Kasperky Labs, une société spécialisée dans la sécurité informatique, vient de dévoiler les détails de ce qu'elle présente comme étant une « cyberattaque géante » contre des banques et des institutions financières. Le montant du préjudice serait proche du milliard de dollars.
Il ne se passe pas une semaine sans qu'une nouvelle faille de sécurité ou une fuite de données ne fasse parler d'elle, quitte parfois à réchauffer une problématique vieille de plus d'un an. Relativement actif dans ce domaine, Kaspersky Labs vient de dévoiler les détails d'une « campagne de cybercriminalité internationale » : Carbanak. La société indique que l'enquête a été menée avec Interpol, Europol ainsi que les autorités de plusieurs pays. Les banques et les établissements financiers sont les principales victimes de cette attaque.
Une campagne de phishing ciblée et c'est le drame
Selon Kaspersky Labs, elle aurait débuté dans le courant de l'année 2013 et serait toujours en cours. Dans ce document, la société explique que les pirates auraient utilisé une technique vieille comme Internet, ou presque : l'envoi d'emails piégés afin de mettre en place des portes dérobées. Selon le rapport, il serait question d'exploiter des failles de Microsoft Office (CVE-2012-0158, CVE-2013-3906 et CVE-2014-1761 par exemple). Comme c'est la coutume depuis quelque temps, un petit nom lui a été donné : Carbanak, en hommage à Carberp sur lequel il se serait basé au début (le code serait désormais totalement différent)
Le but est non seulement de prendre possession de la machine distante, mais également de partir à la découverte du réseau sur lequel elle se trouve, en vue d'infiltrer des serveurs plus importants. Une fois ces derniers atteints, les pirates s'attaquent à différents services comme les distributeurs de billets, comptes financiers, etc. Ils tentent également d'accéder aux systèmes de vidéosurveillance ainsi qu'aux webcams des machines infectées, afin de surveiller les mouvements et les agissements du personnel. Entre deux et trois mois seraient ensuite nécessaires afin d'appréhender pleinement le fonctionnement du réseau interne de la banque. Une fois la caverne d'Alibaba sous contrôle, il ne reste plus qu'à l'ouvrir et se servir dans les caisses.
Des distributeurs qui donnent de l'argent sans qu'on leur demande
Toujours selon le rapport de Kaspersky Labs, plusieurs moyens sont utilisés afin de dérober des fonds : des transferts d'une banque à une autre via le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication), des manipulations de bases de données afin d'autoriser des cartes bleues ou bien transférer des fonds d'un compte à un autre, ou bien récupérer de l'argent à des distributeurs automatiques.
Ce dernier cas est d'ailleurs intéressant puisqu'il s'agit de l'un des éléments qui a déclenché l'enquête de Kaspersky Labs : « Durant l'été 2014, Kaspersky Labs était impliqué dans une analyse des distributeurs de billets (ATM) qui délivraient des espèces à des personnes situées à proximité, mais ne réalisant aucune interaction physique selon les caméras de vidéosurveillance ». Problème, aucun logiciel malveillant ne se trouvait dans les ATM, mais « une variante du virus Carberp a été trouvée sur un ordinateur relié aux distributeurs par un VPN ». Aujourd'hui la suite et la fin de l'enquête sont donc mises en ligne.
Un rappel intéressant : personne ne « peut s'estimer à l'abri »
Ces attaques ont touché de nombreuses banques à travers le monde, principalement en Russie, aux États-Unis et en Allemagne. La France serait pour sa part dans le top 10. Interrogé par Kaspersky Labs, Sanjay Virmani, directeur d'Interpol sur les crimes numériques, annonce que « ces attaques soulignent, à nouveau, le fait que les pirates exploiteront toutes les vulnérabilités dans tous les systèmes. Elles soulignent également le fait qu'aucun secteur ne peut s'estimer à l'abri ».
