#Panocrim 2018 - La banque - des attaques plus astucieuses

Une présentation à ne pas rater

Chaque année le Clusif ( https://clusif.fr ), le club français de la sécurité des systèmes d’information, offre une présentation générale de l’état de la cybersécurité sur l’année précédente. Cette année le programme était très dense et intéressant. 14 présentations de très bon niveau que vous pouvez retrouver sur la page https://clusif.fr/conferences/panorama-de-la-cybercriminalite-annee-2018/ .

La présentation sur les attaques qu’ont affrontées les banques en 2018 de Gérôme Billois du cabinet Wavestone a particulièrement retenu mon attention. Vous pouvez la voir ici : https://clusif.fr/publications/panocrim-2018-la-banque-des-attaques-de-plus-astucieuses/?visible=public .

3 attaques différentes ont été détaillées. Ce sont les attaques “Darkvihnya Attack”, “Bank of Chile” et “Cosmos Bank”.

Dans le cas de “Darkvihnya Attack”, ce qui a été fait est la connexion de plusieurs appareils malveillants directement sur le réseau des banques. Une fois les appareils connectés, ils sont utilisés pour exploirer le réseau de la banque puis pour pouvoir accéder depuis l’extérieur à l’infrastructure IT. Des malware sont ensuite utilisés pour faire des virements sur des comptes tiers. C’est donc d’abord un accès physique qui permet ensuite l’accès à l’IT. Cette attaque a concerné 8 banques d’Europe de l’Est.

Contrer ce type d’attaque est possible : un réseau bien configuré et une détection d’équipements inhabituels permettent de détecter l’attaque tôt. Encore faut-il les équipes suffisantes, un matériel et des logiciels adaptés. Le fait que ces attaques aient été faites dans des banques différentes géographiquement proches indique un problème de manque de culture de cybersécurité localisé.

La seconde attaque est celle de “Bank of Chile”. La méthode est très différente, les attaquants ont réussi à infecter des machines avec un code malveillant. Ce code détruisait les machines. Les équipes informatiques se sont concentrées sur la gestion de la crise. Pendant ce temps là, les pirates opéraient des virements électroniques swift. Une stratégie de diversion typique. Je vois très peu de moyens de lutter contre une telle attaque. La seule solution est d’avoir une équipe dédiée à la gestion de crise mais qui soit détachée totalement des équipes opérationnelles de surveillance.

La dernière attaque est celle de “Cosmos Bank” une banque indienne. L’infrastructure interne de la banque a été infectée avec des malware. Il a été possible d’installer un serveur qui dialoguait avec les distributeurs de billets en lieu et place de l’infrastructure normale. Lorsque les distributeurs demandaient s’il était possible de retirer de l’argent, la réponse était toujours oui. En 2 jours plus de 10 millions d’€ ont été retirés dans de nombreux pays avec des cartes clonées.

Toutes ces attaques sont très sophistiquées, nécessitant non pas un pirate mais des équipes entières de personnes, qui ont le temps et la possibilité d’étudier des systèmes bancaires, ou de se renseigner dessus. On a du mal à imaginer des petites organisations de hackers réussissant à faire cela, ce sont des moyens beaucoup plus importants qui sont mis en jeu.

Le fait qu’après plusieurs années, il est possible d’identifier ces organisations et les personnes y travaillant était mis en exergue dans la présentation “Géopolitique et attribution” de Loïc GUÉZO de Trend Micro France ( https://clusif.fr/publications/panocrim-18-geopolitique-et-attribution/?visible=public ). Tout espoir n’est donc pas perdu.