Depuis 2013, le cyber-gang Carbanak aurait dérobé plus de 1 milliard de dollars dans une centaine de banques de 30 pays, dont la France, et continuerait de perpétrer ses méfaits.
C'est une série sans précédant de cyber-cambriolages de banques – pour un montant dérobé cumulé supérieur au milliard de dollars - qui vient d'être dévoilée à la suite d'une enquête internationale menée par Interpol, Europol, les autorités de plusieurs pays, et le Kaspersky lab.
Ils seraient le fait d'un cyber-gang surnommé Carbanak (du nom d'une backdoor, une porte dérobée présente sur des distributeurs de billets), dont les membres opéreraient depuis la Russie, l'Ukraine, plusieurs autres pays européens, et la Chine. La cyber-attaque a concerné les institutions financières et systèmes de paiement d'une trentaine de pays. Chaque système d'information des banques victimes de la cyber-attaque – qui ne sont pas nommées ! - s'est vu dérober l'équivalent de plus de 10 millions de dollars.
Elle a ciblé principalement une centaine de banques dans 25 pays : Russie, USA, Allemagne, Chine, Ukraine, Canada, Hong-Kong, Taïwan, Roumanie, France, Espagne, Norvège, Inde, Royaume-Uni, Pologne, Pakistan, Népal, Maroc, Islande, Irlande, République Tchèque, Suisse, Brésil, Bulgarie et Australie.
Process d'attaque
Le processus ayant abouti au vol aurait pris entre 2 et 4 mois pour chaque établissement financier :
- Les cybercriminels commencent par profiter de l'absence de vigilance d'un employé de la banque via une campagne de phishing. L'inconscient ouvre un fichier attaché ou suis un lien proposé, bien évidemment vérolés. Il est alors perdu...
- Une fois hameçonné, son poste de travail est infecté par un malware, qui se répand sur le réseau interne de la banque et traque les ordinateurs des administrateurs de la vidéo-surveillance.
- Tout ce qui s'affiche sur les écrans de contrôle est enregistré, pour ensuite repérer ce qui se déroule lors des opérations de transfert de cash.
- Il ne reste plus aux cyber-pirates qu'à reproduire par mimétisme les actions menées par les personnels bancaires afin de lancer des opérations de transfert d'argent.
- Le transfert s'effectue via une banque en ligne ou un système international de e-paiement, dans le premier cas vers le compte bancaire des voleurs, dans le second vers une banque aux Etats-unis ou en Chine.
Gonfler les comptes et prendre le contrôle des ATM
Selon le Kaspersky Lab, le cyber-gang utiliserait deux autres techniques après l'intervention du malware :
- Il pénètre le coeur du système de gestion des comptes, s'empare de l'un d'eux, gonfle l'avoir en cours, puis transfère la somme ainsi artificiellement créée. Ainsi le solde du compte ne change pas, et le propriétaire ne s'aperçoit pas de la supercherie.
- Autre action mafieuse, le cyber-gang prend le contrôle d'un AtM (distributeur de billets), programme une remise de coupures à une heure précise, qu'un complice récupère à l'heure dite.
Un travail de cyber-pro
Le travail accompli par Carbanak surprend les observateurs spécialistes de la sécurité. En effet, l'attaque n'est pas ciblée sur une solution technologique. Les banques sont piratées quelque soit leur système d'information. Elle ne nécessite pas non plus de hacker les services de la banque, mais se cache derrière des actions légitimes.
Le cyber-gang aurait dérobé en 2 ans pour plus d'un milliard de dollars. Et malgré la révélation de ses forfaits continuerait d'exercer son activité criminelle.