Menace d’un malware des échanges bancaires via Swift

L’entreprise britannique de cybersécurité BAE Systems est tombée sur un malware qui s’attaque au logiciel client du système Swift (gestion d’échanges bancaires internationaux). Son nom est « evtdiag.exe ».

Le Bengladesh, première victime

La banque centrale du Bangladesh en a été victime à hauteur de 81 M$. En apparence, il s’agit d’un banal piratage informatique ne représentant en rien de menace des échanges bancaires internationaux. Sauf que les chercheurs de BAE Systems ont révélé que l’attaque s’est effectuée par le biais du logiciel Swift. Cette plateforme de droit belge (SWIFT -Society for Worldwide Interbank Financial Telecommunication), exploité par 3 000 institutions financières sur toute la planète, a confirmé l’existence d’un malware cherchant à compromettre son logiciel client « Alliance Access ».

Swift n’a pas tardé à avertir les membres de son réseau de la menace. Par ailleurs « des services [ont été mis en place] pour aider les clients à renforcer leur sécurité et à détecter des incohérences dans leurs bases de données locales », indique la firme dans un communiqué. La société belge affirme que le malware ne peut pas atteindre le réseau Swift ni aucun composant de son système.

Remettre en cause les accès à Swift

Le premier déploiement de ce malware détecté a visé un compte de la banque centrale du Bangladesh sis à la banque fédérale de New York. Vers le début de l’année, les hackers ont tenté de détourner une somme évaluée à 951 M$. La réaction qui s’en est suivi n’a réussi qu’à bloquer une partie, 81 M$ ont été transférés sur des comptes aux Philippines. Pour parvenir à monter ce coup, les fraudeurs ont dû forcément réussir à mettre la main sur des codes d’accès de cette banque du Bangladesh. C’est à partir de cela qu’ils se sont connectés à Swift.

Le responsable de l’intelligence sur les menaces de BAE, Adrian Nish, affirme qu’on est en face d’un piratage de très haut niveau. « Je ne me souviens pas d’un cas où un criminel va jusqu’à ce niveau de customisation pour s’adapter à l’environnement auquel il fait face. J’imagine que cela résulte d’une prise de conscience que le retour sur investissement potentiel justifiait ces efforts »explique-t-il. Après l’attaque, la firme de cybersécurité britannique a publié des indicateurs techniques à l’adresse de toutes institutions financières afin qu’elles puissent s’assurer de ne pas avoir été piraté, ainsi que pour éviter de l’être dans le futur.

Trafiquer la base de données des transactions

La société BAE indique que le malware evtdiag.exe est un élément d’un toolkit plus complet. Son installation a eu lieu après récupération des codes d’accès des personnels de la banque du sous-continent indien. Détecté sur un référentiel de malware, evtdiag.exe modifie légèrement le code d’Access Alliance afin que les hackers puissent changer les informations traçant les opérations de la banque sur le réseau Swift. La souche peut de la sorte brouiller les enregistrements de transferts sortants et également intercepter des messages entrants confirmant les ordres passés par les fraudeurs.