La CCB de Bangalore démantèle un réseau international de cybercriminalité lié à Dubaï : 47 crore de roupies volés en 2h30
Hippolyte Valdegré
La CCB de Bangalore démantèle un réseau international de cybercriminalité lié à Dubaï : 47 crore de roupies volés en 2h30
La cellule de cybercriminalité de la Central Crime Branch (CCB) de Bangalore a démantelé un important réseau international de cybercriminalité, révélant une opération de piratage qui a permis de détourner 47 crore de roupies (environ 5,6 millions de dollars) d’une société de financement privée en à peine deux heures et demie. La Cyber Crime Wing de la CCB a confirmé l’arrestation de deux individus impliqués dans cette arnaque, tandis que les principaux instigateurs sont présumés être basés à Dubaï.
Selon les autorités, cette affaire illustre la sophistication croissante des opérations de cybercriminalité organisées qui exploitent simultanément plusieurs failles techniques et logistiques. Le vol s’est produit dans un délai exceptionnellement court, démontrant une coordination parfaite entre les différents acteurs du réseau. Les forces de l’ordre indiennes soulignent que cette affaire constitue une première pour la CCB, marquant une avancée significative dans la lutte contre la cybercriminalité transnationale.
Le vol massif en à peine deux heures et demie
Le vol financier s’est produit dans la nuit du 6 octobre 2025, lorsque des pirates ont infiltré les systèmes de Wisdom Finance Pvt. Ltd. et exécuté 1 782 transactions non autorisées en l’espace de deux heures et demie. Les fonds dérobés ont été transférés vers 656 comptes bancaires différents à travers l’Inde. Cette opération à grande échelle a été rendue possible par l’exploitation de vulnérabilités dans les API de l’entreprise, permettant aux attaquants de contourner les mécanismes de sécurité internes.
Selon la plainte déposée par un directeur senior de Wisdom Finance, les transactions n’ont pas émané des systèmes officiels de l’entreprise ou des adresses IP enregistrées. Au contraire, elles ont été tracées vers des adresses IP étrangères, notoirement originaires de Hong Kong et de Lituanie. Cette internationalisation des sources d’attaques témoigne d’une stratégie délibérée de dissimulation des pistes numériques, compliquant ainsi la tâche des enquêteurs.
Le commissaire de police de la ville, Seemant Kumar Singh, a déclaré : « Il s’agit du premier cas de ce type résolu par l’équipe de la CCB. Nous avons rassemblé les détails des accusés basés à Dubaï, et des efforts sont déployés pour les retrouver. » La police a également annoncé un recouvrement partiel de 10 crore de roupies (environ 1,2 million de dollars) des fonds volés.
Infiltration des systèmes de Wisdom Finance
L’attaque a ciblé spécifiquement les systèmes d’API de Wisdom Finance, qui permettent aux différentes applications de communiquer entre elles. Les pirates ont exploité une vulnérabilité non corrigée dans ces interfaces pour accéder aux mécanismes de transfert de fonds de l’entreprise. Une fois l’accès obtenu, ils ont programmé des transactions automatises à grande vitesse, maximisant le montant détourné avant que les alarmes ne se déclenchent.
Selon les experts en sécurité consultés, l’attaque a probablement été préparée sur plusieurs semaines, avec une reconnaissance approfondie des systèmes cibles. Les pirates ont pu identifier les points faibles spécifiques de l’architecture informatique de Wisdom Finance, leur permettant de contourner efficacement les mesures de défense mises en place.
Origine des transactions et pistes numériques
L’une des particularités de cette attaque réside dans la diversité géographique des adresses IP utilisées. Les transactions ont été initiées depuis des serveurs situés à Hong Kong et en Lituanie, deux pays réputés pour leur infrastructure numérique robuste et souvent utilisés comme points de relais par les cybercriminels. Ces adresses IP ont ensuite été acheminées vers des intermédiaires en Inde, compliquant la traçabilité des fonds.
L’utilisation de serveurs dans des juridictions différentes constitue une technique courante dans les cyberattaques à grande échelle. Elle permet aux attaquants de bénéficier de cadres juridiques différents et de rendre plus difficile l’extradition des suspects. Dans cette affaire, cette stratégie a permis aux pirates d’opérer pendant plusieurs heures sans déclencher d’alertes immédiates des systèmes de détection de fraude de l’entreprise.
Les arrestations locales exposent la partie indienne du racket
L’enquête menée par la Cyber Crime Wing de la CCB a conduit à l’arrestation de deux individus en Inde qui agissaient comme facilitateurs dans ce racket de cybercriminalité. Le premier suspect, Sanjay Patel, un plombier de 43 ans originaire d’Udaipur, au Rajasthan, aurait fourni des « comptes mules » utilisés pour blanchir les fonds volés en échange d’une commission. Les autorités ont tracé Patel après avoir détecté un transfert suspect de 27,39,000 roupies (environ 33 000 dollars) vers un compte bancaire de la State Bank of India lié à lui, comme rapporté par The Hindu.
Une enquête approfondie a ensuite révélé une autre transaction majeure de 5,5 crore de roupies (environ 650 000 dollars) transférée de Wisdom Finance vers Unknown Technologies Pvt. Ltd., une société basée à Hyderabad. Les fonds ont ensuite été acheminés vers un compte bancaire privé appartenant à un autre individu. Ces transferts ont été tracés vers des adresses IP hébergées par Webyne Data Centre, révélant une piste numérique cruciale.
Le rôle de Sanjay Patel et les comptes « mules »
Sanjay Patel, bien qu’agissant en tant qu’intermédiaire de bas niveau, a joué un rôle essentiel dans l’opération de blanchiment d’argent. En tant que plombier, il n’avait aucune connexion apparente avec le monde de la cybercriminalité, ce qui a probablement contribué à élever le niveau de suspicion des enquêteurs. Les comptes mules qu’il a fournis ont servi à répartir les fonds volus en petites sommes, rendant leur traçée plus difficile.
Dans la pratique, ces comptes sont souvent ouverts par des individus ne réalisant pas qu’ils sont utilisés à des fins illégales. Patel aurait reçu une commission pour chaque compte fourni, une pratique courante dans les réseaux de cybercriminalité où la division des tâches permet de limiter les risques pour chaque membre du réseau. Les enquêteurs suspectent que d’autres intermédiaires de ce type pourraient être impliqués dans l’affaire.
Ismail Rasheed Attar et l’achat d’adresses IP
La police a ensuite identifié Ismail Rasheed Attar, un jeune homme de 27 ans, ancien directeur marketing digital originaire de Belagavi, comme la personne ayant acheté les adresses IP utilisées pendant le vol. Attar, qui n’a pas achevé ses études secondaires, a été arrêté peu de temps après. Son rôle consistait à fournir les ressources techniques nécessaires à l’attaque, en l’occurrence des adresses IP qui ont servi à masquer l’origine des transactions frauduleuses.
L’achat d’adresses IP auprès de fournisseurs légitimes est une technique couramment utilisée par les cybercriminels pour dissimuler leur véritable identité et localisation. Ces adresses IP peuvent ensuite être utilisées pour lancer des attaques sans révéler l’emplacement physique des attaquants. Dans cette affaire, Attar a agi comme un intermédiaire technique, fournissant les ressources nécessaires à l’attaque tout en restant dans l’ombre des principaux instigateurs basés à Dubaï.
Les cerveaux basés à Dubaï ont embauché des hackers mondiaux
Les enquêtes menées par la Cyber Crime Wing ont révélé que deux cerveaux basés à Dubaï ont orchestré l’attaque. Selon les informations recueillies, ces individus ont loué cinq serveurs en utilisant les adresses IP obtenues auprès d’Attar, puis ont embauché des pirates de Hong Kong pour infiltrer les systèmes d’API de Wisdom Finance. En exploitant des vulnérabilités de sécurité, les pirates ont contourné les défenses internes de l’entreprise et initié le transfert massif de fonds.
La CCB soupçonne que les opérateurs basés à Dubaï ont coordonné leurs activités en utilisant des plateformes de communication cryptée et des portefeuilles de cryptomonnaie pour payer les pirates internationaux. Les argent volés ont été rapidement déplacés à travers des centaines de comptes mules, les rendant difficiles à tracer. Bien que les deux suspects arrêtés fussent des opérateurs de bas niveau, les preuves récupérées – y compris les journaux IP, les relevés de transactions bancaires et les données de communication – ont fourni aux enquêteurs des pistes sur le réseau plus large.
Le modus operandi du réseau
Le réseau de cybercriminalité opérait selon une structure hiérarchisée bien définie, avec des rôles clairement attribués à chaque membre. Les cerveaux basés à Dubaï dirigeaient l’opération depuis un pays connu pour être un carrefour international et pour son cadre juridique favorable. De là, ils ont coordonné les hackers techniques basés à Hong Kong, qui ont mené l’attaque technique contre les systèmes cibles.
En Inde, des intermédiaires locaux comme Patel et Attar ont fourni les ressources nécessaires – comptes bancaires et adresses IP – pour finaliser le transfert des fonds. Cette division du travail permettait de limiser la connaissance mutuelle entre les différentes parties du réseau, réduisant ainsi les risques en cas d’arrestation. Chaque membre n’était conscient que de sa propre tâche et de son contact direct, rendant la piste difficile à reconstruire pour les enquêteurs.
Utilisation de la cryptomonnaie et de la communication cryptée
L’utilisation de la cryptomonnaie constitue une caractéristique marquante de cette opération de cybercriminalité. Les fonds volés ont probablement été convertis en cryptomonnaies comme Bitcoin ou Monero peu après le vol, ce qui permet un transfert quasi anonyme à travers les frontières. Cette méthode est devenue la norme pour les grands rackets de cybercriminalité, car elle offre un niveau de confidentialité que les systèmes financiers traditionnels ne peuvent égaler.
De même, l’utilisation de plateformes de communication cryptée comme Telegram ou Signal a permis aux membres du réseau de coordonner leurs activités sans craindre d’interception. Ces outils sont privilégiés par les cybercriminels en raison de leurs fonctionnalités de chiffrement de bout en bout et de leur capacité à auto-détruire les messages après lecture. Dans cette affaire, ces technologies ont probablement joué un rôle crucial dans la coordination précise de l’attaque et du transfert des fonds.
Coordination transfrontalière pour combattre les rackets de cybercriminalité
La Cyber Crime Wing continue de collaborer avec les agences internationales d’application de la loi pour localiser les principaux coupables et récupérer les fonds restants. Les responsables ont souligné que cette affaire met en lumière la nature globale et organisée des rackets de cybercriminalité, qui opèrent souvent dans plusieurs pays en utilisant des technologies avancées et l’anonymat numérique.
Les autorités ont également émis un avertissement aux entreprises pour renforcer leurs systèmes de cybersécurité, en particulier celles qui sont engagées dans des transactions en ligne à grande échelle. Elles ont incité les institutions financières à mettre en œuvre des outils de surveillance plus stricts pour détecter les activités suspectes, surtout pendant les heures de nuit lorsque de telles violations sont plus susceptibles de se produire.
Collaboration internationale des forces de l’ordre
Cette affaire illustre l’importance croissante de la coopération internationale dans la lutte contre la cybercriminalité. La CCB de Bangalore a dû collaborer avec les autorités de plusieurs pays, notamment celles de Dubaï, de Hong Kong et de Lituanie, pour rassembler les éléments nécessaires à l’enquête. Cette coopération est rendue possible par des traités d’entraide judiciaire bilatéraux et multilatéraux, ainsi que par des initiatives comme le réseau INTERPOL pour la cybercriminalité.
Dans la pratique, cette collaboration implique l’échange de preuves numériques, de renseignements sur les suspects et de l’expertise technique. Les enquêteurs indiens ont dû naviguer dans des cadres juridiques différents et surmonter des défis linguistiques et culturels pour mener à bien leur enquête. Malgré ces obstacles, la coordination internationale a été essentielle pour identifier les réseaux transfrontaliers et les principaux instigateurs de l’attaque.
Recommandations de sécurité pour les entreprises
À la lumière de cette affaire, les autorités ont formulé plusieurs recommandations pour les entreprises, en particulier celles du secteur financier. La première concerne la mise en place de mécanismes de détection de fraude en temps réel, capables d’identifier les transactions inhabituelles peu après leur exécution. Les institutions financières sont encouragées à implémenter des systèmes d’analyse comportementale qui peuvent signaler les activités anormales.
En outre, les entreprises sont invitées à renforcer leurs mesures de sécurité autour des API, qui sont devenues une cible privilégiée des attaquants. Cela inclut l’authentification forte des utilisateurs, le chiffrement des données en transit et la surveillance constante du trafic. Les experts recommandent également de mettre en place des limites de transaction strictes, en particulier pour les opérations effectuées en dehors des heures de bureau normales.
Conclusion et prochaines étapes
L’affaire du racket de cybercriminalité démantelé par la CCB de Bangalore constitue un tournant dans la lutte contre la cybercriminalité transnationale. Elle démontre que les forces de l’ordre sont capables de traquer et d’arrêter les criminels, même lorsque leurs opérations s’étendent sur plusieurs pays et impliquent des acteurs de différents niveaux. La récupération partielle des fonds volés témoigne de l’efficacité des enquêtes coordonnées et de la persévérance des équipes d’investigation.
Leçons à tirer de cette affaire
Plusieurs leçons importantes peuvent être tirées de cette affaire. Premièrement, elle souligne la nécessité pour les entreprises d’adopter une approche proactive de la cybersécurité, plutôt que de se contenter de réagir aux incidents. Deuxièmement, elle met en évidence l’importance de la collaboration entre les secteurs public et privé pour partager les informations sur les menaces et coordonner les réponses.
Enfin, cette affaire rappelle que la cybercriminalité organisée ne connaît pas de frontières et nécessite une réponse internationale coordonnée. Les entreprises et les gouvernements doivent travailler ensemble pour développer des cadres juridiques adaptés et des mécanismes d’entraide efficaces pour faire face à cette menace croissante.
Renforcement des défenses cyber
Face à des menaces de plus en plus sophistiquées, les entreprises sont invitées à renforcer continuellement leurs défenses cyber. Cela inclut la mise à jour régulière des logiciels et des systèmes, la formation du personnel aux bonnes pratiques de sécurité, et l’implémentation de contrôles d’accès stricts. La cybersécurité doit être considérée comme un investissement stratégique plutôt que comme un coût opérationnel.
En outre, les entreprises devraient envisager de participer à des initiatives de partage d’informations sur les menaces, où les acteurs du secteur peuvent échanger des renseignements sur les nouvelles techniques d’attaque et les meilleures pratiques de défense. Cette approche collaborative est essentielle pour rester en avance sur les cybercriminels, qui sont continuellement à la recherche de nouvelles vulnérabilités à exploiter.