Casse SWIFT de la Bangladesh Bank
Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.
- Victime
- Bangladesh Bank
- Perte
- $81.0M
Le 4 février 2016, des opérateurs du Lazarus Group nord-coréen ont émis 35 instructions de virement SWIFT MT103 frauduleuses d'une valeur d'environ 951 millions de dollars depuis le compte de réserve de la Bangladesh Bank à la Federal Reserve Bank de New York. La plupart ont été interceptées par un coup de chance — une faute de frappe sur un virement a déclenché la vérification manuelle des autres — mais 81 millions de dollars se sont tout de même échappés dans le système financier philippin et se sont avérés effectivement irrécupérables.
Ce qui s'est passé
Les opérateurs de Lazarus étaient présents sur le réseau de la Bangladesh Bank depuis environ un an, ayant obtenu l'accès via le spearphishing d'employés de la banque et cartographiant lentement les procédures internes de la banque, y compris les postes de travail connectés au système SWIFT Alliance Access utilisé pour émettre les instructions de virement international vers la Fed.
Dans la nuit du 4 février 2016 — un jeudi, à la veille du week-end vendredi-samedi du Bangladesh — les opérateurs ont émis les 35 instructions de virement en succession rapide :
- 20 millions de dollars à la Pan Asia Banking, au Sri Lanka, ostensiblement à destination de la « Shalika Foundation ».
- 81 millions de dollars en quatre virements à la RCBC Bank à Manille, sur des comptes sous des noms fictifs.
- 30 virements supplémentaires totalisant environ 850 millions de dollars, également à destination de la RCBC de Manille.
Les opérateurs ont simultanément déployé un logiciel malveillant sur mesure qui a neutralisé l'imprimante locale de confirmation des messages SWIFT de la banque, retardant la détection interne.
L'opération a commencé à se défaire parce que le bénéficiaire du virement au Sri Lanka était mal orthographié en « Shalika Fandation » au lieu de « Shalika Foundation ». L'équipe de conformité de la Deutsche Bank, traitant le virement en tant que correspondant, a signalé l'orthographe pour une vérification manuelle. Cette vérification a déclenché un examen du lot de virements plus large — et la Fed de New York a signalé les 30 virements restants totalisant 850 millions de dollars avant leur exécution.
Les 81 millions de dollars déjà acheminés vers la RCBC de Manille ont transité par des comptes ouverts avec des documents KYC falsifiés, ont été convertis en pesos philippins et virés vers plusieurs casinos philippins. Depuis les comptes des casinos, les fonds ont été convertis en jetons de jeu, mis en circulation à travers le jeu, puis retirés. Au moment où la Bangladesh Bank a averti les autorités, la piste avait effectivement été blanchie.
Impact
- 81 millions de dollars dérobés des réserves de la Bangladesh Bank. Environ 18 millions de dollars ont finalement été récupérés auprès de la RCBC ; environ 63 millions de dollars demeurent introuvables.
- Le gouverneur de la Bangladesh Bank et plusieurs gouverneurs adjoints ont démissionné à la suite de l'incident.
- La RCBC Bank s'est vu infliger une amende de 1 milliard de pesos (environ 20 M$) par la Bangko Sentral ng Pilipinas, la plus grosse amende jamais imposée par les régulateurs bancaires philippins.
- Le Customer Security Programme du réseau SWIFT a été créé en réponse, imposant des contrôles de sécurité de base et des attestations clients pour chaque institution connectée.
Attribution
En septembre 2018, le ministère américain de la Justice a rendu public un acte d'accusation nommant l'opérateur de Lazarus Park Jin Hyok comme participant à la casse de la Bangladesh Bank, aux côtés de l'attaque de Sony Pictures en 2014 et de l'épidémie WannaCry en 2017. Le dossier d'expertise a relié les trois opérations via du code de logiciel malveillant partagé, une infrastructure de commande et de contrôle et des défaillances d'OPSEC des opérateurs.
L'évaluation américaine est que l'opération a été menée par le Reconnaissance General Bureau de la Corée du Nord en tant que vol financier commandité par l'État pour contourner les sanctions internationales et financer les programmes d'armement de la RPDC.
Pourquoi c'est important
La Bangladesh Bank est le cas emblématique des attaques commanditées par un État contre l'infrastructure mondiale de messagerie financière. L'opération a démontré :
- Que les postes de travail connectés à SWIFT sont des actifs critiques nécessitant une sécurité de niveau bancaire, et non des contrôles informatiques d'entreprise génériques.
- Que les fautes de frappe et les pannes d'imprimante peuvent constituer des signaux de détection déterminants — la casse a failli réussir entièrement, n'étant bloquée que par un nom de bénéficiaire mal orthographié et une banque correspondante vigilante.
- Que la récupération d'actifs entre juridictions après une fraude est extraordinairement limitée ; une fois que les fonds atteignent un système bancaire non coopératif et sont blanchis via des casinos ou des sociétés-écrans, les taux de récupération tendent vers zéro.
La même équipe de Lazarus a depuis tenté des opérations de type SWIFT contre des banques au Vietnam, en Équateur, à Taïwan, au Chili et au Mexique, avec un succès variable. La doctrine consistant à attaquer les systèmes de règlement interbancaire est désormais une capacité établie de Lazarus.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$81.0M
Chronologie
Les opérateurs de Lazarus établissent une persistance sur les postes de travail connectés à SWIFT de la Bangladesh Bank via le spearphishing d'employés de la banque.
Les opérateurs émettent 35 instructions de virement SWIFT MT103 totalisant 951 millions de dollars depuis le compte de la Bangladesh Bank à la Federal Reserve Bank de New York.
La Fed de New York signale 30 des virements car les instructions de routage écrivent « foundation » par erreur en « fandation ». Les 5 virements restants totalisant 101 M$ sont exécutés.
Les opérateurs déploient un logiciel malveillant (BANKSHOT / un cheval de Troie SWIFT Alliance Access sur mesure) pour supprimer les confirmations locales de messages SWIFT, retardant la détection par la banque.
La Bangladesh Bank découvre les virements non autorisés lorsque l'imprimante qui imprime automatiquement les confirmations SWIFT ne produit pas les reçus attendus.
20 M$ virés au Sri Lanka sont récupérés après qu'une faute de frappe (Shalika Foundation → Shalika Fandation) déclenche une vérification manuelle à la Deutsche Bank.
Sur les 81 M$ acheminés vers la RCBC Bank aux Philippines, environ 18 M$ sont récupérés ; le reste est blanchi via des casinos philippins et demeure introuvable.
L'acte d'accusation du DOJ américain contre l'opérateur de Lazarus Park Jin Hyok officialise l'attribution à la Corée du Nord.
Sources
- justice.govhttps://www.justice.gov/opa/press-release/file/1092091/dl
- bis.orghttps://www.bis.org/cpmi/publ/d170.pdf
- reuters.comhttps://www.reuters.com/investigates/special-report/cyber-heist-federal/