Carbanak : le casse du siècle est numérique

Par:
fredericmazue

mar, 17/02/2015 - 11:34

Avez-vous jamais rêvé de voir un distributeur automatique de billets délivrer des espèces sonnantes et trébuchantes pour faire honneur à votre simple présence ? Des cybercriminels l'ont fait.

L'éditeur de solutions de sécurité Kaspersky a révélé hier l'existence de Carbanak, une attaque informatique qui a permis à des cybercriminels de dérober au moins 300 millions de dollars, et peut-être jusqu'à 1 milliard de dollars, à des établissements bancaires de 30 pays.

Comment ? De manière finalement très classique, avec en plus organisation et patience. Au départ, tout commence avec une attaque de phishing. Des mails infectés sont envoyés, se faisant passer pour des mails légitimes de collègues. Les fichiers attachés exploitent diverses failles de sécurité de la suite Microsoft Office, pour installer le malware Carbanak sur les postes attaqués. Classique.

Puis une fois dans la place, les pirates ont méticuleusement étudiés les activités des employés, via Carbanak. Copies d'écrans régulières et systématiques. Même les webcams des postes étaient activées, afin de surveiller les mouvements des employés. Patiemment, jusqu'à recueillir les moyens d'infester d'autres postes, de plus en plus sensibles. Jusqu'au contrôle des distributeurs de billets.

Les pirates ont ensuite ouvert des comptes en banques de l'intérieur pour, bien sûr, y verser de substantielles sommes. Ou pour faire 'cracher' des distributeurs de billets à l'intention de complices présents sur place, sans que ceux-ci n'aient besoin d'effectuer la moindre action physique. C'est d'ailleurs ainsi que l'affaire a commencé à être éventée, un établissement bancaire russe s'étant aperçu, via une caméra de vidéo surveillance, que son distributeur entrait en action sans que la personne présente ne fasse quoi que ce soit.

Les pirates ont sévit principalement en Russie. Sont également touchés les Etats-Unis, l'Allemagne, la Chine et des banques européennes. Kaspersky a révélé 300 adresses IP liées à ce malware. Parmi ces adresses, de 9 à 12 seraient françaises.

Le malware serait encore largement actif. Le montant du vol est de 300 millions de dollars avérés, mais selon Kaspersky, il s'élèverait à un milliard de dollars.

Pour plus de discrétion, Carbanak est signé numériquement. Selon Kaspersky :  "C’est probablement l’attaque la plus sophistiquée que nous ayions jamais vu en termes de tactiques et méthodes que les cyber criminels ont utilisé pour rester cachés".