Swift, le réseau d’interconnexion bancaire international, a prévenu ses clients que des attaques de cybercriminalité avaient utilisé sa plateforme pour envoyer des messages frauduleux. La mise en garde de cette coopérative d’acteurs bancaires (Society for Worldwide Interbank Financial Telecommunication) suggère que l’attaque de la banque centrale du Bangladesh, en février dernier, au cours de laquelle 81 millions de dollars ont été détournés, ne serait pas un incident isolé. Swift s’est aperçu de la présence d’un malware réduisant les capacités des institutions financières à trouver les preuves de transactions frauduleuses sur leurs systèmes locaux. L’organisation a précisé que ce malware n’avait pas d’impact sur le réseau Swift ou sur ses services de messagerie, mais elle a informé ses clients qu’il en existait d’autres instances qui avaient exploité des failles internes au sein d’institutions clientes. Le réseau recommande à ses utilisateurs de prendre des mesures pour sécuriser leurs systèmes et vient de livrer une mise à jour à installer de façon impérative.
Dans les incidents identifiés, les attaquants ont compromis les systèmes bancaires et obtenu des accréditions valides pour créer et diffuser des messages sur le réseau, explique Swift. « Le malware est conçu pour dissimuler les traces de paiements frauduleux sur les bases de données des applications locales des clients et il est uniquement installé sur les systèmes locaux des utilisateurs par des attaquants qui y ont découvert et exploité des faiblesses de sécurité », précise la plateforme d’interconnexion.
La Bangladesh Bank attaquée au moyen d'un toolkit spécifique
Des chercheurs ont constaté que les cybercriminels qui s’en sont pris à la banque centrale du Bangladesh ont utilisé un malware personnalisé conçu pour interférer avec le logiciel de transactions du réseau Swift. Ce dernier est maintenant averti « d’un nombre de cyber-incidents récents, sur lesquels des attaquants externes ou des utilisateurs internes malveillants ont réussi à envoyer des messages Swift à partir des systèmes de back-offices, de PC ou de stations de travail des institutions financières », selon une note confidentielle vue par l’agence de presse Reuters. L’organisation Swift n’a fourni aucun nom de victimes pas plus qu’elle n’a dévoilé le montant des pertes entraînées par ces cyberattaques. La mise à jour de sécurité diffusée lundi concerne le malware que les experts ont décrit après l’attaque de la Bangladesh Bank. Identifié par les chercheurs de BAE Systems, il se présente comme un toolkit d’attaque spécifique. Il a été conçu pour surveiller, détruire et altérer les enregistrements de transactions dans la base de données utilisé par le logiciel client de Swift.
Selon le billet publié par BAE Systems, les attaquants ont cherché à voler 951 M$. La majorité des paiements ont été bloqués, mais 81 M$ ont été détournés vers des comptes aux Philippines, précisait Reuters dans un précédent article.