C’est au printemps 2014 que Kaspersky a été mandaté pour analyser une cyberattaque. Des caméras d’enregistrement montraient un distributeur automatique de billets en train de donner de l’argent à la personne devant lui sans que celle-ci n’ait effectué la moindre manipulation. En fait, le logiciel malveillant se situait sur l’ordinateur connecté par VPN à cet automate. Pire, la société de sécurité a par la suite découvert que c’était l’ensemble du réseau bancaire qui est infecté.
« C’est probablement l’attaque la plus sophistiquée que nous ayons jamais vue en termes de tactiques et méthodes que les cyber criminels ont utilisé pour rester cachés », confie Chris Dogget, directeur de la filiale américaine de Kaspersky.
Cette attaque a tout d’abord commencé par un simple phishing dans le but de déployer le malware Carbanak. Une fois celui-ci installé, les hackers avaient accès au réseau des banques. Avec de la patience, ils ont attendu que l’ordinateur des employés en charge des systèmes de transfert de cash et des distributeurs d’argent soient aussi infectés, ce qui leur donnait accès à ces moyens de détourner de l’argent.
Dans son rapport de 40 pages, Kaspersky estime que la fraude aurait déjà couté au minimum 300 millions de dollars aux banques victimes, une somme qui pourrait même atteindre le triple de ce montant, soit près d’un milliard de dollars.
Par le biais de Carbanak, les pirates ont installé des systèmes RAT (Remote Access Tool) qui permettent de faire des captures vidéo ou des copies d’écran des ordinateurs des employés en interceptant l’appel ResumeThread. « Le but était de copier les activités de ces employés […] pour que les transactions semblent identiques à une transaction normale quotidienne », explique Kaspersky.
Kaspersky indique que les pirates chercheraient maintenant à étendre leurs activités dans d’autres régions du monde : Asie, Moyen-Orient, Afrique et Europe.
Pour être moins facile à détecter, Kaspersky souligne que le malware a été signé numériquement.
La firme de sécurité précise qu’une centaine de banques et établissements financiers ont pour le moment été impactés par Carbanak et que la moitié d’entre elles ont subi des pertes financières. Les principales victimes se situent en Russie, aux États-Unis, en Allemagne en Chine et en Ukraine. La France a également été ciblée avec une dizaine d’IP concernée sur un total de 300 IP différents.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.