est utilisé pour maquiller les preuves.
La banque centrale du Bangladesh s’est faite dérober 81 M$ par des pirates informatiques : ils auraient installé un logiciel malicieux sur son système de gestion des règlements Swift disposant de « fonctionnalités sophistiquées » pour interagir avec lui. Un temps, la banque et les autorités locales ont cherché à rejeter la faute sur l’organisme international, évoquant une mise à jour ayant conduit à une exposition du système. Mais la posture de sécurité de la banque avait déjà été mise en cause et Swift ne s’est pas privé de réagir en soulignant que la banque centrale du Bangladesh « est responsable de la sécurité de ses propres systèmes s’interfaçant avec le réseau Swift, et de celle de leur environnement - en commençant par des pratiques de protection par mot de passe de base ».
Mais voilà, BAE Systems a très vite évoqué la possibilité d’une opération plus vaste, faisant état d’un logiciel malveillant semblant faire partie « d’une trousse à outils d’attaque plus vaste […] hautement configurables et qui pourraient être utilisés pour de prochaines attaques similaires ». Un avis auquel semble désormais se ranger Swift.
Car entre temps, une seconde banque, commerciale cette fois-ci, a été victime d’un détournement frauduleux de ses systèmes de gestion des règlements Swift. Là encore, « les attaquants ont exploité des vulnérabilités dans les environnements d’initiation de transferts de fonds des banques, avant que les messages ne soient envoyés sur Swift ». Les cybercriminels impliqués ont donc réussi à « contourner les principaux contrôles mis en place par les victimes » et à « falsifier les déclarations et confirmations que les banques utilisent parfois comme contrôle secondaire, retardant ainsi la capacité de la victime à identifier la fraude ».
Dans le cas présent, la falsification s’appuie sur un faux lecteur PDF, prenant toutefois l’apparence du logiciel légitime : « lors de l’ouverture de fichiers PDF contenant des rapports locaux de messages de confirmation Swift spécifiques aux clients, le cheval de Troie manipule les rapports PDF pour effacer les traces des instructions frauduleuses ».
Pour Swift, face à ce qui « est clairement une campagne hautement adaptative visant les terminaux de paiement des banques », il est « urgent » que les banques utilisatrices de ses services « vérifient les contrôles dans leurs environnements de paiements, vers tous leurs canaux de messagerie, de paiement et de e-banque ». Et il n’est pas question de prendre la menace à la légère : cette vérification doit couvrir « tout, depuis la vérification des employés jusqu’aux cyberdéfenses en passant par la protection par mots de passes ».
FireEye, impliqué dans l’enquête au Bangladesh, assure de son côté avoir trouvé les empreintes numériques de groupes de pirates originaires du Pakistan et de Corée du Nord. Mais un troisième groupe est impliqué et serait le véritable responsable de l’attaque. Là, hélas, il n’y aurait pas encore suffisamment d’éléments pour déterminer s’il s’agit un réseau criminel ou d’un acteur à solde d’un état.