Banque du Qatar – Piratage et fuite de données massive

5
189

“QNB Data Leak” – Voila une information majeure mais qui a pourtant été passée sous silence de la majeure partie des médias ces derniers jours. Le 26 avril, le site Cryptome.org a publié une archive de 500 Mo de données issues de la banque du Qatar (Qatar Natonial Bank, QNB). Au total, ce sont 1,4 Go de fichiers que cumulent plus de 15 000 documents, dont des identifiants et des opérations bancaires.

En tout, ce sont 1,4 Gigas d’informations sur pas moins de 400 000 clients résidents qui ont fuité

QNB-LogoParmi les documents en fuite se trouve en effet une base de données répertoriant plus d’un million de cartes bancaires, incluant le nom du propriétaire, la date d’expiration et le plafond de retrait lié. Dans un autre dossier issu du piratage de la banque QNB se trouve une liste de clients singuliers, tels que des membres de la famille royale du Qatar Al Thani, des employés de la chaîne de télévision Al Jazeera, des “Moukhabarate” (services secrets) du petit État du Golfe, du Département de la Défense américaine mais également des espions du MI6 et de la DGSE.

Un homme a droit à un traitement spécial : Youssef al-Qardaoui. Les pirates ont consacré un dossier entier aux différents comptes à la QNB de ce controversé prédicateur, porte voix des Frères musulmans. Cette figure théologique influente a dû fuir l’Égypte dans les années 1960 pour trouver réfuge au Qatar, où il a été un proche de l’ancien émir. En 2014, l’Égypte a demandé et obtenu d’Interpol un mandat d’arrêt international pour incitation au meurtre, vandalisme, violence et vol.

Ces dossiers ciblés contiennent des informations bancaires mais également des photos, des liens vers différents réseaux sociaux et des mots de passe qui semblent donner accès à leur interface client sur QNB. Notons toutefois que ces fichiers bien mis en valeur dans l’archive dévoilée par le cybercriminel ne sont pour le moment pas authentifiés et pourraient être un piège… mais beaucoup ont déjà été identité comme réels et certaines victimes visées se sont dit “choquée”. Pour Simon Edwards, expert en sécurité informatique pour l’entreprise japonaise d’antivirus Trend Micro, les pirates cherchaient à “mettre en avant certaines transactions” et identifier les comptes les plus sensibles.

Toutefois, des chercheurs en sécurité ont déjà commencé à tester les données bancaires et affirment qu’elles sont correctes, bien que dans son communiqué officiel, la QNB démente et assure “qu’aucun impact financier n’est à déclarer” pour ses clients. Suspense !

QNB Leak non revendiqué

Alors que d’habitude les pirates informatiques s’empressent de revendiquer chaque cyberattaque, la fuite de données de la banque du Qatar n’a toujours pas été revendiquée et reste anonyme. Les experts de CybelAngel ont cependant trouvé quelques indices qui laissent penser que les attaquants seraient russophones, comme par exemple cette capture d’écran qui montre un accès à des fichiers sur le site de la banque du Qatar via un navigateur, dont l’interface est en Russe :

screenshot-1-1024x294

Après un WHOIS, on voit que l’adresse IP visible correspond en effet au site de la QNB :

whois-qnb

Selon les captures d’écran datées, les accès frauduleux ont eu lieu durant plusieurs jours pendant le mois de janvier 2016.

D’autre part, dans les fichiers se trouve un rapport SQLmap, datant du 23 juillet 2015. SQLmap est un outil open-source qui vise à tester la sécurité des bases de données. En l’occurrence, le rapport établit la liste de toutes les tables de bases de données de la QNB, ainsi que des mots de passe. La faille SQL serait du type “UNION”. CybelAngel a, en outre, également identifié des traces de SQL*Plus, un utilitaire en ligne de commande qui permet de faire des requêtes SQL, via la présence du fichier afiedt.buf, une sauvegarde automatique de la dernière requête effectuée.

Ces données démontrent que le ou les pirates ont sans aucun doute utilisé des injections SQL afin de dérober les données et que l’attaque s’est potentiellement déroulée durant une période de plusieurs mois. Si l’identité et la motivation des cybercriminels restent inconnues, il est toutefois clair que cette exposition ne résulte pas d’une fuite de données interne – la cyberattaque semble au contraire plutôt ciblée. L’appât du gain reste pour le moment la raison la plus vraisemblable.

Un responsable anonyme d’une banque dont les informations ont été publiées en ligne a ainsi assuré à l’agence Reuters que cela “va me pousser à sortir mes avoirs hors du Qatar et si d’autres font comme moi, cela pourrait finir par faire du mal à la banque“.

 

Source : CybelAngel Analyst Team

5 Commentaires

  1. C’est donc la QatarStrophe chez ces abo-minables incongrus.
    Qu’on leur coupe la dette !!
    Al ja zira ça ira, ça ira … la la lère ..

Les commentaires sont fermés.