Casse SWIFT de la Far Eastern International Bank
Le groupe nord-coréen Lazarus a utilisé un logiciel malveillant sur mesure pour prendre le contrôle du terminal SWIFT de la Far Eastern International Bank et virer environ 60 millions de dollars vers des comptes aux États-Unis, au Cambodge et au Sri Lanka, en déployant le rançongiciel Hermes comme diversion.
- Victime
- Far Eastern International Bank (FEIB)
- Perte
- $500.0K
En octobre 2017, la Far Eastern International Bank (FEIB) de Taïwan est devenue la dernière victime de la campagne nord-coréenne visant à piller le système financier mondial. Des attaquants ultérieurement reliés au groupe Lazarus ont implanté un logiciel malveillant sur mesure au sein de la banque, détourné sa connexion au réseau de messagerie interbancaire SWIFT et fait passer de faux virements pour un total d'environ 60 millions de dollars avant que le personnel ne s'en aperçoive.
Ce qui s'est passé
Les intrus ont déployé un logiciel malveillant décrit par FEIB comme étant « d'un type jamais vu auparavant » sur les ordinateurs et serveurs de la banque. L'arsenal a collecté les identifiants nécessaires pour prendre le contrôle du terminal SWIFT de la banque — le point d'accès qui autorise les virements internationaux. Avec le contrôle de ce terminal, les opérateurs ont émis des instructions transférant des fonds vers des comptes bénéficiaires aux États-Unis, au Cambodge et au Sri Lanka.
Fait essentiel, le réseau SWIFT lui-même n'a pas été compromis. Comme lors du casse de la Bangladesh Bank en 2016, la brèche s'est produite au niveau du point d'accès de la banque elle-même, où les attaquants ont abusé d'un accès légitime plutôt que de briser la cryptographie de SWIFT.
Pour ralentir la réponse de la banque, les attaquants ont déclenché le rançongiciel Hermes sur les machines de FEIB. BAE Systems a estimé que ce chiffrement n'était pas une manœuvre lucrative mais une diversion ou une dissimulation destinée à occuper l'équipe de sécurité pendant que le casse s'achevait.
Impact
- Environ 60 millions de dollars de virements frauduleux ont été initiés.
- Grâce à une coordination rapide avec les banques correspondantes et SWIFT, la quasi-totalité de l'argent a été récupérée — seuls environ 500 000 dollars sont restés irrécupérables.
- Deux suspects ont été arrêtés au Sri Lanka, dont le dirigeant de la société publique Litro Gas, sur le compte personnel duquel environ 1,1 million de dollars avaient atterri.
Attribution
Les chercheurs de BAE Systems ont relié l'opération à Lazarus, le groupe lié à l'État nord-coréen. Les échantillons réutilisaient une variante x86 de la porte dérobée fdsvc.dll observée lors d'attaques antérieures de Lazarus en Pologne et au Mexique, contenaient des commandes translittérées du russe telles que « Nachalo » et « vykhodit », et acheminaient l'argent via le Sri Lanka et le Cambodge — tous deux déjà utilisés comme destinations de retrait par Lazarus. La méthodologie reflétait le vol de la Bangladesh Bank.
Pourquoi c'est important
FEIB a démontré que le point d'accès SWIFT restait une cible vulnérable deux ans après le Bangladesh, et que le vol financier commandité par un État était devenu une source de revenus récurrente pour un régime sous sanctions. L'affaire a également mis en lumière une tactique désormais emblématique de Lazarus : associer un casse par fraude au virement à un rançongiciel destructeur servant de couverture, préfigurant le rançongiciel Ryuk, dérivé d'Hermes, qui allait terroriser les entreprises les années suivantes. La récupération quasi totale a souligné que la rapidité de détection et la coopération interbancaire — et non les seules défenses périmétriques — peuvent émousser même un casse étatique bien doté en moyens.
Chronologie
Les opérateurs de Lazarus activent un logiciel malveillant sur mesure sur les systèmes de FEIB et commencent à émettre de fausses instructions de virement SWIFT.
Environ 60 millions de dollars sont virés vers des comptes bénéficiaires aux États-Unis, au Cambodge et au Sri Lanka ; le rançongiciel Hermes est déployé sur les machines de la banque comme diversion.
Le personnel de FEIB remarque les transactions anormales et alerte les banques correspondantes et SWIFT pour récupérer les fonds.
La banque indique que la totalité des fonds dérobés a été récupérée, à l'exception d'environ 500 000 dollars.
Deux suspects sont arrêtés au Sri Lanka, dont le dirigeant de la société publique Litro Gas, après que 1,1 million de dollars a été retracé jusqu'à un compte personnel.
Les chercheurs de BAE Systems relient publiquement l'arsenal et la diversion par rançongiciel au groupe nord-coréen Lazarus.
Sources
- theregister.comhttps://www.theregister.com/2017/10/11/hackers_swift_taiwan/
- baesystemsai.blogspot.comhttps://baesystemsai.blogspot.com/2017/10/taiwan-heist-lazarus-tools.html
- securityweek.comhttps://www.securityweek.com/taiwan-bank-heist-linked-north-korean-hackers/
- bankinfosecurity.comhttps://www.bankinfosecurity.com/report-malware-wielding-hackers-hit-taiwanese-bank-a-10368