Nouveau détournement via Swift en Ukraine

C’est sur sa page Facebook, que le chapitre de l’Isaca à Kiev a rendu publique l’information. Dans son billet, l’association explique que les groupes cybercriminels « Carbanak/Akunak et Buhtrap ont créé et rendu publics des outils d’infiltration de banques et autres institutions financières.  Malheureusement, les moyens de protection traditionnels – antivirus et pare-feu – sont insuffisants pour les contrer efficacement. Après leur infiltration, les attaquants passent des mois à étudier le travail et les processus internes de la banque ».

Après cette phase d’étude approfondie, les attaquants « utilisent l’autorité d’utilisateurs légitimes pour lancer des ordres de paiement internationaux en utilisant le système Swift », mais également d’autres systèmes de paiement électronique, les distributeurs automatiques et les systèmes de traitement des cartes ».

L’Isaca assure que des « dizaines » de banques ont été ainsi compromises, « principalement en Ukraine et en Russie » et que des « centaines de millions de dollars ont été volés ». Selon le KyivPost, ce sont dix millions de dollars qui auraient tout juste été dérobés. De son côté, l’association « pense que les attaquants ont compromis la majorité des banques en Ukraine et étudient actuellement leurs processus métiers pour préparer des transactions frauduleuses ».

Plusieurs détournements de fonds ont récemment été perpétrés en s’appuyant sur le réseau Swift. Des liens techniques avec le groupe Lazarus, suspecté d’être à l’origine de l’attaque dont a été victime Sony Pictures Entertainment, ont été mentionnés. En France, l’Autorité de contrôle prudentiel et de résolution (ACPR) a récemment fait part de ses inquiétudes sur la maturité réelle des secteurs de la banque et de l’assurance en matière de cybersécurité.

De son côté, L’Isaca souligne « qu’éliminer les criminels des systèmes d’informations bancaires est un défi, parce que les banques utilisent des milliers d’ordinateurs et de serveurs, et que la recherche de traces de logiciels de cybercriminels, puis la réinstallation de systèmes et le nettoyage d’équipements compromis peut prendre beaucoup de temps ». Pour autant, pas question d’y échapper : « la recherche de logiciels de cybercriminels doit couvrir tous les ordinateurs et serveurs de la banque (et ce devrait être un processus continu, intégré avec les processus de supervision et d’analyse des incidents de sécurité ».

L’association suggère même comment procéder pour remettre l’infrastructure en conditions opérationnelles sûres en cas de compromission. Et force est de constater que cela n’a rien d’une mince affaire.