Le jour où des hackers nord-coréens ont failli voler 1 milliard de dollars

En 2016, des hackers oeuvrant pour le compte de la Corée du Nord ont lancé une opération visant à dépouiller la banque nationale du Bangladesh de l’équivalent d’un milliard de dollars. Le tout grâce à une imprimante.

La banque nationale du Bangladesh occupe une place importante dans le tissu économique local. Elle centralise en effet les opérations bancaires menées sur le territoire tout en supervisant les réserves de devises du pays. L’établissement représentait donc une cible idéale.

Un verrou symbolisant la sécurité informatique
Image par Pete Linforth de Pixabay 

La folle histoire de cette tentative de hacking démarre avec une simple imprimante défectueuse.

Tout a commencé avec une imprimante

L’imprimante en question se situait dans une pièce sécurisée du 10e étage du siège de la banque, un siège situé dans la capitale du pays.

Le vendredi 5 février 2016, en prenant son poste à 8h45, l’employé affecté à cette pièce a constaté que l’imprimante ne répondait plus. Une situation qui ne l’a pas alarmé outre mesure. Toutes les personnes qui ont déjà eu affaire à ce type de périphériques savent à quel point ils peuvent parfois se montrer très capricieux.

L’employé a donc fait remonter l’information à ses supérieurs, sans s’inquiéter davantage de la panne. Une panne qui survenait de toute manière très souvent.

Ce qu’il ne savait pas, cependant, c’est que cette imprimante n’était pas tombée en panne toute seule. Ni même par hasard. Elle ne répondait plus, car une cyberattaque était actuellement en cours dans l’établissement.

A lire aussi : Même les machines à café peuvent être victimes de ransomware

Une attaque était en cours

Des hackers ont en effet réussi à s’introduire en exploitant la plus grande faille en informatique : les gens. Avec un seul et unique objectif en tête : voler l’équivalent d’un milliard de dollars.

Pour perpétrer leur méfait, les hackers ont été fins et ils se sont ainsi appuyés sur une multitude de comptes bancaires, de casinos et d’oeuvres caritatives afin de faire disparaître l’argent en toute discrétion.

Sur le coup, le personnel de la banque ne s’est rendu compte de rien, mais cela a très vite changé lorsque l’imprimante en panne a été redémarrée.

Cette fameuse imprimante jouait en effet un rôle central dans l’infrastructure de la banque. Cette dernière avait mis en place un système de sauvegarde papier et toutes les transactions passées à partir de ses comptes étaient donc scrupuleusement imprimées puis archivées.

A lire aussi : REvil fait de nouveau parler de lui

Une attaque mise au jour après le redémarrage de l’imprimante

Des messages urgents émis par la Federal Reserve Bank de New York ont donc commencé à s’imprimer. Des messages avertissant la banque que la Fed avait reçu des instructions précises pour vider la totalité du compte ouvert chez elle. Un compte sur lequel avaient été déposés près d’un milliard de dollars.

Et c’est là que la notion de timing est entrée en jeu. Plus tard, lors de l’enquête, la banque du Bangladesh a découvert que le piratage avait commencé le jeudi 4 février à 20 heures. Soit le jeudi matin à l’heure de New York. La Fed a donc eu toute la latitude pour traiter les multiples demandes émanant des hackers, et ce alors même que la plupart des responsables de la banque… étaient en train de dormir.

Mieux encore, au Bangladesh, le week-end débute le vendredi pour se terminer le samedi. Les hackers savaient donc que le personnel affecté au siège de la banque à Dhaka ne serait pas de retour avant deux jours. Ce qui leur laissait une fois encore une belle fenêtre pour mener à bien l’attaque. Et quand ce dernier s’est rendu compte de la supercherie… c’était le week-end à New-York et les bureaux de la Fed étaient donc presque vides.

A lire aussi : Du ransomware au revenge porn

Une question de timing

C’est justement grâce à cette attaque savamment minutée que les hackers ont réussi à opérer en toute discrétion pendant trois jours. D’autant que leur plan prévoyait aussi de transférer l’argent récolté sur leurs comptes vers Manille, la capitale des Philippines. Et en 2016, le lundi 8 février correspondait au Nouvel An Lunaire. Il était donc chômé.

Mais bien sûr, pour organiser un tel coup, les hackers avaient pris les devants. Plus tard, on a ainsi appris que ces derniers avaient accès au système de la banque depuis plus d’un an avant l’attaque.

D’après les enquêteurs, tout aurait effectivement commencé en janvier 2015, par un simple courriel. Un courriel envoyé à plusieurs employés de la banque et qui prétendait provenir d’un demandeur d’emploi.

Parfaitement légitime, du moins en apparence, le courriel comprenait un lien invitant ses destinataires à télécharger le CV et la lettre de motivations du candidat… sur un site web. Vous avez dû le comprendre, mais les documents en question étaient vérolés. Une fois les fichiers téléchargés, les hackers ont été en mesure d’ouvrir une porte vers le système.

A lire aussi : Des hackers ont volé le code source de FIFA 21

Un CV vérolé comme porte d’entrée

Ils l’ont alors étudié, patiemment, pendant des mois entiers, sautant de poste en poste, de serveur en serveur. Une enquête rigoureuse, menée avec minutie et qui leur a permis de comprendre le moindre rouage nécessaire à son fonctionnement. Un an, donc, passé à planifier une attaque hors du commun, mais aussi à mettre au point leur solution de repli.

La banque du Bangladesh s’est rendu compte du vol durant le week-end et son directeur a immédiatement contacté Rakesh Asthana, un expert en cybersécurité et fondateur de la société World Informatix.

Après une enquête rapide, ce dernier a réalisé que toutes les transactions passées par les hackers étaient techniquement légitimes. Ces derniers n’avaient en effet pas piraté le système, ils avaient simplement récupéré les identifiants des employés autorisés à passer ces opérations. Il était donc impossible d’annuler les transactions.

D’autant que les premiers dollars étaient déjà arrivés aux Philippines, sur les quatre comptes créés l’année précédente par les hackers.

A lire aussi : Et maintenant, un ransomware lié à un site de massage

Des transactions parfaitement légitimes

Mais voilà, les hackers ont commis une erreur. Une erreur qui les a empêchés de mener à terme leur opération : l’adresse de la banque de destination.

Les quatre comptes qui devaient réceptionner l’argent avaient été ouverts dans une succursale de la banque RCBC à Manille. Une succursale située dans Jupiter Street. Or justement, à l’époque, la Fed bloquait toutes les commandes incluant le mot-clé Jupiter en raison de sanctions prises à l’encontre d’un navire de transport iranien, un navire portant ce nom.

Lorsque les ordres de paiement sont arrivés, le système d’alarme de la Fed s’est donc mis en route. Des employés ont alors été prévenus et ils ont très vite réalisé ce qui était en train de se produire. Ils ont donc annulé les opérations… à l’exception de cinq d’entre elles qui avaient été passées avant leur action. Cinq opérations, pour un montant total de 101 millions de dollars américains.

L’histoire ne s’arrête pas là cependant. L’une de ces opérations visait une organisation caritative, la Fondation Shalika. Les hackers avaient cependant mal orthographié son nom et ils avaient saisi à la place “Fondation Chalika”. L’ordre de transfert a donc été annulé.

A lire aussi : 9 astuces pour se protéger des ransomwares

Une erreur fatale

Au final, sur le milliard qui devait être volé, seuls 81 millions de dollars ont fini sur les comptes ouverts par les pirates.

Ces derniers ont ensuite tout mis en oeuvre pour blanchir cet argent, avec un succès finalement assez mitigé. La banque du Bangladesh a en effet rapidement dépêché des experts sur place et ces derniers ont réussi à retracer une partie de l’argent jusqu’à des casinos. Ils ont pu récupérer 50 millions de dollars.

Le reste de la somme a en revanche disparu près de la Corée du Nord.

Pour Kaspersky et beaucoup d’autres experts en cybersécurité, cette attaque de grande ampleur aurait été menée par le groupe Lazarus. Toutefois, cela n’a jamais été formellement prouvé.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.