[HACKING] Des hackers attaquent une banque russe et volent 1 million de dollars

     La banque russe PIR s’est fait dérober 1 millions de dollars par les pirates du groupe Monkey Tear le 3 juillet dernier. Les pirates ont infiltré les systèmes de la banque en compromettant un vieux routeur obsolète. Ce routeur a été « installé dans l’une des succursales régionales de la banque ». L’argent a été volé via le système de transfert de fonds interbancaire : Automated Workstation Client (AWC). Après l’opération, les pirates se sont assurés que le réseau de la banque reste compromis afin de pouvoir attaquer d’autres systèmes. Il faut également préciser que le piratage s’est produit cinq semaines après l’acquisition du réseau de la banque. La faille a cependant été détecté par les enquêteurs.

Le groupe Monkey Tear serait un adepte des cyberattaques réussies contre des banques, dont 20 attaques réussies contre diverses institutions financières et cabinets d’avocats en Russie, aux États-Unis et au Royaume-Uni. Selon les chercheurs en sécurité du laboratoire médico-légal de Group-IB, le groupe serait très habile dans la dissimulation de ses propres actes malveillants. La marque du groupe a donc été reconnue suite à la similitude des techniques, procédures et adresses IP utilisées dans les campagnes. Leur technique consiste à obtenir l’accès à un réseau ciblé sur plusieurs mois pour atteindre le niveau administrateur de domaine tout en restant actif au sein du réseau juste avant l’attaque. Les outils gratuits utilisés ne sont autres que PowerShell de Microsoft et certains scripts Visual Basic et le cadre Metasploit. Ils ont également utilisé leurs propres malwares comme le MoneyTaker v5.0, « un logiciel malveillant sans fichier et qui n’existe que dans la mémoire de l’ordinateur et non sur le disque dur ».

Les cyberattaques contre les banques et les institutions financières sont assez récurrentes. Les réseaux traditionnels qui utilisent le modèle type « connexion puis d’authentification » comme la banque PIR sont plus facilement atteignables par les pirates. Ils peuvent analyser les réseaux qui recherchent les périphériques et les ports à l’aide d’outils de piratage courants. Au contraire, les réseaux définis par logiciel SDN ont l’avantage d’avoir un modèle « authentification puis connexion » qui les rendent invisibles et difficilement accessibles. Il est donc plus difficile pour les attaquants d’exploiter les routeurs.