Des hackers ont fait fluctuer le cours du rouble en piratant une banque

Le 27 février 2015, une série de transactions monétaires étranges ont soumis le cours du rouble à une forte volatilité. Pendant 14 minutes, la monnaie russe a joué au yoyo, évoluant entre 55 et 66 roubles pour un dollar, ce qui était totalement anormal compte tenu du marché. Ces transactions provenaient toutes de la banque Energobank, située en république du Tatarstan. Une enquête a été diligentée par la banque centrale de Russie.

Il s’avère maintenant que ces achats-ventes de devises ont été créées à l’insu d’Energobank par… des hackers. C'est en tous les cas ce que révèle Bloomberg Business, qui a interrogé Group-IB, une société russe spécialisée en cybersécurité et chargée de l'investigation informatique chez Energobank.

Il s'agissait peut-être d'un test

Ainsi, la banque tatare a été infectée par un cheval de Troie connu sous le nom de "Metel" ou "Corkow". Il s'agit d'un malware assez sophistiqué qui permet d'espionner l'activité de l'organisation cible et qui fournit aux pirates un accès à distance au système d'information. Une fois qu'ils ont eu accès au bon ordinateur, ils ont créé une série d'ordres d'achat-vente dont le volume total s'est élevé à plus de 500 millions de dollars.

Selon Energobank, ces transactions ont généré une perte sèche de 3,2 millions de dollars. Les pirates, eux, n'auraient rien gagné dans cette affaire, a priori. Group-IB pense qu'il s'agissait peut-être d'un test pour préparer des attaques futures.

La semaine dernière, l'éditeur Kaspersky avait révélé une autre action coup de poing du groupe de pirates qui se cache derrière Metel. A la suite d'un de leurs piratages, ils avaient trouvé le moyen d'annuler la comptabilisation de retraits effectués auprès des distributeurs de billets. Ce qui a permis à une mule d'effectuer un grand nombre de retraits sur un même compte - avec une carte piratée- mais auprès de distributeurs différents. Ces actions se faisaient généralement pendant la nuit. Le banque qui gérait le compte en question n'y a vu que du feu, le solde du compte n'ayant pas bougé d'un iota.

D'après Group-IB, ces pirates auraient infiltré au total une centaine d'institutions et plus de 250.000 ordinateurs dans le monde. Pour l'instant, ils ne semblent sévir qu'en Russie, mais il est probable qu'ils soient également intéressés par les banques des autres pays. "Ce qui leur manque pour l'instant, c'est l'infrastructure pour le blanchiment d'argent", expliquait Sergey Golovanov, un chercheur en sécurité chez Kaspersky.