Lazarus group : 14 millions de dollars piratés dans des distributeurs automatiques de billets du monde entier

Imaginez que vous êtes un salarié indien à faible revenu à qui l'on propose une journée de travail en tant que figurant dans un film de Bollywood. Votre rôle ? Vous rendre à un distributeur automatique de billets et retirer de l'argent.

En 2018, plusieurs hommes de l'État du Maharashtra pensaient accepter un rôle secondaire dans un film, mais ils ont en fait été piégés pour devenir des "mules", collectant de l'argent dans le cadre d'un ambitieux braquage de banque.

Le vol a eu lieu au cours d'un week-end d'août 2018 et s'est concentré sur la Cosmos Co-operative Bank, basée à Pune.

Par un samedi après-midi tranquille, le personnel du siège de la banque a soudain reçu une série de messages alarmants.

Ils provenaient de la société de cartes de paiement Visa, basée aux États-Unis, avertissant qu'il pourrait y avoir des milliers de poursuites en raison de retraits importants d'argent liquide aux distributeurs automatiques par des personnes utilisant apparemment des cartes de la banque Cosmos.

Mais lorsque l'équipe de Cosmos a vérifié ses propres systèmes, elle n'a constaté aucune transaction anormale.

Articles recommandés :

Environ une demi-heure plus tard, par prudence, ils autorisent Visa à bloquer toutes les transactions effectuées avec les cartes bancaires Cosmos. Ce retard s'est avéré extrêmement coûteux.

Le lendemain, Visa communique au siège de Cosmos la liste complète des transactions suspectes : environ 12 000 retraits distincts dans différents distributeurs automatiques de billets à travers le monde.

La banquea perdu près de 14 millions de dollars.

Il s'agit d'un crime audacieux, caractérisé par son ampleur et son timing méticuleux. Les criminels ont pillé des distributeurs automatiques de billets dans 28 pays différents, dont les États-Unis, le Royaume-Uni, les Émirats arabes unis et la Russie.

Tout cela s'est produit en l'espace de seulement deux heures et 13 minutes : une extraordinaire mobilisation mondiale organisée et criminelle.

Les enquêteurs ont fini par remonter jusqu'à un obscur groupe de pirates informatiques qui avaient réalisé une succession d'escroqueries antérieures apparemment commandées par la Corée du Nord.

Mais avant de se faire une idée plus précise du vol, les enquêteurs de l'unité de lutte contre la cybercriminalité du Maharashtra ont été choqués de voir des images de vidéosurveillance montrant des dizaines d'hommes s'approchant d'une série de distributeurs automatiques de billets, insérant des cartes bancaires et glissant des billets dans des sacs.

"Nous n'avions pas connaissance d'un tel réseau de passeurs d'argent", déclare l'inspecteur général Brijesh Singh, qui a dirigé l'enquête.

Selon M. Singh, l'un des groupes criminels disposait d'un gestionnaire qui surveillait en temps réel les transactions effectuées dans les distributeurs automatiques de billets à l'aide d'un ordinateur portable. Les images de vidéosurveillance ont montré qu'à chaque fois qu'une mule tentait de prendre de l'argent, le préposé la voyait et la giflait violemment.

À l'aide des images de vidéosurveillance et des données fournies par les téléphones portables situés à proximité des distributeurs, les enquêteurs indiens ont pu arrêter 18 suspects dans les semaines qui ont suivi le vol.

La plupart d'entre eux sont aujourd'hui en prison, dans l'attente de leur procès.

Selon M. Singh, ces hommes n'étaient pas des voleurs invétérés. Parmi les personnes arrêtées figurent un serveur, un chauffeur et un cordonnier. Un autre était diplômé en pharmacie. "C'étaient des gens nobles", affirme-t-il.

Malgré cela, il pense qu'au moment du vol, même les hommes recrutés comme "figurants" savaient ce qu'ils faisaient réellement.

Mais savaient-ils pour qui ils travaillaient ?

La piste nord-coréénne

Les enquêteurs pensent que l'État nord-coréen, secret et isolé, est à l'origine du vol.

La Corée du Nord est l'une des nations les plus pauvres du monde, mais une grande partie de ses ressources limitées est consacrée à la fabrication d'armes nucléaires et de missiles balistiques, une activité interdite par le Conseil de sécurité des Nations unies.

En conséquence, les Nations unies ont imposé de lourdes sanctions au pays, rendant son commerce très restrictif.

Depuis son arrivée au pouvoir il y a 11 ans, le dirigeant nord-coréen Kim Jong Un a supervisé une campagne sans précédent d'essais d'armes, dont quatre essais nucléaires et plusieurs tentatives provocatrices de lancement de missiles intercontinentaux.

Les autorités américaines pensent que le gouvernement nord-coréen utilise un groupe de pirates informatiques d'élite pour pénétrer dans les banques et les institutions financières du monde entier afin de voler l'argent dont il a besoin pour maintenir son économie à flot et financer son programme d'armement.

Ces pirates, baptisés "Lazarus Group", appartiendraient à une unité dirigée par la puissante agence de renseignement militaire nord-coréenne, le General Reconnaissance Bureau (Bureau de reconnaissance générale).

Les experts en cybersécurité ont donné à ces pirates le nom du personnage biblique Lazare, qui revient d'entre les morts, parce qu'une fois que leurs virus pénètrent dans les réseaux informatiques, ils sont pratiquement impossibles à éliminer.

Le groupe est devenu célèbre dans le monde entier lorsque le président américain de l'époque, Barack Obama, a accusé la Corée du Nord d'avoir piraté le réseau informatique de Sony Pictures Entertainment en 2014.

Le FBI a accusé les pirates d'avoir mené cette cyberattaque préjudiciable en représailles à "The Interview", un film comique décrivant l'assassinat de Kim Jong Un.

Depuis, le Lazarus Group a été accusé d'avoir tenté de voler un milliard de dollars américains à la banque centrale du Bangladesh en 2016 et d'avoir lancé la cyberattaque WannaCry qui a tenté de faire chanter des organisations et des particuliers dans le monde entier, y compris le Service national de santé du Royaume-Uni.

La Corée du Nord nie catégoriquement l'existence du Lazarus Group et toutes les allégations de piratage informatique parrainé par l'État.

Mais les principales agences de sécurité affirment que les attaques de la Corée du Nord sont plus avancées, plus effrontées et plus ambitieuses que jamais.

Pour le vol de Cosmos, les pirates ont utilisé une technique connue sous le nom de "jackpotting", ainsi appelée parce qu'elle permet au distributeur automatique de billets de déverser son argent comme s'il s'agissait d'un gain à une machine à sous.

Comme gagner aux machines à sous

Les systèmes de la banque ont d'abord été compromis de manière classique : par un courriel d'hameçonnage ouvert par un employé, qui a infecté le réseau informatique avec un logiciel malveillant. Une fois à l'intérieur, les pirates ont manipulé le logiciel, appelé commutateur ATM, qui envoie des messages à une banque pour approuver un retrait d'argent.

Les pirates avaient ainsi le pouvoir de permettre à leurs complices d'effectuer des retraits dans des distributeurs automatiques de billets n'importe où dans le monde.

La seule chose qu'ils ne pouvaient pas changer était le montant maximum de chaque retrait, ce qui leur a permis d'avoir besoin de beaucoup de cartes et de beaucoup de personnes sur le terrain.

Pour préparer le hold-up, ils ont travaillé avec des complices pour créer des cartes de guichet automatique "clonées", en utilisant les données de comptes bancaires authentiques pour créer des cartes dupliquées qui peuvent être utilisées dans les guichets automatiques.

La société de sécurité britannique BAE Systems a immédiatement soupçonné le Lazarus Group.

Elle les surveillait depuis des mois et savait qu'ils préparaient une attaque contre une banque indienne. Mais il ne savait pas laquelle.

"Cela aurait été une trop grande coïncidence s'il s'était agi d'une autre opération criminelle", explique Adrian Nish, chercheur en sécurité chez BAE.

Le Lazarus Group est polyvalent et très ambitieux, ajoute-t-il. "La plupart des groupes criminels se contenteraient probablement de quelques millions et s'arrêteraient là.

Comment les pirates ont-ils pu trouver des complices dans 28 pays, dont plusieurs où les citoyens nord-coréens n'ont pas le droit de se rendre ?

Le Dark web comme ressource

Les chercheurs américains en sécurité technologique pensent que le Lazarus Group a rencontré un facilitateur clé sur le dark web, où des forums entiers sont consacrés à l'échange de compétences en matière de piratage et où les criminels vendent souvent des services d'assistance.

En février 2018, un utilisateur se faisant appeler Big Boss a publié des conseils sur la manière de commettre des fraudes à la carte de crédit.

Il a également indiqué qu'il disposait de l'équipement nécessaire pour fabriquer des cartes ATM clonées et qu'il avait accès à un groupe de passeurs de fonds aux États-Unis et au Canada.

C'était précisément le service dont le Lazarus Group avait besoin pour son attaque contre la Cosmos Bank, et il a commencé à travailler avec Big Boss.

Nous avons demandé à Mike DeBolt, directeur du renseignement chez Intel 471, une société de sécurité technologique américaine, d'obtenir plus d'informations sur ce complice.

L'équipe de DeBolt a découvert que Big Boss était actif depuis au moins 14 ans et qu'il avait une série d'alias : G, Habibi et Backwood.

Les détectives de la sécurité ont pu le relier à tous ces noms d'utilisateur, car il utilisait la même adresse électronique sur différents forums.

"En fait, il est paresseux", explique M. DeBolt. "Nous voyons cela assez souvent : les acteurs changent de pseudonyme sur un forum, mais conservent la même adresse électronique."

En 2019, Big Boss a été arrêté aux États-Unis et démasqué comme étant Ghaleb Alaumary, un Canadien de 36 ans.

Il a plaidé coupable de crimes, notamment de blanchiment de fonds provenant de prétendus casses de banques nord-coréennes, et a été condamné à 11 ans et huit mois.

La Corée du Nord n'a jamais admis être impliquée dans le travail de la Cosmos Bank, ni dans aucun autre système de piratage.

La BBC a soulevé des allégations d'implication dans l'attaque de Cosmos contre l'ambassade nord-coréenne à Londres, mais n'a reçu aucune réponse.

Cependant, lorsque nous avons contacté l'ambassadeur Choe Il, celui-ci a répondu que les allégations de piratage informatique et de blanchiment d'argent parrainés par l'État nord-coréen étaient "une farce" et une tentative des États-Unis de "ternir l'image de notre État".

En février 2021, le FBI, les services secrets américains et le ministère de la justice ont annoncé l'inculpation de trois pirates informatiques présumés du Lazarus Group - Jon Chang Hyok, Kim Il et Park Jin Hyok - qui ont déclaré travailler pour l'agence de renseignement militaire de la Corée du Nord.

On pense maintenant qu'ils sont de retour à Pyongyang.

Les autorités américaines et sud-coréennes estiment que la Corée du Nord possède jusqu'à 7 000 pirates informatiques entraînés.

Il est peu probable qu'ils travaillent tous à l'intérieur du pays, où peu de personnes sont autorisées à utiliser l'internet, ce qui rend difficile la dissimulation des activités des utilisateurs. Au contraire, ils sont souvent envoyés à l'étranger.

Ryu Hyeon Woo, ancien diplomate nord-coréen et l'une des personnes les plus importantes à avoir quitté le régime, a donné un aperçu de la manière dont les pirates informatiques travaillent à l'étranger.

En 2017, il travaillait à l'ambassade de Corée du Nord au Koweït, où il supervisait l'emploi de quelque 10 000 Nord-Coréens dans la région.

À l'époque, nombre d'entre eux travaillaient sur des chantiers de construction dans le Golfe et, comme tous les travailleurs nord-coréens, devaient remettre la majeure partie de leur salaire au régime.

Il a déclaré que son bureau recevait un appel quotidien d'un responsable nord-coréen qui supervisait 19 pirates informatiques vivant et travaillant dans des locaux exigus à Dubaï.

"C'est tout ce dont ils ont besoin : un ordinateur connecté à Internet", a-t-il déclaré.

La Corée du Nord nie envoyer des pirates informatiques à l'étranger, mais seulement des informaticiens munis de visas valides.

Mais la description de M. Ryu correspond aux allégations du FBI sur la manière dont ces cyberunités opèrent à partir de dortoirs dans le monde entier.

En septembre 2017, le Conseil de sécurité des Nations unies a imposé à la Corée du Nord les sanctions les plus sévères à ce jour, limitant les importations de carburant, restreignant davantage les exportations et exigeant des pays membres des Nations unies qu'ils renvoient les travailleurs nord-coréens chez eux d'ici décembre 2019.

Cependant, les pirates informatiques semblent toujours actifs. Ils ciblent désormais les sociétés de crypto-monnaies et auraient dérobé environ 3,2 milliards de dollars américains.

Les autorités américaines les ont qualifiés de "premiers braqueurs de banque au monde", utilisant "des claviers au lieu d'armes à feu".