SWIFT amené à reconnaitre «un certain nombre de récents incidents de cybersécurité» sur son réseau.
SWIFT (Society for Worldwide Interbank Financial Telecommunication), le réseau financier mondial que les banques utilisent pour transférer des milliards de dollars chaque jour, a été amené à reconnaitre «un certain nombre de récents incidents de cybersécurité» sur son réseau : les attaquants ont utilisé son système pour envoyer des messages frauduleux. Première victime, la banque centrale du Bangladesh, dépouillée de 81 millions USD. Mais elle n’est pas la seule…
SWIFT a reconnu que l’attaque incluait la modification de ses logiciels sur les ordinateurs de la banque pour dissimuler les preuves de transferts frauduleux. Parallèlement, SWIFT a publié une mise à jour de sécurité pour le logiciel que les banques utilisent pour accéder à son réseau. L’affaire est d’importance : la coopérative SWIFT -détenue par 3.000 institutions financières- dessert pas moins de 11 000 banques et autres institutions à travers le monde; elle est considéré comme un pilier du système financier mondial.
Selon BAE Systems, les pirates ont manipulé le logiciel Alliance Access de SWIFT, que les banques utilisent pour s’interfacer avec la plate-forme de messagerie de SWIFT, afin de brouiller les pistes. BAE a cependant mentionné ne pas pouvoir expliquer comment les commandes frauduleuses ont été créés et poussés à travers le système. SWIFT a cependant fourni des éléments sur la façon dont tout cela est arrivé. L’organisme explique que le modus operandi était similaire dans toutes les opérations frauduleuses. Les agresseurs ont obtenu des informations d’identification valides et ont pu créer et approuver des messages SWIFT.
L’entreprise installée à La Hulpe, au sud de Bruxelles, dit avoir mis au point «des services pour aider les clients à renforcer leur sécurité et à détecter des incohérences dans leurs bases de données locales». Ces incohérences pouvant être le signe d’un piratage. SWIFT assure que le malware, nommé evtdiag.exe, n’a pas d’impact sur le réseau, ni sur les services de messagerie au cœur de cette institution internationale. Seulement une partie des clients emploient le logiciel Alliance Access…
Selon BAE Systems, le malware evtdiag.exe fait partie d’un toolkit plus complet, qui a été installé après récupération des codes d’accès des employés de la banque du sous-continent indien. Déniché par les équipes anglaises sur un référentiel de malware -BAE n’ayant fait le lien avec la banque du Bangladesh que dans un second temps-, evtdiag.exe modifie légèrement le code d’Access Alliance afin de permettre aux assaillants de modifier la base de données traçant les activités de la banque sur le réseau SWIFT.
La souche peut ainsi effacer des enregistrements de transferts sortants et aussi intercepter des messages entrants confirmant les ordres passés par les hackers. Le malware permet aussi de manipuler des soldes sur des enregistrements afin de couvrir la fraude.
Quant aux 81 millions USD, ils ont été transférés sur des comptes aux Philippines. Pour mener à bien cette fraude de grande ampleur, les hackers seraient parvenus à récupérer des codes d’accès utilisés par la banque du Bangladesh pour se connecter à la plate-forme SWIFT.
