Carbanak : le casse du siècle sur internet

Des pertes pouvant aller jusqu’à 1 milliards de dollars, plus de 100 banques et 3O pays concernés, la cyberattaque perpétrée depuis 2013 par un groupe baptisé « Carbanak » a été dévoilée par Kaspersky, le géant russe de la cybersécurité.

post-image-3

Les banques ont toujours été une cible de choix pour les cybercriminels. Mais jusqu'à présent, les victimes étaient toujours les clients de ces banques. Cette fois-ci, les attaquants visent directement les entités financières dans le cadre d'une attaque inédite, déterminée, très professionnelle et coordonnée. Ils utilisent tous les moyens de la cible pour obtenir le plus d'argent possible, jusqu'à un plafond que les attaquants semblent s'être imposé.

L'histoire de Carbanak débute lorsqu'une banque d'Ukraine sollicite l’aide de Kaspersky pour réaliser une enquête. De l'argent était volé mystérieusement via les Distributeurs Automatique (DAB). Kaspersky a tout d'abord pensé au malware Tyupkin. Toutefois, l'analyse du disque dur du DAB n'avait détecté rien d'anormal, si ce n'est une configuration assez étrange du VPN (la valeur du masque de réseau était 172.0.0.0).

À l'époque, le spécialiste russe de la cybersécurité avait considéré l'incident comme une simple attaque de malware. Ils étaient loin de penser que quelques mois plus tard, un de leur collègues allait recevoir un coup de téléphone à 3h00 du matin. Il provenait d'un chargé de compte qui  demandait d'appeler en urgence le numéro de téléphone qu'il venait de leur communiquer. Le directeur de la sécurité d'une banque russe décrocha. Un des systèmes de la banque signalait l'envoi de données depuis leur contrôleur de domaine vers la République populaire de Chine.

Des experts de Kaspersky se sont rendus sur place et ont pu localiser rapidement le malware sur le système. Ils ont « écrit un script de commandes batch » qui a éliminé le malware de l'ordinateur infecté et ils ont exécuté ce script sur tous les ordinateurs de la banque. Ils ont réalisé cette opération à plusieurs reprises jusqu'au moment où ils étaient convaincus que plus aucun ordinateur n'était infecté. Bien entendu, ils avaient « prélevé des échantillons » et c'est là qu’ils ont rencontré Carbanak pour la première fois.


Modus operandi

Une enquête plus poussée a permis d’apprendre que l'infection initiale avait eu lieu via un message de hameçonnage (phishing) avec une pièce-jointe CPL. Il y a également eu des cas d'utilisation de documents Word qui exploitaient des vulnérabilités connues. L'exécution du shellcode est suivie de l'installation d'une porte dérobée inspirée de Carberp. Cette porte dérobée est le malware connu aujourd'hui sous le nom de Carbanak. Ces fonctions sont axées sur l'espionnage, l'extraction de données et la commande à distance.

Une fois que les attaquants se sont introduits dans le réseau de la victime, ils réalisent une reconnaissance manuelle et tentent de compromettre des ordinateurs pertinents (tels que les ordinateurs des administrateurs) et utilisent des outils de déplacement latéral. En bref, une fois dans le réseau, ils explorent jusqu'à temps de trouver ce qui les intéresse. Ce centre d'intérêt varie en fonction de l'attaque. Il y a toutefois un point commun : dans tous les cas, ce centre d'intérêt permet d'extraire de l'argent de l'entité infectée.

La bande à l'origine de Carbanak ne connaît pas nécessairement le fonctionnement de chaque banque ciblée avant l'attaque car les opérations internes varient en fonction de chaque organisation. Par conséquent, pour comprendre le fonctionnement d'une banque en particulier, les individus mal intentionnés enregistraient des vidéos à l'aide des ordinateurs infectés. Ces vidéos étaient ensuite transmises aux serveurs de commande. Bien que la qualité des vidéos était assez médiocre, elle permettait malgré tout aux attaquants, en possession également des données tapées au clavier d'un ordinateur en particulier, de comprendre ce que faisait la victime. Ils obtenaient ainsi les informations dont ils avaient besoin pour s'emparer de l'argent.

Les distributeurs commandés à distance

Les DAB recevaient à distance des instructions pour distribuer de l'argent sans aucune interaction avec le DAB en lui-même, l'argent en liquide était ensuite récupéré par des mules ; les individus malintentionnés ont utilisé le réseau SWIFT pour transférer de l'argent depuis la banque vers leurs comptes et les bases de données contenant les informations des comptes ont été modifiées afin de pouvoir créer de faux comptes dotés de soldes

Bilan comptable

Kaspersky a travaillé en collaboration avec les autorités des différents pays concerné. De ces enqêtes conjointes ressort que plus de 100 institutions financières ont été touchées Dans au moins la moitié des cas, les criminels ont réussi à retirer de l'argent des institutions infectées. Les pertes individuelles enregistrées par les banques sont comprises entre 2,5 et 10 millions de dollars américains. Toutefois, d'après des informations fournies par les autorités judiciaires et policières et les victimes elles-mêmes, les pertes financières pourraient atteindre 1 milliard de dollars, ce qui ferait de cette « campagne cybercriminelle » la plus importante jamais découverte.

La majorité des victimes se trouve en Europe de l'Est. Toutefois, les données fournies par KSN et les données que Kaspersky a obtenu sur les serveurs de commande indiquent que Carbanak attaque également des entités aux Etats-Unis, en Allemagne et en Chine. Le groupe étend actuellement ses activités à de nouvelles régions, parmi lesquelles la Malaisie, le Népal, le Koweït et plusieurs régions d'Afrique. Dernière constatation faite par Kaspersky, ce groupe est toujours actif.

Back to top button
Close
Close