Les cybercriminels s’introduisaient de manière banale par des emails piégés pour, ensuite, réaliser un minutieux travail d’espionnage et de renseignement avant de passer à l’action. Du grand art.
Un milliard de dollars volés dans plus d’une centaine de banques dans le monde... Détecté par Kaspersky,
le cyberbraquage mené par cette équipe internationale de pirates non
identifiés était un vrai travail de professionnel, remarquablement
organisé et techniquement sophistiqué. Mais concrètement, comment
ont-ils procédé ?
Pour s’introduire dans les réseaux
informatiques des banques, les pirates ont utilisé un moyen
ultraclassique : des emails piégés forgés sur mesure et envoyés à des
employés. Le corps du message faisait référence à une invitation, à une
réglementation financière, à une demande client, etc. En pièce jointe
figurait un fichier Word 97-2003 ou des fichiers systèmes (.CPL) cachés
dans une archive RAR. Il suffisait de cliquer et hop, l’ordinateur était
infecté par une porte dérobée baptisée Carbanak. Ce dernier, pour
rester discret, disposait même d’une signature valide. A noter que les
vulnérabilités exploitées pour compromettre les postes de travail sont
connues depuis quelques années et qu’il existe des patchs. Les systèmes
des victimes n’étaient donc pas à jour (ce qui est fréquent, hélas).
© Kaspersky
Exemple de message d'un email piégé.
Grâce à la porte
dérobée Carnabak, les pirates ont pu espionner à loisir le réseau et les
processus de travail de la banque infectée. Ils récupèrent les mots de
passe système de l’utilisateur, naviguent à travers ses fichiers et ses
emails, analysent les applications métier intallées, sondent le réseau
et les contacts pour trouver des administrateurs systèmes à infecter,
installent des logiciels d’administration à distance, etc. Des captures
d’écran sont prises toutes les 20 secondes pour connaître précisément le
travail de la victime. Si une webcam est disponible, elle sera même
filmée. Toutes ces informations seront renvoyées sous forme compressée à
des serveurs de commande et contrôle situés à l’étranger, puis stockées
de manière systématique dans des bases de données.
© Kaspersky
L'activité de la victime est enregistrée par des séquences de copies d'écran.
Cette phase de
reconnaissance dure entre deux et quatre mois. Une fois qu’ils sont
parfaitement renseignés, les pirates passent à l’action. Ils créent de
fausses transactions internationales (SWIFT) pour alimenter leurs
comptes bancaires et insèrent de faux ordres de paiements en ligne.
Parfois, pour rester discrets, ils augmentent artificiellement le solde
d’un compte bancaire puis transfèrent la différence sur un compte dont
ils ont le contrôle. Ce qui permet de rester sous le radar des contrôles
comptables.
Plus impressionnant : les pirates ont
parfois pu accéder au réseau informatique qui reliait les distributeurs
de billets. Si ces derniers pouvaient être administrés à distance - ce
qui n’est pas toujours le cas - il leur suffisait d’envoyer quelques
lignes de commandes pour leur faire cracher le pactole. Pour réaliser
toutes ces opérations, pas la peine d’exploiter une quelconque
vulnérabilité : les pirates utilisaient les identifiants et mots de
passe de leurs victimes, tout simplement.
Lire aussi:
Source: