La société met en évidence des formes inédites de ce cybermalware financier qui a déjà fait tant de mal au secteur financier.
L’an dernier, Kaspersky Lab annonçait que les cybercriminels allaient se mettre à adopter les outils et tactiques des menaces persistantes avancées (APT) étatiques en vue de cambrioler des banques. Aujourd’hui, il confirme le retour de Carbanak en version 2.0 et démasque deux nouveaux groupes ayant le même mode opératoire : Metel et GCMAN.
Ces cyber-attaquants ciblent les établissements financiers et mettent à contribution des malwares de reconnaissance et personnalisés de type APT, tout comme des logiciels légitimes et des stratagèmes innovants pour soutirer des fonds.
Selon Kaspersky Lab, « si le groupe cybercriminel Metel a de nombreux tours dans son sac, il est particulièrement intéressant en raison d’un dispositif remarquablement astucieux : en prenant le contrôle, à l’intérieur d’une banque, de machines ayant accès à des transactions financières (par exemple le centre d’appels de l’établissement ou ses ordinateurs internes), le gang peut annuler automatiquement des opérations effectuées aux distributeurs automatiques de billets (DAB). » Et de poursuivre son analyse : « cette annulation a pour effet de laisser inchangé le solde d’un compte quel que soit le nombre de retraits effectués. Dans les cas observés jusqu’à présent, les criminels écument de nuit, en voiture, des localités en Russie et vident les DAB appartenant à un certain nombre de banques, en réutilisant à chaque fois les mêmes cartes émises par la banque piratée. En l’espace d’une seule nuit, ils réussissent à retirer tout le contenu de ces distributeurs. »
Comme l’explique Kaspersky Lab, les opérateurs de Metel perpètrent leur infection initiale par le biais d’e-mails de spear-phishing spécialement conçus, accompagnés de pièces jointes malveillantes, et au moyen du kit d’exploitation Niteris, ciblant des vulnérabilités dans le navigateur de la victime. Une fois qu’ils ont pénétré dans le réseau, les cybercriminels se servent d’outils légitimes d’audit intrusif (pentesting) pour se déplacer à l’intérieur, piratant le contrôleur de domaine local pour, en définitive, localiser et prendre le contrôle des ordinateurs utilisés par les employés de la banque responsables du traitement des cartes.
Plus généralement, les bandes identifiées se recentrent sur l’utilisation de malwares assortis de logiciels légitimes dans leurs opérations frauduleuses : pourquoi en effet se donner la peine d’écrire leurs propres outils malveillants alors qu’il existe des utilitaires légitimes tout aussi efficaces, nettement moins susceptibles de déclencher des alarmes… Pour autant, en termes de camouflage, le groupe GCMAN va encore plus loin. Et peut parfois s’attaquer avec succès à une cible sans recourir à aucun malware, simplement à l’aide d’outils légitimes.
Comme le rapporte Kaspersky Lab, lors d’une cyberattaque, « les cybercriminels sont restés dans le réseau pendant un an et demi avant de lancer le cambriolage. L’argent a été viré par tranches d’environ 200 dollars, soit le plafond s’appliquant aux paiements anonymes en Russie. Chaque minute, le programmateur CRON exécutait un script malveillant et un autre montant était transféré sur le compte en e-monnaie d’une « mule ». Les ordres d’opérations étaient adressés directement à la passerelle de la banque en amont et n’apparaissaient donc nulle part dans les systèmes internes de l’établissement. »
Du reste, Carbanak 2.0 signe la résurgence de l’APT Carbanak, faisant appel aux mêmes outils et techniques, mais contre un profil différent de victimes et avec des méthodes nouvelles pour dérober des fonds. L’an dernier ses cibles ont été non seulement des banques mais aussi des services budgétaires et comptables au sein de toute entreprise ou organisation digne d’intérêt.
