Des pirates nord-coréens s’introduisent dans des banques du monde entier

Last updated Déc 3, 2022

Le groupe de hackers nord-coréen BeagleBoyz a recommencé à voler des banques via un accès à distance à partir de février 2020 afin de financer le régime nord-coréen

Des pirates nord-coréens connus sous le nom de BeagleBoyz utilisent des outils d’accès à distance malveillants pour voler des millions de banques internationales, selon un rapport publié aujourd’hui par plusieurs agences gouvernementales américaines.

Le rapport indique que le groupe de hackers nord-coréen BeagleBoyz a recommencé à voler des banques via un accès à distance depuis février 2020 afin de financer le régime nord-coréen.

Les pirates volent de l’argent en utilisant le bogue du guichet automatique de Santander

Le bogue a permis aux attaquants d’utiliser de fausses cartes de débit pour retirer plus de fonds des guichets automatiques qu’il n’y en avait sur le solde.

Les BeatleBoys attaquent actuellement des banques dans plus de 30 pays à travers le monde dans le cadre d’un plan de vol de banque en cours dans le but de voler 2 milliards de dollars, a tweeté le US Cyber Command.

Pays attaqués par le groupe

«Depuis février 2020, la Corée du Nord a repris un travail ciblé avec les banques de nombreux pays pour initier des transferts d’argent internationaux frauduleux et des retraits d’espèces aux distributeurs automatiques. La récente reprise fait suite à une accalmie du ciblage bancaire depuis fin 2019.

Lors d’une attaque contre des guichets automatiques, les pirates de BeagleBoyz ont réussi à retirer de l’argent à des guichets automatiques exploités par des banques dans des dizaines de pays, dont les États-Unis.

Par exemple, ils ont réussi à voler 81 millions de dollars à la Bangladesh Bank en 2016. Heureusement, la Federal Reserve Bank de New York a pu arrêter la tentative de transfert de 1 milliard de dollars après avoir détecté des anomalies dans les instructions de transfert reçues de la Banque du Bangladesh.

Les pirates ont montré comment forcer les guichets automatiques populaires à émettre de l’argent et des données clients

Les chercheurs ont introduit deux nouvelles vulnérabilités zero-day dans les guichets automatiques populaires qui leur permettent d’obtenir des données sur les clients bancaires, ainsi que de faire "cracher de l’argent" au guichet automatique.

Les BeagleBoyz font partie du Bureau du renseignement général du gouvernement nord-coréen et sont actifs depuis au moins 2014, volant des centaines de millions aux banques pour financer le régime du pays.

BeagleBoyz chevauche d’autres groupes surveillés par des sociétés de cybersécurité, notamment APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) et Stardust Chollima (CrowdStrike).

Schéma de l’attaque BeagleBoyz

BeagleBoyz utilise une variété d’outils et de méthodes pour accéder au réseau d’une institution financière, étudier la topologie pour découvrir les systèmes clés et monétiser leur accès. L’analyse technique ci-dessus est un amalgame de nombreux incidents connus, et non les détails d’une seule opération », ont déclaré les agences.

Les Nord-Coréens ont été observés en utilisant un large éventail de méthodes pour accéder aux systèmes des victimes, y compris diverses formes de phishing ainsi que l’ingénierie sociale, de 2018 au début de 2020.

Ils peuvent également avoir utilisé les services de groupes de piratage criminel tels que TA505 pour accéder initialement aux institutions financières ciblées, et plusieurs mois plus tard, dans certains cas, ont mené une attaque finale contre les systèmes bancaires des victimes.

"En plus de voler les institutions financières traditionnelles, les BeagleBoyz ont ciblé les échanges cryptographiques pour voler de grandes quantités de crypto-monnaies, parfois évaluées à des centaines de millions de dollars en un seul incident", a conclu l’avis.