Un collectif de hackers a profité de la faille de sécurité du routeur obsolète d’une banque russe pour subtiliser près d’1 million de dollars.
Money Monster
C’est via un router obsolète que le collectif de pirates informatique MoneyTaker s’est emparé d’un million de dollars dans les coffres de la PIR Bank. Peu de temps après le hack, la banque s’est adressée à une société de sécurité informatique pour évaluer les dégâts de l’attaque. Le verdict est sans appel pour les experts de Group-IB, la société de cybersécurité russe responsable de l’enquête : l’attaque est signée MoneyMaker. En effet, les hackers du collectif ont laissé des traces derrière eux et Groupe-IB a pu les identifier rapidement. Il faut dire que cette société de sécurité informatique a l’habitude des méthodes employées par MoneyTaker puisque c’est elle qui a révélé, en décembre dernier, l’existence de ce collectif expert en cybercriminalité, leurs méthodes ainsi que leurs domaines de prédilection.
Une technique rodée
Malheureusement, ce n’est pas la première fois qu’une telle attaque se produit sur le sol russe. Le collectif MoneyTaker est, en effet, suspecté d’être derrière deux autres attaques informatiques similaires. Toutes avaient pour cible une banque russe. Pour mener à bien leur opération, les hackers ont infiltré un vieux routeur obsolète dans l’une des filiales régionales de la banque. Une fois le réseau interne infiltré, il fut facile d’insérer plusieurs malwares et quelques scripts PowerShell pour fouiller tranquillement et sans éveiller les soupçons. Au cœur du système informatique de la PIR Bank, le collectif avait accès au compte AWS CBR (Automated Work Station Client of the Russian Central Bank) ce qui leur donnait le contrôle de toutes les transactions monétaires effectuées par la banque. MoneyTaker s’est alors servi du système AWS CBR pour transférer des fonds présents sur les comptes de la PIR Bank vers plusieurs comptes de la Bank of Russia. Créés au préalable, ces comptes ont immédiatement été vidés par retrait sur des distributeurs placés aux quatre coins du pays. La PIR Bank ne s’est aperçue du vol que 24 heures plus tard… Une éternité donc.
Vol avec récidive
Il aura fallu toute l’expertise des équipes de la société Group-IB pour démasquer le collectif derrière ce casse à 1 million de dollars. Malheureusement, ce n’est pas la première fois que les banques russes font face à ce genre d’attaques informatique en 2018. MoneyTaker connait les risques à s’attaquer aux banques russes et fait en sorte de bien planifier ses assauts. Depuis trois ans d’activités, le butin accumulé de MoneyTaker est estimé à 10 millions de dollars. À son tableau de chasse, MoneyTaker compte actuellement 15 banques américaines, une entreprise de logiciels bancaire britannique, 5 banques russes et un cabinet d’avocats russe. La liste n’est pas prête de s’arrêter…
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
