Cybercriminalité – Un casse à 25M$ visant les banques russes

0
78

Voila un cyber-casse  qui impressionne. Anunak, un groupe de cybercriminels a réussi à infiltrer les réseaux informatiques et à détourner les distributeurs automatiques de nombreuses institutions bancaires en Russie et dans des pays voisins. 25 millions de dollars auraient ainsi été dérobés.

Depuis 2013, le groupe de pirates informatiques baptisé Anunak présent en Russie et en Ukraine sème la terreur dans le secteur financier en étant parvenu à infiltrer les réseaux de plus de 50 banques russes et de 5 systèmes de paiement. Il a également ciblé des terminaux point de vente de revendeurs américains et européens. Il faut bien comprendre que ce groupe de cybercriminels très aguerris et qu’il ne laisse rien au hasard.

25 millions de dollars dérobés sans être inquiétés

Au total, ce sont plus de 25 millions de dollars qui ont été volés en piratant l’infrastructure de plusieurs institutions financières russes et de pays de l’ancien bloc soviétique, mais aussi en détournant des systèmes de points de vente de part et d’autre du Monde (Europe, USA, etc), la plupart entre le 20 juillet et le 16 septembre 2014.

Des chercheurs de l’entreprise russe Group-IB, spécialisée dans la cybercriminalité, en collaboration avec l’entreprise de sécurité néerlandaise Fox-IT, ont baptisé le groupe Anunak, d’après le malware qui a servi de base lors des attaques orchestrées par les pirates. Les autorités n’ont inquiétés aucun membre de ce gang pour le moment, ces derniers étant très professionnels et ne laissant aucune trace exploitable.

Pour eux, ce seraient les mesures anti-fraudes récemment déployées par les banques qui auraient poussés les cybercriminels à frapper fort, au cœur même de leurs cibles, afin de faire plus d’argent sans rencontrer de barrière. Un comble !

La durée moyenne d’un attaque complète (infiltration et vol compris) a été mesurée à 42 jours. C’est le temps qu’ils leur faut pour approcher une cible, s’y introduire, et sortir l’argent souhaité avant de disparaître.

A noter que 52 distributeurs automatiques de billets (DAB) dans le monde ont été touchés, la plupart de marques Wincor d’après le chercheur en sécurité & cybercrime Krebson. Le niveau de compétence et l’étendue géographique des dommages de ce groupe de pirates remet en cause toutes les protections et les idées reçues concernant le cybercrime. Anunak n’ayant aucune limite technique comme géographique.

Armageddon : Infrastructures bancaires en danger

Pour ces cybercriminels, pas question de s’en prendre aux simples clients des banques, mais de s’en prendre directement aux institutions bancaires elles-même en s’infiltrant ingénieusement dans les réseaux internes. Grâce aux multiples accès ainsi piratés, le groupe a pu transférer des fonds sur des comptes dont ils avaient le contrôle, réussissant même dans certains cas, à détourner des distributeurs de billets automatiques sur lesquels ils ont pu ensuite retirer frauduleusement de l’argent. Certains parlent d’un véritable “armageddon” touchant les institutions financières !

« Depuis 2013, ce groupe est parvenu à infiltrer les réseaux de plus de 50 banques russes et de 5 systèmes de paiement, et deux de ces institutions ont été privées de leur licence bancaire », a déclaré l’entreprise de sécurité russe Group-IB dans un rapport publié lundi. « À ce jour, le montant total du vol dépasse le milliard de roubles (environ 25 millions de dollars), la plus grande partie ayant été volée au cours du second semestre de 2014 ».

La procédure menant à la compromission d’une organisation financière est toujours la même : infection des ordinateurs de bureau de certains salariés au sein de la banque via des outils et malwares très sophistiqués (des packs d’exploit principalement) puis, gain d’accès à l’ensemble du réseau interne à partir des postes de travail compromis.

Un arsenal impressionnant et d’importantes ressources

C’est un véritable arsenal de guerre qui est utilisé par Anunak d’après les chercheurs qui ont enquêtés sur l’affaire : scanners de réseau avancés, keyloggers FUD, logiciels pour cracker les mots de passe dans le Cloud, backdoors SSH, programmes de contrôle à distance sophistiqués, utilisation du framework Metasploit pour tester les failles et réaliser des exploits sur-mesure pour la cible. Cependant, leur principal outil s’avère être le cheval de Troie nommé Anunak, lui-même basé sur le malware Carberp, trojan bancaire mondialement réputé conçu pour dérober des informations d’identification sur les sites de banque en ligne et dont le code source a été rendu public en juin 2013. Les chercheurs de Group-IB pensent que le groupe Anunak comprend sûrement des membres de l’ancien gang Carberp, éclaté en 2013 après des conflits internes.

Les méthodes d’infection utilisées par le groupe sont nombreuses, ingénieuses et regroupe la quasi totalité des vecteurs d’attaques connus : principalement du drive-by downloads (infection silencieuse via simple visite d’un site Web infecté par un kit d’exploitation pirate), des faux mails avec des pièces jointes malveillantes à en-tête de la Banque centrale de la Fédération de Russie ou encore l’installation d’autres programmes malveillants en utilisant les services de botnets. Des vulnérabilités 0-Day ont été exploitées, comme par exemple des failles de sécurité récemment corrigées touchant des produits Microsoft Office. Des ordinateurs compromis par d’autres cybercriminels ont même été réquisitionnés pour l’occasion !

Un des composants du malware Anunak contiendrait la chaîne texte “LOL BANK FUCKING” et le programme malveillant installé sur des milliers de machines a chiffrés les données avec une chaîne MD5 dont la teneur est “go fuck yourself“.

D’après les chercheurs, le groupe serait soupçonné d’avoir injecté un code malveillant sur le site php.net en 2013 afin d’infecter un maximum d’ordinateurs.

« Les cybercriminels sont de mèche avec plusieurs propriétaires de botnets pour diffuser massivement leurs programmes malveillants », expliquent les chercheurs de Group-IB. « Ils achètent aux propriétaires de botnets des informations sur les adresses IP des ordinateurs sur lesquels il y a déjà des logiciels malveillants contrôlés par le botnet et ils vérifient si les adresses IP appartiennent à des institutions financières ou gouvernementales. Si le malware du botnet se trouve dans les plages d’adresses que le groupe veut cibler, ils paient le propriétaire du réseau de zombies pour qu’il diffuse leur logiciel malveillant ».

A partir de mi-2014, les cybercriminels ont vu encore plus large et ont étendu leurs activités illicites et leur business lucratif au reste du monde, notamment en Europe, en Australie et aux Etats-Unis, l’objectif étant d’infecter les terminaux points de vente avec des logiciels malveillants sur-mesure afin de voler les données de cartes bancaire au moment des transactions. Ils seraient responsable du piratage massif de Staples Inc en septembre, une grosse enseigne américaine de 113 magasins, qui a impacté 1,16 million de cartes bancaires, mais aussi de Bebe Stores Inc, et de Sheplers. 

« Plus d’une quinzaine de violations potentielles ont été identifiées, dont une douzaine aux États-Unis, et le vol de données de cartes de crédit a été confirmé dans trois de ces cas », ont déclaré les chercheurs dans leur rapport. Le groupe a également compromis les ordinateurs de trois entreprises du secteur des relations publiques et des médias basées aux États-Unis. « Ils cherchaient peut-être des informations qu’ils pouvaient exploiter sur le marché boursier », ont déclaré les chercheurs. « Nous n’avons aucune preuve du piratage de banques en Europe occidentale ou aux États-Unis, mais les attaquants peuvent très bien utiliser les mêmes méthodes pour cibler des banques hors de Russie », ont mis en garde les chercheurs.

 

Sources : Le Monde Informatique, Group-IB, Fox-IT