Kasperky Labs, une société spécialisée dans la sécurité informatique, vient de dévoiler les détails de ce qu'elle présente comme étant une « cyberattaque géante » contre des banques et des institutions financières. Le montant du préjudice serait proche du milliard de dollars.
Il ne se passe pas une semaine sans qu'une nouvelle faille de sécurité ou une fuite de données ne fasse parler d'elle, quitte parfois à réchauffer une problématique vieille de plus d'un an. Relativement actif dans ce domaine, Kaspersky Labs vient de dévoiler les détails d'une « campagne de cybercriminalité internationale » : Carbanak. La société indique que l'enquête a été menée avec Interpol, Europol ainsi que les autorités de plusieurs pays. Les banques et les établissements financiers sont les principales victimes de cette attaque.
Une campagne de phishing ciblée et c'est le drame
Selon Kaspersky Labs, elle aurait débuté dans le courant de l'année 2013 et serait toujours en cours. Dans ce document, la société explique que les pirates auraient utilisé une technique vieille comme Internet, ou presque : l'envoi d'emails piégés afin de mettre en place des portes dérobées. Selon le rapport, il serait question d'exploiter des failles de Microsoft Office (CVE-2012-0158, CVE-2013-3906 et CVE-2014-1761 par exemple). Comme c'est la coutume depuis quelque temps, un petit nom lui a été donné : Carbanak, en hommage à Carberp sur lequel il se serait basé au début (le code serait désormais totalement différent)
Le but est non seulement de prendre possession de la machine distante, mais également de partir à la découverte du réseau sur lequel elle se trouve, en vue d'infiltrer des serveurs plus importants. Une fois ces derniers atteints, les pirates s'attaquent à différents services comme les distributeurs de billets, comptes financiers, etc. Ils tentent également d'accéder aux systèmes de vidéosurveillance ainsi qu'aux webcams des machines infectées, afin de surveiller les mouvements et les agissements du personnel. Entre deux et trois mois seraient ensuite nécessaires afin d'appréhender pleinement le fonctionnement du réseau interne de la banque. Une fois la caverne d'Alibaba sous contrôle, il ne reste plus qu'à l'ouvrir et se servir dans les caisses.
Des distributeurs qui donnent de l'argent sans qu'on leur demande
Toujours selon le rapport de Kaspersky Labs, plusieurs moyens sont utilisés afin de dérober des fonds : des transferts d'une banque à une autre via le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication), des manipulations de bases de données afin d'autoriser des cartes bleues ou bien transférer des fonds d'un compte à un autre, ou bien récupérer de l'argent à des distributeurs automatiques.
Ce dernier cas est d'ailleurs intéressant puisqu'il s'agit de l'un des éléments qui a déclenché l'enquête de Kaspersky Labs : « Durant l'été 2014, Kaspersky Labs était impliqué dans une analyse des distributeurs de billets (ATM) qui délivraient des espèces à des personnes situées à proximité, mais ne réalisant aucune interaction physique selon les caméras de vidéosurveillance ». Problème, aucun logiciel malveillant ne se trouvait dans les ATM, mais « une variante du virus Carberp a été trouvée sur un ordinateur relié aux distributeurs par un VPN ». Aujourd'hui la suite et la fin de l'enquête sont donc mises en ligne.
Un rappel intéressant : personne ne « peut s'estimer à l'abri »
Ces attaques ont touché de nombreuses banques à travers le monde, principalement en Russie, aux États-Unis et en Allemagne. La France serait pour sa part dans le top 10. Interrogé par Kaspersky Labs, Sanjay Virmani, directeur d'Interpol sur les crimes numériques, annonce que « ces attaques soulignent, à nouveau, le fait que les pirates exploiteront toutes les vulnérabilités dans tous les systèmes. Elles soulignent également le fait qu'aucun secteur ne peut s'estimer à l'abri ».
Commentaires (125)
#1
Etonnant que cela soit resté sous un relatif silence … C’est quand même sérieux comme attaque. Et, qui au final devrai payer l’incurie des banques à sécuriser leur réseau ? Probablement les usagers …
#2
#BankArnac aurait été plus judicieux que Carbanak
" />
#3
Pas trop étonnant.. C’est la version moderne du pétage de coffre à l’explosif. Et les banques ne raffolent pas de publicité qui sapent la confiance des dépositaires.
#4
#5
J’ai trouvé la variante du Québec : Tabernacle
" />
#6
Bah moi je suis un peu triste de pas avoir d’ami(e) dans le milieu. Un distributeur qui donne des sous sans manipulation c’est tout bon…
" />
#7
“ces attaques soulignent, à nouveau, le fait que les pirates exploiteront toutes les vulnérabilités dans tous les systèmes.”
En l’occurrence, tous les systèmes avec un fichier svchost.exe dans le répertoire Windows\system32\com\catalogue.
#8
C’est surtout que la plupart des banques vont très loin pour se rendre vulnérables.
En 2009, le gouvernement belge a imposé l’usage exclusif d’IE 6 dans ses institutions. Ce qui implique XP.
Le résultat, aujourd’hui, c’est que le ssl utilisé par ces banques est très vulnérable.
#9
La les banques se sont fait carna
#10
Pour le coup on comprend pourquoi il ne faut pas divulguer les failles trop tôt… :)
#11
L’arroseur arrosé.
#12
#13
Tient Avril 2014, après l’arrêt du support de windows XP système sous lequel tourne beaucoup d’ATM. Comme c’est bizarre…
#14
“préjudice estimé à un milliard de dollars” => Ils ont artificiellement gonflé des comptes avant de transférer le surplus sur leurs propres comptes.
Y a pas de préjudice ici, puisqu’il n’y a pas de vol.
Par contre, y a de la création de fausse monnaie, illégale mais intracable.
Les seuls responsables qui devraient être jugés sont les banques qui permettent de créer de la monnaie à partir de rien…
#15
Sauf que les banques sont des entreprises privées et n’ont donc pas à se soumettre aux règles d’applications décidées pour les institutions publiques.
#16
potentiellement les assurances… puis les réassurances….
" />
puis les usagés probablement
#17
Un milliard pour des banques, c’est peanuts. Encore un coup de script-kiddies
" />
#18
#19
Les magouilles, ça m’étonnerait pas.
Par contre, la création de monnaie, j’en seras pas si sûr..
#20
Le plus surprenant c’est que ca fait 2 mois que les banques ukrainiennes ont soulevé le probleme avec un joli petit nom (anunak). Aujourd’hui on recycle le truc qui a priori serait exactement le meme pcq finalement ca touche plus de monde que les banque de l’europe de l’est… et cette fois breaking news en le criant bien fort…
pour ceux que ca intéresse (avec moins de marketing, et plus de contenuhttps://www.fox-it.com/en/files/2014/12/Anunak_APT-against-financial-institution… )
#21
#22
si les banques faisaient faillite à chaque fois qu’elles perdent 5 milliards du jour au lendemain…
" />
#23
#24
#25
#26
#27
#28
bah justement, quand ils commencent a exploiter des failles, ce sont par définition des failles 0-day.
Toutes les failles deviennent alors des zero day, et sont exploitables en masse le temps que microsoft soit averti ( ce qui peut laisser un temps confortable si tu es suffisamment discret)
#29
le coup de l’ATM qui file les billets…je comprends même pas comment cela soit possible.
le système devrait être concu pour que l’argent ne sorte pas à moins d’avoir le droit d’en avoir.
c’est la base du truc :O
je ne comprends même pas comment il peut y avoir une faille la dedans!
et disons qu’il y en ait une (enfin, plus que ‘disons’), cela devrait se detecter ultra facilement !
on a une malette de 1000eur, fin de la journée, on en a moins que ce qu’on devrait avoir = il y a un problème
j’avou avoir du mal là
#30
#31
#32
On a beau dire, mais quand je vois un mec braquer une banque, je me demande tout de même qui est le plus voleur des deux…
#33
Voir là par exemple pour l’explication.
#34
#35
J’avais juste pas vu le sous-titre comme un con
" />
#36
#37
Dans un ATM, il y a quelques moteurs qui servent à faire sortir les billets. À partir du moment où on prend le contrôle de la bécane en y mettant ce qu’on veut comme logiciel, ça devient possible que les moteurs se mettent en marche sans que qui que ce soit ait tapé au clavier.
Après, ça a bien dû être détecté par comparaison entre les retraits enregistrés et le nombre de billets distribués: Je suppose que c’est pour ça que des gens se sont penchés sur la vidéo-surveillance (cf. la news)
#38
#39
C’est ce que les pirates ont pourtant fait.
Exemple simple:
Un gars a 1000 € sur son compte.
Un pirate gonfle le compte à 10000€.
Le pirate transfère 9000€ sur son compte.
Le pirate tire l’argent à un distributeur.
Le type du départ a toujours ses 1000€.
Le pirate a 9000€ dans la poche, créé à partir de rien.
Les banques vont nous dire que c’est inhabituel, que ça devrait pas se produire, qu’ils vont rembourser, etc …
N’empêche qu’elles ont la possibilité de le faire, et que ça à l’air, en plus, HYPER facile à faire …
#40
Enquête interpol, tu n’as pas le droit de divulguer les informations pendant ce temps la.
De plus, avertir ton ennemi que tu le traques, c’est pas vraiment efficace pour le prendre sur le fait.
Toutes les banques ont pris des actions pour vérifier si elles étaient touchées et mettre en place des mécanismes de protection.
#41
Ben ouais, mais il manque 9000e dans la caisse du distributeur..
Faut bien les compter quelque part
#42
#43
#44
#45
bah c’est assez simple, c’est un automate (vétuste avec des mecanismes de sécurités moisis en plus) tu as des ptites conf marrante comme à la black hat ou le mec avait transformé un ATM en machine a sous qui fait jackpot tout le temps avec musique et tout ^^
en version longue avec la démohttps://www.youtube.com/watch?v=v-dS4UFomv0
en version plus courte juste pour la distribution de billets:https://www.youtube.com/watch?v=fS3Z8Xv-vUc
#46
#47
#48
#49
#50
#51
Dans un vrai monde libéral, on devrait être tous libres de créer de la monnaie.
" />
#52
#53
mais TU PEUX!
Lançons le NextCoin, pour payer nos nextiNpot !
#54
#55
#56
Tout n’est pas libre alors dans le libéralisme
" />
#57
#58
J’ai toujours tendance à me dire que sur les systèmes ultra-sensibles, il devrait y avoir une sorte de pare-feu ultra-basique mais au code formellement démontré qui ne laisse passer vers la machine sensible que des trames répondant à une syntaxe ultra-limitée.
Genre pour un DAB, si tu n’autorise que deux commandes, une dans un sens type “check compte xxx contient xx€” et l’autre dans l’autre sens type “compte xxx contient xx€ oui/non”, j’ai beaucoup de mal à voir par quel biais on pourrait l’attaquer.
Il doit y avoir une subtilité qui m’échappe.
#59
#60
C’est pas ce qu’il a dit : tu es libre de créer ta monnaie, mais les autres sont libres de ne lui accorder aucune valeur
" />
#61
Je vais pas créer une monnaie alors que je peux créer des euros
" />
#62
#63
Tiens je pensais que seul les places d’échanges de BitCoin était vulnérable!
On m’aurais menti?
#64
#65
pour te répondre vite fait, y’a effectivement une vuln ultra critique flash et adobe a toujours pas publié de correctif donc oui tu as la dernière version et oui tu es quand même vulnérable :)
Ensuite pour MS, j’ai constaté ca aussi mais y’a des patchs sortis en urgence pour des trucs un peu violents genre ca:http://breakingmalware.com/vulnerabilities/one-bit-rule-bypassing-windows-10-pro…
#66
Même réponse. Tu peux créer des euros (bon, pour que ce soit toléré, il doit falloir aller chercher des libéraux bien extrêmes), libre aux autres de ne leur accorder aucune valeur.
De toute façon, l’argent c’est avant tout une question de confiance. Quand ta banque te dit que tu as 1000€ sur ton compte, c’est du vent. Mais tu as confiance dans le fait qu’elle fera ce qu’il faut pour que tu puisses les dépenser comme si c’était pas du vent.
Dans un monde 100% libre où tu as le droit d’inventer des euros, la question sera de savoir qui te fera suffisamment confiance pour accorder autant de valeur à 1€uzak qu’à 1€BCE.
#67
#68
Évidemment on ne tourne pas sur un OS complexe. Javais écrit ultra-basique
" />
J’avais pensé au chiffrement qui rend la chose plus complexe, mais je pense que ça reste accessible à la preuve formelle, ou au pire on met en série chiffrement - parefeu - DAB.
Un DAB est un environnement infiniment plus contrôlé qu’un avion, et je ne parle même pas de contrôler le DAB dans son ensemble, seulement ses communications avec l’extérieur.
#69
#70
hum ! je disconviens, il n’y a aucun windows XP dans les avions, et il n i a aucune certification pour les créateur de DAB contrairement a l’aviation.
si tu parle d’envirronement, dans un avion la cabine est pressurisé, et permet d’etre a 10 000 pieds sans avoir besoin de masque :). il y a pas mal de BSOD de DAB qui traine sur la toile, meme pas un chien de garde hard pour ce genre de pb, ou de fall-back.
#71
Hello !
Aurait-on une liste de toutes les banques touchées ?
#72
Des ATM sous XP !!! ca leur pendait au nez…
Ils attendent quoi pour migrer les ATM et autre poste sensible sous LINUX ??? un autre milliard partie dans la nature ??
#73
Des ATM sous XP !!! ca leur pendait au nez…
Ils attendent quoi pour migrer les ATM et autre poste sensible sous LINUX ??? un autre milliard partie dans la nature ??
#74
Des ATM sous XP !!! ca leur pendait au nez… Ils attendent quoi pour migrer les ATM et autre poste sensible sous LINUX ??? un autre milliard partie dans la nature ??
#75
#76
Ah… un posteur qui poste sous XP
" />
Sinon si tu savais, malheureux, le nombre de systèmes critiques qui tournent encore sous XP dans l’industrie, en général…..
Machines “standalone” souvent, donc rarement sur le net voire jamais, MS ne les voit pas, je me demande vraiment si elles apparaissent dans les stats d’utilisation des OS…
#77
#78
l’individu qui écoute entre le DAB et le central pourrait anticiper la réponse en envoyant lui même un message sur le réseau qui répond “oui” à la question par exemple (dans un système ultra-simple). Pour contrer cela, le DAB devrait contrôler qu’il n’a pas deux fois la trame de réponse pour une question posée.
#79
#80
à mettre des windows faut pas s’étonner
#81
Pas etonnant du tout. Les banques ont toujours maintenu le silence le plus complet possible sur leurs failles et vulnerabilites. (Voir ce qui arrive a ceux qui denoncent les failles de securite des cartes bancaires.)
#82
#83
Dans ma prochaine vie je serai gangster mondialement connu et on écrira des livres et des films sur ma vie, car en fait sans hésitation je peux dire que la droiture ne paie pas. Bien au contraire.
#84
Y’a un truc que la news ne dit pas.
C’est que l’attaque des hackers se poursuit en ce moment même.
Des millions de dollars continuent de disparaître chaque jour.
#85
#86
#87
#88
Non mais laisse le. Il pense que des transactions bancaires, c’est trivial et ce n’est rien d’autre qu’une simple addition. Il pense aussi que le marché en façade n’evolue pas et que l’historique peut etre écrasé sans peine.
#89
Les cartes de crédit n’appartiennent pas aux banques.
#90
Un des grands avantages du cobol c’est que c’est lisible par tout le monde justement.
" /> (quoi mon pseudo ?)
Il y a tous les outils pour gérer du DB2, des flux XML.. On fait même de l’UML (euh, oui bon, enfin, faut le dire vite. On utilise Rational.. plutôt )
Une formation cobol/mainframe, tu en as pour 4 à 6 semaines, cela coute un peu cher pour les ENS ma ce n’est pas la mort, c’est vite rentabilisé.
Et que, ma fois, on n’a pas encore fait mieux qu’IBM pour faire du transactionnel.
#91
Expérience inside, j’y bosse dans une banque ;). Vous pouvez sécuriser les réseaux autant que vous voulez, la faille ne vient jamais du technique. C’est toujours l’humain qui ouvre la brèche.
La clé usb trouvé sur le parking, l’appel d’un soit disant responsable énervé qui demande les accès de la secrétaire, le mail.. le fax…
Pas besoin de cracker un réseau, le personnel est bien plus facile a cracker. Il existe toute une génération de travailleurs non sensibilisés aux problèmes de sécurité informatique, imaginez Monsieur X qui a commencé a travailler a la banque avec le petit cahier du livret A du client !
Le personnel se renouvelle et la sensibilisation aux problèmes de sécurité est omniprésente, mais il y aura encore qques belles années pour les pirates ;)
#92
#93
Ca me rappelle cette histoire où des gamins avaient trouver la notice d’un DAB sur internet. En lisant cette notice, tu trouvais des commandes pour accéder au DAB et faire sortir les billets.
Sympa les gamins ont averti la banque dans la foulée.
#94
Le si mondial va s’écrouler , ce n’est pas les technologies qui doivent changer : mais nos comportements !
#95
#96
Rappel :
Eduquez-vous (si les écoles diffusaient cette vidéos le monde serait bien entendu … différent !)
https://www.youtube.com/watch?v=syAkdb_TDyo
#97
Je cite ce qui est écrit à l’arrière de ma carte bancaire :
“IMPORTANT : Carte strictement personnelle, propriété de la banque émettrice qui peut…blah blah blah”
Donc soit j’ai raté un truc, soit les cartes appartiennent bien aux banques.
#98
#99
je suis pas sur qu’un code en cobol aurait mieux supporté la charge …
#100
#101
#102
#103
#104
#105
#106
L’avantage du COBOL c’est qu’il y a une énorme base d’appli codé dans ce langage (par exemple dans les banques) et qu’il faut les maintenir, puisque pas de budget pour les migrer vers un autre langage (on ne change pas ce qui marche) … Avec très peu de formations qui l’enseigne, c’est devenu depuis 5-10 ans un enjeu de trouver des développeurs cobol :)
#107
#108
#109
Dans les migrations sur lesquelles j’ai travaillé, le cobol est remplacé par … du cobol.
" />
D’accord, l’IHM devient plus sexy, on passe du 3270 à quelque chose utilisable dans un navigateur internet.
#110
#111
#112
Oui, mais peu de gens savent exactement ce minima concernant l’argent !
Ce n’est pas parce que toi tu sais, que tout le monde sais …
#113
Carte de crédit est différent d’une carte bancaire.
#114
Sources comme quoi les banques seraient trouées au niveau sécurité?
#115
Oui, mais bon légalité et honnêteté ne font plus bon ménage…
#116
#117
#118
“Carbanak : cyberattaque contre des banques, préjudice estimé à un milliard de dollars”
Pas de souci, ce sont les clients qui, une fois de plus paieront, d’une façon ou d’une autre, la note…
#119
#120
#121
#122
Pour le cas de mon employeur, je te démonte tous les arguments un par un.
Désolé mais ce qui est paru ces derniers jours dans la presse était de la pure desinformation.
#123
#124
Non, je ne suis pas à la banque au lion. Mais encore une fois, il faut avoir la photo globale. Tu peux très bien imaginer avoir le SSLv3 activé mais que cela ne fasse que rediriger vers une page d’information et aucun site transactionnel (qui est d’ailleurs protégé par UCR).
Le point d’entrée d’une banque n’est pas la seule considération. La seule véritable vulnérabilité pouvait etre le TLSv1 padding… Et encore on peut tout autant imaginer s’en passer aussi.
#125
Les banques ne sont pas des institutions publiques, donc non, elles n’ont pas à appliquer une directive qui est “destinée aux administrations et institutions publiques”…
Et je passe sur le fait que tu me sors “représentation nationale” alors qu’on parle d’un gouvernement régional…