Services financiers : la menace informatique ne faiblit pas

Le groupe IB vient de publier un rapport complet sur Silence, un groupe de cyber-délinquants qui se concentre sur le secteur financier. Et ce travail, le fruit de deux ans de traque, a de quoi surprendre.

Le parcours de Silence commence en juin 2016, avec un échec : une tentative d’attaque visant la banque centrale russe. Mais le groupe n’a pas baissé les bras pour autant : il est parvenu à s’inviter à nouveau sur les serveurs de la banque en août. Mais l’attaque a pu être arrêtée.

Surtout, le groupe a entamé un patient travail de développement de ses propres outils, pour lancer une nouvelle opération en octobre 2017, sur des distributeurs automatiques. Avec succès cette fois-ci : les attaquants ont cette fois-ci récolté plus de 100 000 $ en une nuit. En février 2018, ils ont réussi à dérober 500 000 $. Deux mois plus tard, rebelote, avec 150 000 $ à la clé, cette fois-ci avec Atmosphere, un outillage dédié aux distributeurs automatiques.

Le développement de ses propres outils n’est pas la seule évolution du groupe Silence. Il faut aussi compter avec le passage de l’utilisation de comptes de messagerie électronique compromis à des fins de hameçonnage, au début, à l’enregistrement de domaines frauduleux assortis de la création de certificats numériques. Et pour passer au travers des systèmes de protection utilisant DKIM et SPF, Silence vise spécifiquement des banques dont les domaines ne contiennent pas de champ SPF renseigné.

Dans son rapport, le groupe IB produit une multitude d’indicateurs liés aux activités de Silence. De ses observations, le spécialiste du renseignement retire deux conclusions : le groupe de cyber-délinquants ne compterait en fait que deux membres, russophones, avec un passé de whitehat.

Mais Silence n’est pas seul à s’intéresser au monde bancaire. Le groupe IB suit également activement MoneyTaker. Plus tôt cette année, ce dernier a dérobé près d’un million de dollars à la banque russe PIR, via un système d’échange interbancaire. Et que dire des groupes Cobalt et Carbanak dont le leader commun a été arrêté par la police espagnole en mars dernier ? Sans que cela ne semble interrompre durablement leurs activités.

Le fait est que la menace reste bien présente. Durant l’été, la banque Cosmos, en Inde, s’est fait dérober 13,5 M$, via des distributeurs de billets et le réseau Swift. Aucune attribution n’a été faite officiellement, mais les groupes Cobalt et Lazarus figurent sur la liste des suspects.

A la même période, le FBI alertait justement du risque d’attaque coordonnée de grande ampleur sur les distributeurs de billets. C’était quelques jours après la distribution de mises à jour importantes pour les distributeurs NCR. L’inquiétude pour ces systèmes n’est pas nouvelle : Europol s’est penché ouvertement sur le sujet il y a un an.

En juin dernier, Christine Lagarde, directrice générale du Fond monétaire international (FMI), qualifiait le risque cyber de menace « sérieuse » pour le système financier. Dans un billet de blog, elle expliquait que « les pertes annuelles moyennes des institutions financières imputables aux cyberattaques s’élèveraient à quelques centaines de milliards de dollars », selon une modélisation du FMI. Une indication seulement, soulignait la directrice de l’organisation, mais qui ne doit pas faire oublier la matérialité du risque.