Socialnetlink La criminalité représente aujourd’hui un défi sans précédent pour les banques en termes de sécurité des systèmes d’information, de continuité d’activité et de protection des données. En effet, les cyberattaques représentent une menace sérieuse pour les établissements bancaires. Dans un rapport publié par Group-IB, SocialNetLink a pu constater que 30 banques ont fait l’objet d’attaques entre 2018 et 2022.
Dénommé OPERA1ER, le rapport sur les cyberattaques envers des institutions financières principalement en Afrique révèle la fragilité de certains établissements bancaires. Leader mondial de la cybersécurité basé à Singapour, le Group-IB en collaboration avec les chercheurs du CERT Orange se sont penchés sur les agissements d’OPÉRA1ER. Il s’agit en effet d’un réseau de hackers francophones aux motivations financières.
Un Jackpot de 11 millions de Dollars
L’objectif de cette étude parcourue par SocialNetlink est pour en explorer en détail les offensives : « Le gang, équipé seulement d’outils « prêts à l’emploi », a réussi plus de 30 attaques visant des banques, des établissements de services financiers et des opérateurs de télécommunications principalement basés en Afrique entre 2018 et 2022 ».
Le rapport indique que le montant des gains d’OPERA1ER est confirmé à 11 millions de dollars au moins d’après les estimations. Selon la même source, une des attaques d’OPERA1ER reposait sur un vaste réseau de 400 comptes de mules ouverts pour effectuer les retraits de l’argent issu de cette fraude. Durant cette période, les chercheurs de l’unité European Threat Intelligence de Group-IB ont identifié et contacté 16 organisations touchées pour les aider à contenir la menace et à prévenir les futures attaques d’OPERA1ER.
Le modus operandi des hackers est « d’employer uniquement des outils publics ». OPERA1ER a ainsi utilisé comme point de pivot un serveur de mise à jour d’antivirus déployé dans l’infrastructure attaquée (ndlr).
Ce rapport a été finalisé selon Group-IB en 2021, année où le gang était toujours actif. Alerté par l’intérêt grandissant de Group-IB pour ses activités, OPERA1ER a commencé à supprimer ses comptes et à modifier ses TTP afin de couvrir ses traces. Group-IB a décidé de reporter la publication de ce rapport, préférant attendre que l’acteur malveillant se manifeste de nouveau, ce qui s’est produit en 2022. De ce fait, le rapport contient également les indicateurs de compromission (IoC) relatifs à la période 2019-2021.
Par ailleurs, d’autres éléments portent à croire qu’OPERA1ER a réussi, au moins dans deux banques, à accéder à l’interface de messagerie SWIFT (vraisemblablement Alliance Access) exécutée sur les ordinateurs des banques. Le logiciel sert à communiquer les détails des transactions financières. Il est à noter que le SWIFT n’a pas été compromis, même si les attaquants ont réussi à s’introduire dans les systèmes des banques où était installé le logiciel.
« Dans une des banques, les hackers ont pris le contrôle d’un serveur SMS, qui a pu être utilisé pour contourner les dispositifs anti-fraude ou encore pour retirer de l’argent au moyen de systèmes de paiement ou de services bancaires mobiles. Toutefois, nous ne savons pas si l’acteur malveillant est parvenu à voler de l’argent au cours de ces attaques », lit-on dans le rapport.
Pour la première fois, Group-IB détaille l’ensemble des tactiques, techniques et procédures d’OPERA1ER, ainsi que les outils et la kill chain identifiés au fil des différentes enquêtes sur des incidents provoqués par le gang. Group-IB, dont le siège est situé à Singapour, est un des principaux fournisseurs de solutions dédiées à la détection et la prévention des cyberattaques, à l’identification des fraudes en ligne, à l’investigation des cybercrimes et à la protection de la propriété intellectuelle. Les centres de recherche et de Threat Intelligence de l’entreprise sont répartis au Moyen-Orient (Dubaï), en Asie-Pacifique (Singapour) et en Europe (Amsterdam).
