Carbanak Malware – Un braquage numérique de 300 millions de dollars

3
340

Des pirates informatiques réalisent le casse du siècle ! Selon une enquête réalisée par Kaspersky, une centaine de banques aurait été victime d’un casse à distance réalisé par un groupe de pirates. Entre 300 millions et 1 milliard de dollars auraient été dérobés en utilisant un malware.

La société de sécurité informatique Kaspersky doit dévoiler les détails d’un vol de grande ampleur qu’elle a mis à jour après avoir été appelée à l’aide fin 2013 par une banque en Ukraine, qui a découvert que l’un de ses distributeurs se mettait à délivrer des billets tout seul, à certains moments de la journée. Si l’opération rappelle le piratage des distributeurs par clé USB dévoilé à la même époque, il ne s’agissait que de la partie émergée de l’iceberg.

Selon le New York Times qui a pu avoir accès au rapport de Kaspersky, les enquêteurs de la firme russe ont découvert que le groupe de hackers qu’ils surnomment “Carbanak” a utilisé un malware extrêmement sophistiqué pour espionner les infrastructures et les employés d’une centaine de banques à travers 30 pays, et dérober au moins 300 millions de dollars. Et peut-être le triple, selon les estimations de Kaspersky.

Note : Carbanak est le nom donné par Kaspersky à une campagne APT qui vise des institutions financières, mais pas uniquement celles-ci. A la différence d’autres attaques APT, les attaquants visent ici avant tout l’argent et non pas les données. Cette attaque n’est pas vraiment avancée. En réalité, la caractéristique principale qui l’a définie, c’est la persistance. Cette porte dérobée a été nommée Carbanak car elle repose sur Carberp et que son fichier de configuration s’appelle “anak.cfg”.

carbanak_2_fr_sm

Les cybercriminels, dont les opérations seraient toujours en cours auprès de certains établissements, profitent des connaissances acquises sur les routines des banques et de leurs employés pour effectuer des ordres de virement vers des comptes créés également frauduleusement. Les sommes ont été dérobées principalement en Russie, mais des banques japonaises, américaines et européennes ont également été touchées.

Espionnés pendant des mois

La tactique utilisée est classique, et débute par de l’ingénierie sociale. Les pirates commencent par envoyer des e-mails semblant provenir de collègues de bureau, qui incitent à ouvrir une pièce jointe infectée par le malware. Celui-ci permet alors d’avoir accès au réseau interne de la banque, et de découvrir qui a les autorisations nécessaires pour effectuer des transferts d’argent, ou pour administrer les distributeurs de billets. Ils installent également en toute discrétion un cheval de Troie (un RAT, outil d’administration à distance) qui leur donne accès aux captures d’écran des employés de banque, et probablement aux mots de passe saisis.

Après des mois de prise d’informations qui leur permet de comprendre les procédures internes des banques, les hackers se font alors passer pour certains employés autorisés, et vident les comptes en prenant soin de cacher leurs traces. Ils commencent par ajouter virtuellement de l’argent sur un compte bancaire en modifiant le solde disponible, puis transfèrent toute la somme ajoutée vers le compte de destination, laissant le solde d’origine intact.

L’enquête est toujours en cours dans de multiples pays, coordonnée par Interpol à Singapour. (Source : Numerama)

Lisez en détail cette affaire via le communiqué officiel du Centre d’étude russe (GReAT) de Kaspersky Lab :

L’histoire de Carbanak débute lorsqu’une banque d’Ukraine sollicite notre aide pour réaliser une enquête. De l’argent était volé mystérieusement via les Distributeurs Automatique (DAB). Nous avions tout d’abord pensé au malware Tyupkin. Toutefois, l’analyse du disque dur du DAB n’avait détecté rien d’anormal, si ce n’est une configuration assez étrange du VPN (la valeur du masque de réseau était 172.0.0.0).

À l’époque, nous avions considéré l’incident comme une simple attaque de malware. Nous étions loin de penser que quelques mois plus tard, un de nos collègues allait recevoir un coup de téléphone à 3h00 du matin. Il provenait d’un chargé de compte qui nous demandait d’appeler en urgence le numéro de téléphone qu’il venait de nous communiquer. Le directeur de la sécurité d’une banque russe décrocha. Un des systèmes de la banque signalait l’envoi de données depuis leur contrôleur de domaine vers la République populaire de Chine.

Nous nous sommes rendus sur place et nous avons pu localiser rapidement le malware sur le système. Nous avons écrit un script de commandes batch qui a éliminé le malware de l’ordinateur infecté et nous avons exécuté ce script sur tous les ordinateurs de la banque. Nous avons réalisé cette opération à plusieurs reprises jusqu’au moment où nous fûmes convaincus que plus aucun ordinateur n’était infecté. Bien entendu, nous avions prélevé des échantillons et c’est là que nous avons rencontré Carbanak pour la première fois.

Mode opératoire

Une enquête plus poussée nous a appris que l’infection initiale avait eu lieu via un message de hameçonnage (phishing) šavec une pièce-jointe CPL. Il y a également eu des cas d’utilisation de documents Word qui exploitaient des vulnérabilités connues. L’exécution du shellcode est suivie de l’installation d’une porte dérobée inspirée de Carberp. Cette porte dérobée est le malware connu aujourd’hui sous le nom de Carbanak. Ces fonctions sont axées sur l’espionnage, l’extraction de données et la commande à distance.

Une fois que les attaquants se sont introduits dans le réseau de la victime, ils réalisent une reconnaissance manuelle et tentent de compromettre des ordinateurs pertinents (tels que les ordinateurs des administrateurs) et utilisent des outils de déplacement latéral. En bref, une fois dans le réseau, ils explorent jusqu’à temps de trouver ce qui les intéresse. Ce centre d’intérêt varie en fonction de l’attaque. Il y a toutefois un point commun : dans tous les cas, ce centre d’intérêt permet d’extraire de l’argent de l’entité infectée.

La bande à l’origine de Carbanak ne connaît pas nécessairement le fonctionnement de chaque banque ciblée avant l’attaque car les opérations internes varient en fonction de chaque organisation. Par conséquent, pour comprendre le fonctionnement d’une banque en particulier, les individus malintentionnés enregistraient des vidéos à l’aide des ordinateurs infectés. Ces vidéos étaient ensuite transmises aux serveurs de commande. Bien que la qualité des vidéos était assez médiocre, elle permettait malgré tout aux attaquants, en possession également des données tapées au clavier d’un ordinateur en particulier, de comprendre ce que faisait la victime. Ils obtenaient ainsi les informations dont ils avaient besoin pour s’emparer de l’argent.

Procédures de retrait de l’argent

Notre enquête a mis en évidence plusieurs méthodes utilisées pour récupérer l’argent :

les DAB recevaient à distance des instructions pour distribuer de l’argent sans aucune interaction avec le DAB en lui-même, l’argent en liquide était ensuite récupéré par des mules ; les individus malintentionnés ont utilisé le réseau SWIFT pour transférer de l’argent depuis la banque vers leurs comptes et les bases de données contenant les informations des comptes ont été modifiées afin de pouvoir créer de faux comptes dotés de soldes relativement élevés. L’argent était récupéré par des mules.

Carbanak-malware-targets-compressed

Infections et pertes

Depuis le début de notre enquête sur cette campagne, nous travaillons en étroite coopération avec les autorités judiciaires et policières qui sont sur les traces du groupe Carbanak. De cette coopération, nous avons appris que jusqu’à 100 institutions financières avaient été touchées. Dans au moins la moitié des cas, les criminels ont réussi à retirer de l’argent des institutions infectées. Les pertes individuelles enregistrées par les banques sont comprises entre 2,5 et 10 millions de dollars américains. Toutefois, d’après des informations fournies par les autorités judiciaires et policières et les victimes elles-mêmes, les pertes financières pourraient atteindre 1 milliard de dollars, ce qui ferait de cette campagne cybercriminelle la campagne la mieux réussie que nous n’ayons jamais rencontrée.

Notre enquête a débuté en Ukraine avant de se déplacer à Moscou. La majorité des victimes se trouve en Europe de l’Est. Toutefois, les données fournies par KSN et les données que nous avons obtenues sur les serveurs de commande indiquent que Carbanak attaque également des entités aux Etats-Unis, en Allemagne et en Chine. Le groupe étend actuellement ses activités à de nouvelles régions, parmi lesquelles la Malaisie, le Népal, le Koweït et plusieurs régions d’Afrique.

Carbanak-malware

Ce groupe est toujours actif et nous encourageons toutes les organisations financières à rechercher la présence éventuelle de Carbanak sur leurs réseaux. En cas de détection positive, signalez l’intrusion immédiatement aux autorités.

Pour obtenir une description complète de la campagne, des indicateurs de compromission et la liste des infections, consultez le rapport.

Pour vérifier si votre réseau a été infecté par Carbanak, vous pouvez également ouvrir le fichier IOC disponible ici.

Les commentaires sont fermés.