Corkow : la cyberattaque qui a fait dévisser le rouble russe

Reynald Fléchaux,

En février 2015, des hackers qui avaient infecté une banque régionale russe sont parvenus à passer des ordres massifs sur les marchés. Déstabilisant la parité entre le rouble et le dollar.

Des hackers peuvent-ils influer sur le cours des monnaies ? La question toute théorique jusqu’à présent aurait trouvé début 2015 une démonstration pratique, selon Group-IB, une société russe spécialisée en cybersécurité. Cette dernière a enquêté sur le système informatique de la banque Energobank, située dans la république de l’ex-URSS appelée Tatarstan. Selon ces experts, interrogés par Bloomberg, des hackers ont utilisé un malware appelé Corkow pour infecter cet établissement et placer pour 500 M$ d’ordres sur les marchés financiers.

Ces ordres ont provoqué des fluctuations importantes de la parité rouble-dollar – de l’ordre de 15 % en quelques minutes, le 27 février 2015. Un événement inhabituel sur le marché qui a attiré l’attention de la banque centrale russe. Dans sa propre investigation, cette dernière avait établi qu’il ne s’agissait pas d’une manipulation du marché. La banque centrale tablait alors sur une erreur de certains traders. L’enquête complémentaire ordonnée par Energobank, qui a perdu 3,2 M$ dans la fluctuation des cours ce 27 février 2015, semble donc indiquer que ces prétendues erreurs étaient en fait le résultat de l’action de hackers.

Un simple test pour Corkow

Selon Group-IB, Corkow, qui se diffuse via des sites ou des fichiers apparaissant légitimes, est régulièrement mis à jour par ses concepteurs pour échapper aux outils antiviraux. Et la souche infectieuse se serait infiltrée sur pas moins de 250 000 PC dans le monde. Plus de 100 institutions financières seraient touchées. « Il s’agit de la première attaque documentée utilisant ce virus et ce dernier a le potentiel pour faire beaucoup plus de dégâts », assure Dmitry Volkov, qui dirige le département cyber intelligence de Group-IB.

Pour la société spécialisée en sécurité, il n’existe aucune preuve que les assaillants ont profité directement de la manipulation des taux de change en février 2015. Les experts pensent même que cette opération n’était en réalité qu’un galop d’essai. En août dernier, Corkow a en effet été réutilisé pour infecter le système bancaire russe permettant le vol de millions de roubles via les distributeurs automatiques. L’éditeur d’outils de sécurité Kaspersky a confirmé que Corkow, créé par un groupe criminel du nom de Metel, a bien infecté le réseau d’une banque russe non identifiée, ouvrant la voie à ce piratage de grande ampleur. Au cours de ce dernier, les possesseurs de cartes bancaires pouvaient effectuer des retraits aux distributeurs sans que leur solde en soit impacté.

A lire aussi :

Russie : les entreprises face au défi des données personnelles

Comment des hackers ont provoqué une panne de courant en Ukraine

Crédit photo : Oleg Golovnev / Shutterstock