Un gang organisé de pirates informatiques de Russie et d’Ukraine s’est introduit dans les réseaux internes de dizaines d’institutions financières et a installé des logiciels malveillants qui ont permis au gang de vider l’argent des guichets automatiques bancaires. Bien qu’aucune des institutions victimes ne se trouve aux États-Unis ou en Europe occidentale, les experts affirment que les méthodes furtives utilisées par les attaquants dans ces cambriolages fonctionneraient probablement dans un large éventail de banques occidentales.
La plupart des cybercrimes ciblent les consommateurs et les entreprises, volant des informations de compte telles que des mots de passe et d’autres données qui permettent aux voleurs d’encaisser des comptes bancaires piratés, ainsi que des cartes de crédit et de débit. Mais ce gang se spécialise dans le piratage direct des banques, puis dans la recherche de moyens ingénieux pour acheminer l’argent directement de l’institution financière elle-même.
On pense qu’un certain nombre de membres du gang sont liés à un groupe de pirates informatiques d’Europe de l’Est accusés d’avoir volé plus de 2 millions de dollars américains à des banques russes à l’aide d’un puissant cheval de Troie bancaire sur mesure connu sous le nom de Carberp. Huit hommes à Moscou ont été arrêtés en 2012 et accusé d’avoir construit et utilisé Carberp, mais des sources affirment que les principaux membres du gang sont sortis de prison quelques heures après leur arrestation et ont été occupés à reconstruire leur machine criminelle depuis.
Selon un rapport publié aujourd’hui par Fox-IT et Groupe-IB, sociétés de sécurité basées respectivement aux Pays-Bas et en Russie, les gars de Carberp ont depuis changé de tactique : au lieu de voler des milliers de titulaires de comptes bancaires, ce gang a décidé de se concentrer sur le siphonnage des fonds directement des coffres des banques. Jusqu’à présent, rapportent les sociétés de sécurité, le gang a volé plus de 15 millions de dollars à des banques d’Europe de l’Est.
Pour s’implanter dans les institutions financières, ce groupe criminel – surnommé le « Groupe Anunak” – a envoyé aux employés de la banque des e-mails ciblés et contenant des logiciels malveillants ressemblant à des missives envoyées par les régulateurs bancaires russes. Les e-mails de phishing contenaient des logiciels malveillants conçus pour exploiter les failles de sécurité récemment corrigées dans Microsoft Office des produits.
Incroyablement, le groupe aurait également acheté l’accès à des PC Windows dans des banques ciblées qui étaient déjà compromises par des logiciels malveillants opportunistes propagés par d’autres cybercriminels. En effet, Fox-IT et Group-IB rapportent que le gang Anunak achetait régulièrement des installations de leurs logiciels malveillants bancaires à d’autres cybercriminels qui exploitaient des botnets massifs (collections de PC piratés).
Une fois à l’intérieur d’une institution financière, les criminels abusaient généralement de cet accès pour lancer des attaques de harponnage encore plus convaincantes contre d’autres banques. Ils ont également eu accès à des segments de réseau bancaire isolés qui géraient les transactions des guichets automatiques, téléchargeant des programmes malveillants conçus pour fonctionner spécifiquement avec Wincor distributeurs automatiques de billets. Les pirates ont utilisé ce logiciel malveillant – ainsi qu’un programme légitime modifié pour gérer les plateaux de caisse des distributeurs automatiques de billets – pour modifier les paramètres de dénomination des billets de banque dans 52 distributeurs automatiques de billets différents.
En conséquence, ils ont pu faire en sorte que lorsque les co-conspirateurs se sont rendus aux guichets automatiques concernés pour retirer 10 factures totalisant 100 roubles russes, ils ont plutôt reçu 10 billets de banque d’une valeur nominale de 5 000 roubles, note le rapport.
Le gang Anunak aurait modifié ce programme légitime de gestion des coupures de billets dans les guichets automatiques.
Il était déjà assez grave que ce groupe ait piraté plus de 50 banques russes, mais des messages malveillants encodés dans les outils malveillants employés par les voleurs suggèrent qu’ils méprisent totalement leurs cibles. Un composant malveillant utilisé par le groupe pour infecter les systèmes ciblés portait en lui-même la chaîne de texte « LOL BANK FUCKIUNG ». Une autre souche de logiciels malveillants déployée par les campagnes d’e-mails ciblées de ce groupe et utilisée pour créer leur propre botnet de plus d’un quart de million de PC a été chiffrée avec une clé qui est le Hachage MD5 de la chaîne « va te faire foutre ».
Bien qu’ils semblent avoir développé un penchant pour voler directement auprès des banques, ces escrocs n’hésitent pas à rechercher de l’argent facile : des sources ont déclaré à BreachTrace que ce groupe de pirates serait le même gang criminel responsable de plusieurs violations de cartes de crédit et de débit à les principaux détaillants à travers les États-Unis, y compris les vêtements pour femmes Bebe Stores Inc., le magasin de vêtements western Bergerset le magasin de fournitures de bureau Staples Inc.
Une source distincte a précédemment déclaré à cet auteur qu’il existait un lien entre le logiciel malveillant au point de vente utilisé lors de la violation de Michaels et l’incident de Staples, ce qui signifie que ce groupe pourrait également avoir été impliqué dans la violation de Michaels. En tout cas, Group-IB et Fox-IT notent que le gang Anunak a touché un total de 16 détaillants jusqu’à présent.
Les attaques d’Anunak montrent une fois de plus à quel point il est important pour les organisations de recentrer davantage de ressources sur la prévention des intrusions vers la détection des intrusions le plus rapidement possible et l’arrêt de l’hémorragie. Selon le rapport, le délai moyen entre le moment où ce groupe s’introduit dans les réseaux internes des banques et le vol d’argent réussi est de 42 jours.
Le rapport complet sur le groupe Anunak est disponible ici (PDF).