Denys Rudyi - Fotolia
Attaques sur les systèmes SWIFT : quand les fraudeurs attaquent l’anti-fraude
Les récentes révélations d’attaques contre des banques connectées au réseau Swift remettent en lumière une évolution des cibles pour les cybercriminels. Non content d’attaquer les systèmes métiers, ils ajoutent à leur cibles les systèmes anti-fraude pour maximiser leurs gains.
Les récentes révélations d’attaques contre la banque du Bangladesh ou au Vietnam remettent en lumière une évolution des cibles pour les cybercriminels. Non content d’attaquer les systèmes métiers pour détourner de l’argent, ils ajoutent à leur cible les systèmes anti-fraude pour maximiser leurs gains et masquer au mieux leurs opérations. Retour sur ces affaires emblématiques et les bonnes pratiques à en tirer.
Les systèmes anti-fraude des cibles essentielles
Les cybercriminels ont bien compris que toute tentative directe de réalisation de virements frauduleux est tracée et génère des alertes. Dans le cas de l’attaque contre la banque du Bangladesh ou au Vietnam, ils ont donc pris le temps de concevoir des malwares d’un haut niveau de technicité pour déjouer les alertes.
Ces codes malveillants avancés sont par exemple capables de piéger le lecteur de fichier PDF sur le PC recevant les compte-rendu d’opérations pour en supprimer les lignes frauduleuses lors de l’affichage. Ces malwares peuvent aussi piéger les logiciels SWIFT présents dans la banque pour analyser en temps réel les virements. Lorsque que certains critères spécifiques sont détectés, le malware va supprimer les traces, aussi bien numériques (effacement des lignes dans la base de données) que papiers (interception et manipulation de l’ordre d’impression) mais également modifier l’affichage des soldes des comptes.
Ces comportements sont clairement l’œuvre d’attaquants ayant pris le temps d’acquérir puis d’analyser les systèmes ciblés en détail et disposant d’un haut niveau de technicité. Cependant, ce qu’il ne faut pas oublier, c’est que pour que ce malware puisse jouer son rôle, il a dû être introduit sur les systèmes hébergés au cœur du réseau de la banque. Les investigations sont encore en cours et plusieurs scénarios sont aujourd’hui étudiés, entre complicité interne, tiers mainteneur malveillants, et/ou piégeage en profondeur du SI par un attaquant externe qui aurait pu être facilité par un faible niveau de sécurité.
Pourquoi ces systèmes sont fragiles ?
Les systèmes anti-fraude sont soit des systèmes dédiés, présents au cœur du SI, dans un chaîne applicative complexe ou des modules additionnels dans des applications métiers plus larges. Ces systèmes sont souvent considérés comme essentiels fonctionnellement, ce sont eux qui « protègent » les transactions. Mais leur position « au fin fond » du SI et leur faible exposition (nombre réduit d’utilisateurs internes ou externes, pas d’exposition sur Internet ou aux clients…) font souvent oublier qu’il s’agit aussi de systèmes informatiques qui peuvent être la cible d’une attaque !
Premières actions et critères de priorisation
Les premières actions sont claires : il s’agit de vérifier le niveau de sécurité des systèmes anti-fraude, qu’ils soient intégrés dans une application métier ou des applications dédiées. Ont-ils été audités récemment ? Qui sont les utilisateurs et utilisent-ils des ordinateurs suffisamment sécurisés ? Comment ces systèmes ont-été conçus ? Par qui et depuis où sont-ils administrés ? Quelles sont les mesures de contrôle d’accès et de surveillance en place ?
Ces questions doivent être posées aussi bien pour les systèmes développés en interne que pour ceux acquis chez un éditeur de progiciel ou fonctionnant via des tiers externes. N’oublions pas que l’attaque contre les distributeurs de billets aux États-Unis avait été réussie car les plafonds de retraits avaient été déverrouillés chez des prestataires tiers aux États-Unis et en Inde.
Face à l’ampleur du travail à réaliser, une priorisation sera nécessaire. Celle-ci doit être réalisée pas uniquement en fonction des grilles de risques classiques de l’entreprise, mais bien en se mettant dans la position d’un cybercriminel qui tente de vous attaquer. Quelle sera la cible la plus simple et la plus lucrative ?
Dans le cas des attaques récentes, les systèmes SWIFT ont certainement été visés car ils sont très largement répandus dans le monde. L’effort de « R&D » nécessaire pour réaliser l’attaque pourra être rentabilisé sur plusieurs attaques dans le monde. Mais parfois l’attaque peut toucher des systèmes spécifiques et internes, en analysant et modifiant les informations directement dans les bases de données sous-jacentes comme cela a été les cas lors de l’attaque Anunak/Carbanak.
La notion de confiance « aveugle » dans les fournisseurs et les équipes internes doit disparaître. Chaque système, qu’il soit dédié aux actions métiers ou à l’anti-fraude, peut être attaqué, il faut analyser le problème dans sa globalité et prioriser les efforts en fonction des priorités pour les cybercriminels eux-mêmes !
Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Solucom. Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateur du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.
Pour approfondir sur Cyberdélinquance
-
Cryptojacking : perfctl détourne les machines Linux pour miner des cryptodevises
-
Le concept de cyberstockage se concrétise chez les hyperscalers
-
Ransomware : Cybereason met en garde contre une campagne Black Basta expéditive
-
L’industriel Norsk hydro victime d’un ransomware, avec une attaque probable sur Active Directory