Nous avons assisté en 2015 à la naissance des cybercriminels qui volent des banques directement. Plusieurs groupes ont maîtrisé des outils et des techniques APT et ont pu mettre la main dans les » poches » de vingt-neuf grandes banques russes au moins.
Les victimes ont demandé de l’aide à Kaspersky Lab et notre équipe de recherche et d’analyse s’est mise au travail. L’enquête a révélé qu’il existe trois groupes de hackers séparés qui ont infligé des dommages financiers à des banques, à hauteur de plusieurs millions. Lors du Security Analyst Summit de 2016, des experts de GReAT ont émis un rapport de recherche. Les noms des victimes n’ont pas été dévoilés pour des raisons de sécurité.
https://twitter.com/k8em0/status/696636003692314624
Des distributeurs automatiques avec un pistolet sur la tempe
Un cheval de Troie bancaire répondant au nom mélodique de Metel (mais également connu en tant que Corkow) a été découvert pour la première fois en 2011 : à cette époque, le maliciel visait les utilisateurs de systèmes bancaires en ligne. En 2015, les criminels qui se cachent derrière Metel ont visé des banques et plus spécifiquement des distributeurs automatiques. En utilisant leur campagne mal intentionnée et maligne, ces criminels ont transformé leurs cartes de crédit normales en cartes de crédit illimitées. Imaginez imprimer de l’argent… mais en encore mieux.
Comment ont-ils fait ?
Ces criminels ont infecté des ordinateurs d’employés bancaires à l’aide d’e-mails de harponnage qui comportaient des fichiers malicieux exécutables, ou en visant les vulnérabilités d’un navigateur. Une fois entrés dans le réseau, ils ont utilisé des logiciels légitimes pour pirater d’autres PC jusqu’à atteindre l’appareil qu’ils recherchaient : celui qui avait accès aux transactions monétaires. Il s’agissait par exemple des PC des opérateurs du centre d’appel ou de l’équipe d’assistance.
APT Predictions for 2016: There will be no more APTs! Oh, wait… https://t.co/mLC5zQqjzK
— Kaspersky (@kaspersky) November 20, 2015
Par conséquent, à chaque fois que les criminels prenaient de l’argent depuis une des cartes de la banque concernée via le distributeur automatique d’une autre banque, le système infecté retournait automatiquement les transactions. C’est cela qui permettait au solde des cartes de rester constant et qui laissait le cybercriminel de retirer de l’argent avec pour seule limite le montant en liquide disponible du distributeur. Les criminels ont réalisé des retraits similaires à différents distributeurs
What is phishing and why should you care? Find out https://t.co/eNlAvarhAy #iteducation #itsec pic.twitter.com/EJc6vW8YUX
— Kaspersky (@kaspersky) December 11, 2015
De ce que l’on sait, le gang est de taille relativement réduite et n’est composé que d’une dizaine de personnes tout au plus. Certains membres de l’équipe parlent russe et nous n’avons détecté aucune infection hors de Russie. Les hackers sont toujours en activité et recherchent de nouvelles victimes.
Des criminels malins
Les criminels du groupe GCMAN ont monté une opération similaire, mais en transférant de l’argent à des services de traitement de devises en ligne au lieu de voler des distributeurs automatiques.
Les membres de GCMAN ont utilisé des e-mails de harponnage avec des pièces jointes infectées pour entrer dans le réseau. Ils ont pénétré les appareils des spécialistes de ressources humaines et de la comptabilité, puis ont attendu que l’administrateur du système se connecte. Parfois, il ont fait avancer le procédé en faisant planter Microsoft Word ou 1C (un programme de comptabilité très populaire en Russie). Quand l’utilisateur demandait de l’aide et que l’administrateur système venait résoudre le problème, les criminels volaient son mot de passe.
#KLReport RT @jeffespo: . @Kaspersky Security Bulletin. #Spam and #phishing in 2015 via @Securelist https://t.co/zhDYsDekAh #netsec
— Kaspersky (@kaspersky) February 5, 2016
Les membres de GCMAN ont traversé le réseau d’entreprise de la banque jusqu’à trouver un appareil qui puisse transférer de l’argent discrètement à différents services de transfert de devises en ligne. Dans certaines organisations, les criminels ont même travaillé avec l’aide d’un logiciel légitime et d’outils de test de pénétration courants comme Putty, VNC et Meterpreter.
Ces transactions ont été réalisées à l’aide d’une procédure cron qui transférait automatiquement des petites sommes chaque minute. Elles ne dépassaient pas 200 $ par opération car cette somme est la limite en deçà de laquelle les transactions financières anonymes sont possibles en Russie. Il convient de remarquer que les voleurs ont pris beaucoup de précautions. Dans l’un des cas, ils sont restés tranquillement dans le réseau pendant un an et demi en hackant discrètement de nombreux comptes et périphériques.
De ce que nous savons, le groupe GCMAN est de très petite taille et ne comprend qu’un ou deux membres qui parlent étonnamment… le russe !
Kaspersky Lab cybersecurity #predictions for 2016 – https://t.co/1JFA8qRBm9 #KL2016Prediction #infosec #netsec pic.twitter.com/LjGxVMG7xV
— Kaspersky (@kaspersky) December 9, 2015
Le retour de Carbanak
Le groupe Carbanak est actif sur Internet depuis 2013. Il disparaît parfois occasionnellement et revient avec un nouveau plan de piratage. Cependant, les victimes potentielles de Carbanak ont augmenté récemment. Il vise maintenant des départements financiers de toutes les organisations d’intérêt et pas seulement les banques. Ce groupe a déjà volé des millions à différentes sociétés à travers le monde. Après avoir fait profil bas pendant un certain temps, ils sont revenus sur le devant de la scène avec un nouveau plan.
Pour pirater et voler, ces criminels utilisent des outils et des méthodes de type APT. Les campagnes de harponnage permettent une infection initiale du réseau d’entreprise : il suffit qu’un employé berné ouvre une pièce jointe et installe un maliciel développé par Carbanak.
Full report on the #Carbanak APT is now live http://t.co/KRmjD1GhyL via @Securelist pic.twitter.com/5OMzJE0DgS
— Kaspersky (@kaspersky) February 16, 2015
Une fois qu’un ordinateur est compromis, les criminels cherchent un accès au compte de l’administrateur du système et utilisent ensuite les identifiants volés pour hacker le contrôleur du domaine et voler de l’argent sur les comptes bancaires, ou même changer les don-nées du propriétaire d’une société.
De ce que nous savons, Carbanak est un groupe international qui comprend des criminels en Russie, en Chine, en Ukraine et dans d’autres pays européens. Le gang est composé de douzaines de personnes. Vous pouvez trouver plus d’informations sur Carbanak dans cet article.
Je travaille dans une banque. Que dois-je faire ?
Si vous travaillez dans une institution financière, il faut que vous fassiez attention. Comment vous pouvez le voir clairement dans les exemples que nous avons mentionnés, vous pourriez un jour être l’utilisateur susceptible de laisser entrer des cybercriminels dans l’entreprise. Vous ne voulez pas penser à ce qui pourrait arriver si vous étiez cette personne. Pour éviter cela, nous vous recommandons de lire les articles suivants :
• Pourquoi le phishing fonctionne et comment l’éviter ?
• Pourquoi il est nécessaire de mettre ses logiciels à jour
• Comment ne pas être la victime d’un cheval de Troie ?
Pour finir, nous souhaitons ajouter que les solutions Kaspersky Lab détectent et désarment tous les maliciels connus créés par Carbanak, Metel et GCMAN.