Actualité web & High tech sur Usine Digitale

Cybersécurité : les hackers-braqueurs ont les banques dans le collimateur

|
Twitter Facebook Linkedin Google + Email
×

Hack of the week Les fuites massives de données confidentielles sont devenues monnaie courante. Et les banques ne sont pas à l'abri. Les banques russes en particulier souffrent d'attaques nombreuses et soutenues, qui leur font perdre des millions de dollars.

Cybersécurité : les hackers-braqueurs ont les banques dans le collimateur
Cybersécurité : les hackers-braqueurs ont les banques dans le collimateur

Si la compromission de données connaît un essor indéniable ces dernières années, les cybercriminels n'en dédaignent pas pour autant les attaques contre les banques, qui visent à récupérer directement de l'argent.

En témoigne le malware Metel, aussi appelé Corkow, qui a été utilisé en février 2015 par des hackers russes pour pénétrer la banque russe Energobank. D'après le cabinet de cybersécurité Group-IB, les pirates ont fait varier le taux de change rouble-dollar de 15% en quelques minutes avant d'effectuer 500 millions de dollars de transferts financiers en profitant de ce taux avantageux. La banque aurait perdu 3,2 millions de dollars dans l'affaire... et Group-IB pense qu'il ne pourrait s'agir que d'un test, le pire étant encore à venir.

 

Les distributeurs de billets jouent la corne d'abondance

Une attaque de type APT (menace persistante avancée), patiemment mise en place, qui a infecté (par spear phishing) des milliers d'ordinateurs sur le réseau de la banque pour se rapprocher du système visé. Et le groupe criminel ne s'est pas arrêté là, comme l'a découvert Kaspersky Lab. En utilisant un autre module de Metel (qui en comporte plus de 30), il s'est attaqué aux systèmes en charge des transactions bancaires, comme par exemple les PCs des opérateurs de call centers.

 

Le but : obtenir la capacité d'ordonner l'annulation d'une sortie d'argent sur un compte. Les criminels ont alors pu utiliser des cartes bancaires de la banque en question pour effectuer des retraits illimités dans les distributeurs automatiques de billets d'autres banques. Après chaque retrait, la situation du compte était automatiquement restaurée à son statut initial. L'attaque n'a été utilisée que contre des banques russes pour le moment. L'une d'entre elles aurait perdu des centaines de milliers de dollars en une seule nuit.

 

Les criminels se bousculent au portillon

Ce groupe criminel (que Kaspersky estime n'être composé que d'une dizaine de personnes tout au plus) n'est pas le seul à s'en prendre aux banques. L'entreprise en a identifié deux autres, qui emploient eux aussi des méthodes APT. Le premier est dénommé GCMAN. Il utilise aussi des techniques de spear phishing (des emails frauduleux non pas envoyés par millions mais conçus pour une cible bien spécifique) pour infecter des postes informatiques.

Il attend ensuite qu'un administrateur prenne la main sur le poste – si besoin en faisant crasher des logiciels bureautiques – pour dérober son mot de passe. Il effectue alors automatiquement de petits virements vers des services de e-monnaie, à un taux de 200 dollars par minute (pour que les transactions restent anonymes). Ce groupe est particulièrement prudent, et aurait dans un des cas passé plus d'un an et demi à infiltrer un réseau avant de passer à l'acte.

 

La dernière organisation avait déjà fait parler d'elle avec le malware Carbanak. Elle revient après une période d'inactivité avec une version 2.0 de son malware, et s'intéresse désormais aux finances d'entreprises autres que des banques. Ici encore le spear phishing est à l'honneur. Une fois introduit dans le réseau, les criminels cherchent à voler de l'argent dans les comptes des sociétés, voire à changer changer les titres de propriétés d'entreprises ou de biens. D'après Kaspersky, ces groupes auraient à eux trois pénétrés 29 banques russes. Les chercheurs de Group-IB estiment quant à eux que Metel à lui seul aurait compromis plus de 250 000 machines dans 100 institutions financières à travers le monde.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

Fabrice

16/02/2016 10h26 - Fabrice

Ces attaques étant perpétrées puis contrôlées à distance par Internet, on peut légitimement se poser la question de la pertinence d'interconnecter un système d'information bancaire directement à Internet, en particulier les PCs des employés qui se retrouvent infectés. La seule passerelle légitime est le site de banque en ligne, qui fait l'objet de toutes les attentions, pendant que les APT se mettent en place depuis le surf ou la messagerie d'un employé. On sait qu'aucun système n'est infaillible, mais on fait comme si on n'avait pas d'autre solution que d'utiliser le même PC pour les virements et pour la navgation sur le web !

Répondre au commentaire | Signaler un abus

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale