Et si c’était le plus grand braquage de tous les temps ? D’après l’éditeur Kaspersky, un gang international de pirates informatiques a pillé des dizaines banques grâce à des techniques particulièrement évoluées.
Les chiffres donnent le tournis. D’après une étude menée par Kaspersky
avec le concours d’Europol et d’Interpol, une équipe internationale de
pirates informatiques non identifiés aurait dérobé au moins 300 millions
de dollars à une centaine de banques et d’institutions financières dans
une trentaine de pays du monde. « Au moins », car selon Kaspersky, ce
chiffre pourrait être trois fois plus important et les sommes volées
atteindre presque un milliard de dollars !
On ne sait quelle banques ont été
touchées –accords de confidentialité obligent- mais il y en a partout
dans le monde, aussi bien en Russie qu’au Japon, en Suisse qu’aux
Etats-Unis. La France n’est pas épargnée, avec au moins un établissement
piraté. Les sommes volées varient selon les banques, mais certaines ont
perdu jusqu’à 10 millions de dollars.
Pour commettre leur forfait, les pirates
ont usé de techniques particulièrement avancées, et ont pris leur
temps. Leur opération a débuté à la fin de l’année 2013 et chaque vol a
nécessité entre deux et quatre mois de travail.
Le gang –baptisé
Carbanak par Kaspersky, du nom du malware qu’ils ont utilisé- a d’abord
attaqué de façon classique, par le biais d’une campagne de Spear Phishing (de l’hameçonnage personnalisé), à
destination d’employés de banques bien précis. Une fois leur logiciel
malveillant implanté, ils ont réussi à pénétrer le réseau interne de
l’établissement et à accéder aux ordinateurs des administrateurs,
utilisés notamment pour la vidéosurveillance. Dès lors, ils ont observé
la routine quotidienne de l’entreprise et ont imité les tâches de ses
employés pour effectuer leurs opérations, ni vu ni connu.
Ils se sont ensuite amusés à virer des
fonds vers des comptes qu’ils avaient créé pour l’occasion, notamment
dans d’autres banques chinoises ou américaines. Dans certains cas, ils
sont parvenus carrément à modifier des valeurs de comptes à la volée :
ils ajoutaient par exemple des fonds à un compte, avant de virer le
surplus sur le leur. La banque comme son client n’y voyait que du feu.
Encore plus fort : pour retirer du cash,
ils ont réussi à prendre le contrôle de distributeurs automatiques, en
le reprogrammant pour qu’il sorte des billets automatiquement à un
moment précis. Un des leurs n’avait qu’à se rendre sur place à l’heure
exacte pour que la machine lui donne de l’argent !
Un milliard de dollars volés dans plus d’une centaine de banques dans le monde... Détecté par Kaspersky,
le cyberbraquage mené par cette équipe internationale de pirates non
identifiés était un vrai travail de professionnel, remarquablement
organisé et techniquement sophistiqué. Mais concrètement, comment
ont-ils procédé ?
Pour s’introduire dans les réseaux
informatiques des banques, les pirates ont utilisé un moyen
ultraclassique : des emails piégés forgés sur mesure et envoyés à des
employés. Le corps du message faisait référence à une invitation, à une
réglementation financière, à une demande client, etc. En pièce jointe
figurait un fichier Word 97-2003 ou des fichiers systèmes (.CPL) cachés
dans une archive RAR. Il suffisait de cliquer et hop, l’ordinateur était
infecté par une porte dérobée baptisée Carbanak. Ce dernier, pour
rester discret, disposait même d’une signature valide. A noter que les
vulnérabilités exploitées pour compromettre les postes de travail sont
connues depuis quelques années et qu’il existe des patchs. Les systèmes
des victimes n’étaient donc pas à jour (ce qui est fréquent, hélas).
© Kaspersky
Exemple de message d'un email piégé.
Grâce à la porte
dérobée Carnabak, les pirates ont pu espionner à loisir le réseau et les
processus de travail de la banque infectée. Ils récupèrent les mots de
passe système de l’utilisateur, naviguent à travers ses fichiers et ses
emails, analysent les applications métier intallées, sondent le réseau
et les contacts pour trouver des administrateurs systèmes à infecter,
installent des logiciels d’administration à distance, etc. Des captures
d’écran sont prises toutes les 20 secondes pour connaître précisément le
travail de la victime. Si une webcam est disponible, elle sera même
filmée. Toutes ces informations seront renvoyées sous forme compressée à
des serveurs de commande et contrôle situés à l’étranger, puis stockées
de manière systématique dans des bases de données.
© Kaspersky
L'activité de la victime est enregistrée par des séquences de copies d'écran.
Cette phase de
reconnaissance dure entre deux et quatre mois. Une fois qu’ils sont
parfaitement renseignés, les pirates passent à l’action. Ils créent de
fausses transactions internationales (SWIFT) pour alimenter leurs
comptes bancaires et insèrent de faux ordres de paiements en ligne.
Parfois, pour rester discrets, ils augmentent artificiellement le solde
d’un compte bancaire puis transfèrent la différence sur un compte dont
ils ont le contrôle. Ce qui permet de rester sous le radar des contrôles
comptables.
Plus impressionnant : les pirates ont
parfois pu accéder au réseau informatique qui reliait les distributeurs
de billets. Si ces derniers pouvaient être administrés à distance - ce
qui n’est pas toujours le cas - il leur suffisait d’envoyer quelques
lignes de commandes pour leur faire cracher le pactole. Pour réaliser
toutes ces opérations, pas la peine d’exploiter une quelconque
vulnérabilité : les pirates utilisaient les identifiants et mots de
passe de leurs victimes, tout simplement.
Lire aussi:
Source: