Comment une simple coïncidence a fait dérailler le cybercasse du siècle en 2016
Ce vendredi 5 février 2016, à Dacca, quelque chose ne tourne pas rond à la Bangladesh Bank, la banque centrale du pays éponyme.
Dans l’urgence, la banque centrale réussit à annuler un transfert de 20 millions de dollars. Mais elle doit faire une croix sur 81 millions qui s’évaporent aux Philippines. Et encore, la Bangladesh Bank a eu de la chance. L’essentiel des demandes de transfert initiées à travers la plateforme Swift (pour Society for worldwide interbank financial telecommunication), ce système utilisé par les institutions financières du monde entier, ont été bloquées à cause d’une simple coïncidence.
Un cybercasse qui a marqué le secteur
L’une des succursales bancaires de destination pour les virements les plus importants (951 millions de dollars en tout) avait en effet pour adresse Jupiter Street, à Manille. Or « Jupiter » est le nom d’une compagnie maritime blacklistée pour ne pas avoir respecté l’embargo international contre l’Iran. La transaction a donc été automatiquement bloquée par la Réserve fédérale de New-York, aux Etats-Unis, qui gère les comptes en dollars de la banque centrale de Dacca.
Mais même s’il est loin d’avoir atteint ses objectifs initiaux, ce cybercasse est resté dans les annales. Bien qu’ils aient finalement commis une erreur qui leur a coûté cher, le mode opératoire des attaquants s’est révélé particulièrement ingénieux. Pour siphonner les comptes de la Bangladesh Bank, les auteurs du casse ont discrètement pris le contrôle de l’informatique de la banque centrale. De manière à pouvoir opérer ensuite des virements légitimes dans le système Swift, effacés ensuite des archives des ordinateurs locaux.
Pirater l'imprimante pour dissimuler les transferts
Pour faire main basse sur des identifiants légitimes d’employés de la banque centrale, les hackers ont eu recours à la technique du hameçonnage. Ainsi, un mail de janvier 2015, une fausse demande d’emploi, contenait un lien frauduleux, soi-disant vers un CV et une lettre de motivation. Après être entrés dans les murs, les pirates ont discrètement pris le contrôle, un à un, des ordinateurs. Restait enfin la dernière touche finale : pirater l’imprimante du dixième étage pour dissimuler les transferts. Et choisir avec soin la date du cybercasse, si possible la veille d’un week-end. Avec le résultat que l’on sait.
Très rapidement, la Corée du Nord est soupçonnée d’avoir joué un rôle dans le braquage. L’éditeur Symantec signale ainsi, en mai 2016 des similitudes dans le code avec des techniques déjà employées par le groupe Lazarus. Un gang observé par les chercheurs en sécurité depuis la fin des années 2000 et soupçonné d’avoir des liens étroits avec le régime de Pyongyang. Des indices qui conduisent la justice américaine à inculper en septembre 2018 un informaticien nord-coréen, Park Jin Hyok, toujours recherché par le FBI, poursuivi pour ce cybercasse d’Etat.
Qu’un Etat souverain devienne le principal suspect d’une affaire plus proche du grand banditisme est plutôt surprenant. Mais l’hypothèse est crédible, tant le régime nord-coréen, frappé par des sanctions financières à cause des ses programmes militaires, est aux abois. Il aurait même industrialisé le concept, avec une une équipe de pirates informatiques, les « BeagleBoyz », chargés spécifiquement des attaques de banque et autres vols de cryptomonnaie. Des activités cybercriminelles qui sont aujourd’hui « probablement une source majeure du financement » de la dictature, selon le Cert américain.
Ceci est le 5e volet de notre série « Les 5 affaires qui ont marqué la cybersécurité. Le premier était consacré à Cryptolocker, le premier ransomware moderne. Le 2e a un logiciel vérolé que les Américains ont volontairement refilé aux Soviétiques pendant la guerre froide, le 3e à la menace Michelangelo, et le 4e au ver Wank infiltré dans des ordinateurs de la Nasa.