Exclusif : Le système bancaire mondial infiltré au plus haut niveau par des pirates informatiques

20 juin 2016 Mis à jour: 2 mai 2017

Le système bancaire mondial a été infiltré par des cybercriminels ayant prouvé avoir un accès de haut niveau. Cela leur donne un contrôle quasi-total pour modifier les données et voler les banques, selon un expert ayant enquêté sur eux sur le Darknet.

Ed Alexander est un spécialiste du cyberHUMINT (Human Intelligence) et un expert sur le sujet du Darknet – des forums privés utilisés par les pirates informatiques. Seulement accessible avec des logiciels spécialisés, le Darknet, en plus de ses utilisations légitimes, est utilisé par des groupes criminels pour conspirer et vendre des biens illicites.

Dans un interview précédente, Alexander a fourni à Epoch Times une preuve importante sur le détournement bancaire mondial. Il a d’abord demandé à rester anonyme pour pouvoir protéger ses investigations, mais monte maintenant sur le devant de la scène pour exposer les deux groupes de pirates informatiques qui sont derrière ces attaques.

LIRE AUSSI : Exclusif : des pirates informatiques chinois ont infiltré le système bancaire mondial

Les cyberattaques sont liées à une série de fraudes bancaires qui ont récemment été exploitées par des pirates informatiques, incluant les 81 millions de dollars volés de la Banque centrale du Bangladesh. Alexander a avancé la preuve que ces banques ne sont que la partie visible de l’iceberg et que les pirates informatiques ont trouvé une faille leur donnant accès à des milliers de banques à travers le monde.

Dans l’article précédent, la preuve avancée par Alexander montrait que les cyberattaques ont commencé vers 2006, lorsque les pirates informatiques travaillant pour l’Armée chinoise ont agi sur les ordres de l’État pour infiltrer des réseaux critiques au Mexique. De là, les pirates informatiques ont gagné l’accès aux systèmes d’ordinateur d’une grande banque,et ont alors infiltré un important réseau de transfert d’argent par lequel la banque – et beaucoup d’autres institutions bancaires – sont connectées.

Les pirates informatiques chinois ayant rempli leur tâche, vers juin 2015 ils ont vendu les failles qu’ils avaient exploité à des cybercriminels sur le Darknet. Alexander a pu fournir des captures d’écran d’un forum de cybercriminalité sur le Darknet qui vendait l’accès aux réseaux financiers mexicains.

Les cybercriminels qui ont acheté ces failles aux pirates informatiques chinois sont ceux qui effectuent actuellement des attaques sur le système bancaire mondial. Alexander a fourni de nouvelles preuves selon lesquelles les cybercriminels ont un accès de haut niveau aux réseaux bancaires et qu’ils utilisent cet accès pour modifier les données.

Selon James Scott, un employé de longue date de The Institute for Critical Infrastructure Technology (ICIT), les captures d’écran « suggèrent qu’un pirate pourrait être en train d’exploiter une faille dans le système pour établir une présence permanente et exfiltrer des données. »

« À moins que la faille soit corrigée et que l’attaquant soit retiré du système, » dit Scott, « l’attaquant pourra continuer à l’exploiter pour son profit ou la vendre à d’autres attaquants. »

L’ICIT est un laboratoire d’idées basé à Washington qui se concentre sur les menaces des infrastructures critiques, comme le système financier.

Sur la base des captures d’écran fournies par Alexander, Scott suggère que les cybercriminels pourraient utiliser leur accès au réseau comme passage pour transférer l’argent à d’autres réseaux ou pour frauder les transferts d’argent destinés à d’autres banques, permettant aux pirates informatiques de voler cet argent.

Keith Furst, fondateur de Data Derivatives, une firme de consultation sur les cybercrimes de la finance, note que les captures d’écran montrent que les cybercriminels ont un accès de très haut niveau aux réseaux bancaires. Pour les banques, dit-il, seul des autorisations au plus haut niveau peuvent modifier les données comme cela est montré sur les captures d’écran. Le risque étant qu’une personne puisse, par exemple, supprimer ses dettes ou transférer illégalement de l’argent.

« S’ils peuvent changer l’information à ce niveau, cela implique qu’ils ont accès à d’autres informations, » s’est exprimé Furst.

Dans les coulisses du système bancaire
Les captures d’écran qui suivent ont été fournies à Epoch Times par Alexander, lesquelles selon lui montrent que les cybercriminels ont un accès continu et modifient les informations sur des réseaux appartenant à UniTeller, un réseau de transfert d’argent appartenant à Banorte, la troisième plus grosse banque du Mexique.

Il a ajouté des notes colorées en rouge sur les captures d’écran pour montrer que le moment des attaques s’alignent avec les attaques en cours sur les banques du monde entier.

Une capture d'écran montrant les cybercriminels volant des informations d'un réseau bancaire. Les pirates informatiques ont fait une brèche dans le système bancaire mondial et ont actuellement un accès de haut niveau. (Avec l'autorisation de Ed Alexander)
Une capture d’écran montrant les cybercriminels volant des informations d’un réseau bancaire. Les pirates informatiques ont fait une brèche dans le système bancaire mondial et ont actuellement un accès de haut niveau. (Avec l’autorisation de Ed Alexander)

La capture d’écran ci-dessus prouve que les cybercriminels volent des informations à un réseau bancaire. Alexander dit qu’elle les montre utilisant une commande depuis un hôte reculé au delà du domaine de sécurité de la banque, et suggère que les pirates informatiques ont eu accès aux informations sans avoir à s’identifier directement sur le réseau.

La faille permet également aux pirates informatiques d’envoyer des commandes aux serveurs. « L’exécution d’un code à distance permet aux attaquants d’utiliser n’importe quelle commande sur le système, » explique Alexander. « Cela facilite également le téléchargement d’autres fichiers malicieux, qui offrent un accès plus large et permanent. »

Une capture d'écran montrant les cybercriminels manipulant les sorties d'un système de base de données d'un réseau bancaire. (Avec l'autorisation de Ed Alexander)
Une capture d’écran montrant les cybercriminels manipulant les sorties d’un système de base de données d’un réseau bancaire. (Avec l’autorisation de Ed Alexander)

La capture d’écran ci-dessus montrent que les cybercriminels essayent de prouver qu’ils peuvent manipuler les sorties d’un système de base de données d’un réseau bancaire, ce qui leur permet, selon Alexander, « de changer efficacement les limites de crédit sur de nombreux types de cartes. »

En changeant les limites des cartes de crédit, les cybercriminels seraient capables de voler de larges quantités d’argent par des transactions frauduleuses de cartes de crédit.

« Ce qui est important ici est que les attaquants ont l’accès aux sorties des bases de données et peuvent facilement manipuler, changer ou détruire les informations enregistrées et les paramètres d’UniTeller à souhait. »

Il a ajouté que les captures d’écran auraient été prises le 26 mai, mais note que la marque du 2 mars suggère que les cybercriminels auraient pu modifier le système pendant près de trois mois.

Une capture d'écran montrant le moment des cyberattaques sur un système bancaire critique, et comment les pirates informatiques l'utilisent sur le réseau. (Avec l'autorisation de Ed Alexander)
Une capture d’écran montrant le moment des cyberattaques sur un système bancaire critique, et comment les pirates informatiques l’utilisent sur le réseau. (Avec l’autorisation de Ed Alexander)

Alexander note que « en plus de la date, il y a une capture d’écran du nom de l’arborescence du système (uname -a command), de la configuration de ses données IP (ipconfig command) et une copie du fichier de mot de passe local de ce serveur particulier (/etc/passwd). »

Une capture d'écran montrant que les cybercriminels ont un accès « root » (administrateur) à un système financier majeur (Avec l'autorisation de Ed Alexander)
Une capture d’écran montrant que les cybercriminels ont un accès « root » (administrateur) à un système financier majeur (Avec l’autorisation de Ed Alexander)
20160526-2
(Avec l’autorisation de Ed Alexander)

La capture d’écran montre aussi les dossiers et répertoires que les pirates informatiques étaient en train de modifier lorsque la capture d’écran a été prise.

« En plus de cela, il est important de se souvenir que la faille utilisée ici est exploitée en dehors du domaine de sécurité d’UniTeller, » explique Alexander. « Les attaquants ont aussi exécuté à distance le code de ce serveur, comme ils le prétendent. »

La capture d’écran montre un répertoire et un fichier source qu’Alexander dit avoir été fourni par les cybercriminels pour montrer qu’ils sont capables de se déplacer entre les répertoires.

Les cybercriminels se sont intéressés dans ce répertoire particulier, a-t-il dit, car ils prétendent qu’ils leur permet d’accéder à la banque américaine avec qui UniTeller a un partenariat.

Il pense que cette capture d’écran ci-dessus est significative : les cybercriminels démontrent sur le Darknet « qu’ils ont un accès complet aux systèmes et aux services d’UniTeller et ont la capacité de les changer à leur gré. »

Il a ajouté que cela n’était qu’un aperçu d’un important cybercrime en cours.

Version originale : EXCLUSIVE: Hackers Compromise Global Banking System at Highest Level

RECOMMANDÉ