Cybersécurité : les hackers-braqueurs ont les banques dans le collimateur
Les fuites massives de données confidentielles sont devenues monnaie courante. Et les banques ne sont pas à l'abri. Les banques russes en particulier souffrent d'attaques nombreuses et soutenues, qui leur font perdre des millions de dollars.
Julien Bergounhoux
Si la compromission de données connaît un essor indéniable ces dernières années, les cybercriminels n'en dédaignent pas pour autant les attaques contre les banques, qui visent à récupérer directement de l'argent.
En témoigne le malware Metel, aussi appelé Corkow, qui a été utilisé en février 2015 par des hackers russes pour pénétrer la banque russe Energobank. D'après le cabinet de cybersécurité Group-IB, les pirates ont fait varier le taux de change rouble-dollar de 15% en quelques minutes avant d'effectuer 500 millions de dollars de transferts financiers en profitant de ce taux avantageux. La banque aurait perdu 3,2 millions de dollars dans l'affaire... et Group-IB pense qu'il ne pourrait s'agir que d'un test, le pire étant encore à venir.
Les distributeurs de billets jouent la corne d'abondance
Une attaque de type APT (menace persistante avancée), patiemment mise en place, qui a infecté (par spear phishing) des milliers d'ordinateurs sur le réseau de la banque pour se rapprocher du système visé. Et le groupe criminel ne s'est pas arrêté là, comme l'a découvert Kaspersky Lab. En utilisant un autre module de Metel (qui en comporte plus de 30), il s'est attaqué aux systèmes en charge des transactions bancaires, comme par exemple les PCs des opérateurs de call centers.
Le but : obtenir la capacité d'ordonner l'annulation d'une sortie d'argent sur un compte. Les criminels ont alors pu utiliser des cartes bancaires de la banque en question pour effectuer des retraits illimités dans les distributeurs automatiques de billets d'autres banques. Après chaque retrait, la situation du compte était automatiquement restaurée à son statut initial. L'attaque n'a été utilisée que contre des banques russes pour le moment. L'une d'entre elles aurait perdu des centaines de milliers de dollars en une seule nuit.
Les criminels se bousculent au portillon
Ce groupe criminel (que Kaspersky estime n'être composé que d'une dizaine de personnes tout au plus) n'est pas le seul à s'en prendre aux banques. L'entreprise en a identifié deux autres, qui emploient eux aussi des méthodes APT. Le premier est dénommé GCMAN. Il utilise aussi des techniques de spear phishing (des emails frauduleux non pas envoyés par millions mais conçus pour une cible bien spécifique) pour infecter des postes informatiques.
Il attend ensuite qu'un administrateur prenne la main sur le poste – si besoin en faisant crasher des logiciels bureautiques – pour dérober son mot de passe. Il effectue alors automatiquement de petits virements vers des services de e-monnaie, à un taux de 200 dollars par minute (pour que les transactions restent anonymes). Ce groupe est particulièrement prudent, et aurait dans un des cas passé plus d'un an et demi à infiltrer un réseau avant de passer à l'acte.
La dernière organisation avait déjà fait parler d'elle avec le malware Carbanak. Elle revient après une période d'inactivité avec une version 2.0 de son malware, et s'intéresse désormais aux finances d'entreprises autres que des banques. Ici encore le spear phishing est à l'honneur. Une fois introduit dans le réseau, les criminels cherchent à voler de l'argent dans les comptes des sociétés, voire à changer changer les titres de propriétés d'entreprises ou de biens. D'après Kaspersky, ces groupes auraient à eux trois pénétrés 29 banques russes. Les chercheurs de Group-IB estiment quant à eux que Metel à lui seul aurait compromis plus de 250 000 machines dans 100 institutions financières à travers le monde.
Sélectionné pour vous
SUR LE MÊME SUJET
1Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
