Jakarta –
Imaginez que vous êtes un employé mal payé en Inde à qui on propose un deuxième emploi en tant que figurant dans un film de Bollywood. Le rôle? Allez au guichet automatique et retirez de l’argent.
En 2018, plusieurs hommes de l’État du Maharashtra pensaient qu’ils obtenaient des rôles supplémentaires dans un film, mais en réalité, ils ont été dupés pour retirer de l’argent dans le cadre d’un vol de banque.
Le vol a eu lieu à Cosmos Bank, dont le siège est à Pune, en Inde.
Au début, le personnel du siège social de Cosmos Bank a soudainement reçu une série de messages alarmants un samedi après-midi tranquille d’août 2018.
Le message provenait de la société de cartes de paiement Visa aux États-Unis, qui a averti qu’il y avait eu des milliers de demandes de retraits importants en espèces aux distributeurs automatiques par des personnes qui semblaient utiliser des cartes Cosmos Bank.
Cependant, lorsque l’équipe de Cosmos Bank a vérifié son propre système, elle n’a trouvé aucune transaction suspecte.
Environ une demi-heure plus tard, pour des raisons de sécurité, ils ont autorisé Visa à arrêter toutes les transactions des cartes Cosmos Bank. Ce retard coûtait très cher.
Le lendemain, Visa a distribué une liste complète des transactions suspectes au siège de la Cosmos Bank. Il y a environ 12 000 transactions de retrait distinctes à partir de divers guichets automatiques à travers le monde.
La banque a perdu près de 14 millions de dollars (209,5 milliards de roupies).
A lire aussi :
C’était un crime audacieux compte tenu de l’ampleur et de la synchronisation méticuleuse.
Ils ont pillé des guichets automatiques dans 28 pays différents, dont les États-Unis, le Royaume-Uni, les Émirats arabes unis et la Russie. Tout cela s’est passé en seulement deux heures et 13 minutes, comme Flash mob d’un mal mondial extraordinaire.
L’enquête a ensuite conduit à un groupe de pirates qui avaient précédemment mené une série d’attaques similaires, apparemment menées sur ordre de la Corée du Nord.
Mais avant de comprendre l’ampleur de l’affaire, les enquêteurs de la cybercriminalité du Maharashtra ont été étonnés de voir les images de vidéosurveillance. Les images de la caméra de surveillance montrent des dizaines d’hommes marchant vers un certain nombre de guichets automatiques, insérant des cartes de guichet automatique et mettant des billets de banque dans des sacs.
“Nous n’avons pas connaissance de ce type de réseau de messagerie de blanchiment d’argent”, a déclaré l’inspecteur général Brijesh Singh, qui dirige l’enquête.
Selon Singh, un groupe a des superviseurs qui surveillent les transactions des guichets automatiques directement sur des ordinateurs portables.
Les images de vidéosurveillance montrent que chaque fois que le coursier essayait de garder une partie de l’argent pour lui, le superviseur le remarquait et le giflait violemment.
À l’aide d’images de vidéosurveillance ainsi que de données de téléphones portables provenant de zones autour du guichet automatique, les enquêteurs ont arrêté 18 suspects dans les semaines suivant le vol. La plupart d’entre eux sont maintenant en prison, en attente de jugement.
Singh dit que ces gens ne sont pas de grands criminels. Parmi les personnes arrêtées figuraient un serveur, un chauffeur, un cordonnier et avaient même le titre de pharmacien.
“Ce sont de bonnes personnes”, a-t-il déclaré.
Cependant, selon Singh, les personnes qui ont été recrutées comme ” figurants ” savaient ce qu’elles faisaient réellement au moment du vol.
Mais savent-ils pour qui ils travaillent ?
Les enquêteurs pensent que la Corée du Nord, secrète et isolée, est à l’origine du vol.
La Corée du Nord est l’un des pays les plus pauvres du monde, mais la plupart de ses ressources limitées sont consacrées à la construction d’armes nucléaires et de missiles balistiques, qui sont interdits par le Conseil de sécurité de l’ONU.
En conséquence, les Nations Unies ont imposé des sanctions sévères au pays, de sorte que son commerce a été sévèrement restreint.
Depuis son arrivée au pouvoir il y a 11 ans, le dirigeant nord-coréen Kim Jong Un a supervisé une campagne d’essais d’armes sans précédent, comprenant quatre essais nucléaires ainsi qu’un certain nombre de tentatives provocatrices pour tester le lancement de missiles intercontinentaux.
Les autorités américaines pensent que le gouvernement nord-coréen utilise un groupe d’élite de pirates informatiques pour pénétrer dans les banques et les institutions financières du monde entier afin de voler l’argent dont ils ont besoin pour soutenir leur économie et financer leurs projets d’armement.
Les pirates, surnommés le groupe Lazarus, proviendraient d’une unité dirigée par la puissante agence de renseignement militaire nord-coréenne, le Reconnaissance General Bureau.
Les experts en cybersécurité ont surnommé les pirates d’après le personnage biblique Lazare qui est ressuscité des morts. La raison en est qu’une fois que leurs virus pénètrent dans le réseau informatique, ils sont presque impossibles à désactiver.
Le groupe s’est d’abord fait connaître à l’échelle internationale lorsque le président américain de l’époque, Barack Obama, a accusé la Corée du Nord piraté le réseau informatique de Sony Pictures Entertainment en 2014.
Le FBI accuse les pirates d’avoir mené des cyberattaques destructrices en représailles à “L’interview“, un film comique sur l’assassinat de Kim Jong Un.
Dès lors, le groupe Lazarus est accusé tenté de voler 1 milliard de dollars américains (14,96 billions de roupies) de la Banque centrale du Bangladesh en 2016. Ils sont également accusés d’avoir lancé la cyberattaque WannaCry qui visait à soutirer une rançon à ses victimes dans le monde entier, y compris le NHS, le service national de santé britannique.
La Corée du Nord nie l’existence du groupe Lazarus, ainsi que toutes les allégations selon lesquelles le piratage a été parrainé par l’État.
Mais les principaux organismes chargés de l’application de la loi affirment que les piratages de la Corée du Nord sont plus avancés, plus audacieux et plus ambitieux que jamais.
Pour le vol de Cosmos, les pirates ont utilisé une technique connue sous le nom de “jackpotting”, car elle fait en sorte que le guichet automatique distribue de l’argent de la même manière qu’une machine à sous remporte le jackpot.
Initialement, le système bancaire a été compromis de manière classique : par e-mail Hameçonnage qui a été ouvert par un employé qui a ensuite infecté le réseau informatique avec des logiciels malveillants.
Une fois à l’intérieur, les pirates ont manipulé le logiciel du guichet automatique, qui a envoyé un message à la banque pour approuver les retraits en espèces.
Cela donne alors aux pirates le pouvoir d’autoriser les retraits aux guichets automatiques par leurs complices partout dans le monde.
La seule chose qu’ils ne pouvaient pas changer était le montant maximum pour chaque avance de fonds, ils avaient donc besoin de beaucoup de cartes et de beaucoup de monde sur le terrain.
En préparation du vol, ils ont travaillé avec leurs complices pour créer des cartes de guichet automatique “clones”, en utilisant de vraies données de compte bancaire mais en utilisant des cartes en double qui pourraient être utilisées dans les guichets automatiques.
La société de sécurité britannique BAE Systems a immédiatement soupçonné que le vol avait été orchestré par le groupe Lazarus.
BAE Systems surveillait le groupe depuis des mois et savait qu’ils prévoyaient d’attaquer des banques indiennes. C’est juste qu’ils ne savent pas quelle banque.
“C’est trop fortuit pour que cela se transforme en une autre opération criminelle”, a déclaré Adrian Nish, chercheur en sécurité au BAE.
Le groupe Lazarus a un caractère polyvalent et est très ambitieux, a-t-il déclaré.
“La plupart des groupes criminels sont probablement très heureux lorsqu’ils s’en tirent avec quelques millions et en restent là.”
La logistique impliquée dans le vol de la Cosmos Bank était stupéfiante. Comment les pirates ont-ils trouvé des complices dans 28 pays, y compris des pays que les citoyens nord-coréens ne peuvent pas visiter légalement ?
Jean H. Lee/Getty imagesLes citoyens nord-coréens ne peuvent pas voyager librement
Les enquêteurs américains en sécurité technologique pensent que le groupe Lazarus a rencontré l’un des principaux facilitateurs du dark web, où les forums dédiés à l’échange de compétences en matière de piratage sont également un lieu où les pirates vendent des services d’assistance.
En février 2018, un utilisateur se faisant appeler le “Big Boss” a publié des conseils sur la façon de commettre une fraude par carte de crédit.
Il affirme également disposer de l’équipement nécessaire pour créer des cartes de guichet automatique clonées et avoir accès à un groupe de coursiers pour voler de l’argent aux États-Unis et au Canada.
C’était ce service dont le groupe Lazarus avait besoin pour sa mission à Cosmos Bank, et ils ont commencé à travailler avec le « Big Boss ».
Nous avons demandé à Mike DeBolt, responsable de l’unité de renseignement d’Intel 471, une société de sécurité technologique aux États-Unis, d’en savoir plus sur leurs complices.
L’équipe de DeBolt a découvert que “Big Boss” était actif depuis au moins 14 ans et avait une série d’alias : G, Habibi et Backwood.
Les enquêteurs ont pu le relier à tous ces noms d’utilisateur car il utilisait la même adresse e-mail sur différents forums.
“En gros, il est paresseux”, a déclaré DeBolt.
“On voit souvent quelque chose comme ça : les acteurs changent d’alias sur les forums, mais continuent d’utiliser la même adresse e-mail.”
En 2019, « Big Boss » a été arrêté aux États-Unis. Son identité a été ouverte, à savoir Ghaleb Alaumary, un citoyen canadien de 36 ans.
Il a plaidé coupable à un certain nombre d’infractions, dont le blanchiment d’argent provenant d’un braquage de banque nord-coréen présumé. Il a été condamné à 11 ans et huit mois de prison.
La Corée du Nord n’a jamais reconnu aucune implication dans l’affaire Cosmos Bank, ni dans aucun autre stratagème de piratage.
La BBC a tenté de confirmer leur implication présumée dans l’attaque de Cosmos contre l’ambassade de Corée du Nord à Londres, mais n’a reçu aucune réponse.
Mais lorsque nous l’avons contacté plus tôt, l’ambassadeur Choe Il a répondu que les accusations de piratage et de blanchiment d’argent parrainés par la Corée du Nord étaient une “blague” et constituaient une tentative des États-Unis de “ternir l’image de notre pays”.
Depuis février 2021, le FBI, les services secrets américains et le ministère de la Justice accusé trois suspects Les pirates du groupe Lazarus, à savoir Jon Chang Hyok, Kim Il et Park Jin Hyok, qui, selon eux, travaillent pour l’agence de renseignement militaire nord-coréenne. On pense maintenant qu’ils sont retournés à Pyongyang.
DoJ Kim Il, Park Jin Hyok, Jon Chang Hyok de
Les autorités américaines et sud-coréennes estiment que la Corée du Nord compte jusqu’à 7 000 pirates informatiques formés.
Il est impossible pour tous de travailler depuis l’intérieur du pays, où seules quelques personnes sont autorisées à utiliser Internet, il est donc difficile de cacher l’activité des utilisateurs. Au lieu de cela, ils sont souvent expédiés à l’étranger.
Ryu Hyeon Woo, ancien diplomate nord-coréen et l’une des personnalités les plus éminentes à avoir quitté le régime, décrit comment ces pirates travaillent depuis l’étranger.
En 2017, il a servi à l’ambassade de Corée du Nord au Koweït, aidant à superviser le travail de quelque 10 000 ressortissants nord-coréens dans le pays.
A cette époque, beaucoup travaillaient sur des chantiers de construction dans la région du pays du golfe. Comme tous les travailleurs nord-coréens, ils sont obligés de reverser une grande partie de leur salaire au gouvernement.
Il a déclaré que son bureau recevait chaque jour des appels d’un superviseur nord-coréen qui surveillait 19 pirates informatiques vivant et travaillant dans un quartier exigu de Dubaï.
“C’est tout ce dont ils ont besoin : un ordinateur connecté à Internet”, a-t-il déclaré.
La Corée du Nord nie avoir des pirates informatiques stationnés à l’étranger, mais seulement des informaticiens avec des visas légaux.
Mais la description soumise par Ryu est conforme aux accusations du FBI sur le fonctionnement de cette cyber-unité à travers le monde.
En septembre 2017, le Conseil de sécurité de l’ONU a imposé les sanctions les plus sévères contre la Corée du Nord, restreignant les importations de carburant, les exportations supplémentaires et exigeant que les États membres de l’ONU rapatrient les travailleurs nord-coréens d’ici décembre 2019.
Mais ces pirates semblent toujours être actifs. Ils ciblent désormais les sociétés de crypto-monnaie et auraient volé près de 3,2 milliards de dollars américains (47,89 billions de roupies).
Les États-Unis les ont appelés “les principaux voleurs de banque du monde” qui s’appuyaient sur “des claviers, pas des armes à feu”.
Cet article provient du podcast BBC World Services : Le casse de Lazare
Voir aussi “La nouvelle forme d’ogive nucléaire de la Corée du Nord”:
(ça ça)
