Carbanak
Carbanak est le nom donné à un groupe de cybercriminels qui étaient spécialisés dans l'attaque de distributeurs automatiques de billets et d'institutions financières. Ce groupe a été identifié pour la première fois à la fin de l'année 2013[1]. Il aurait été démantelé en juin 2015 lors de l'arrestation d'une cinquantaine de cybercriminels par les autorités russes[2]. Entre-temps, Carbanak aurait détourné entre cinq cents millions et un milliard de dollars.
Mode opératoire
Kaspersky estime que Carbanak a attaqué plus de cent institutions financières, réparties dans une trentaine de pays (États-Unis, Russie, Suisse, Australie...)[3]. En moyenne, les attaquants sont parvenus à détourner au moins huit millions de dollars à chacune de leurs cibles[4]. Le grand professionnalisme de Carbanak et la sophistication de ses attaques lui ont souvent valu la qualification d'Advanced Persistent Threat.
Les attaques de Carbanak reposaient souvent sur le mode opératoire suivant :
- Les membres de Carbanak se renseignaient activement sur les distributeurs automatiques de billets utilisés par leur cible. Pour y parvenir, Carbanak utilisait principalement des techniques d’ingénierie sociale.
- Une fois que le gang disposait de suffisamment d'informations, il mettait en place des campagnes d'hameçonnage pour installer des logiciels malveillants dans le réseau informatique de l'institution ciblée. Kaspersky a formellement identifié deux types de logiciels malveillants qui auraient été développés par Carbanak pour son usage exclusif[5]. L'un d'entre eux était conçu pour compromettre les ordinateurs qui étaient chargés de contrôler les distributeurs automatiques de billets[6].
- Carbanak disposait alors de deux manières de récupérer de l'argent. Dans la plupart des cas, il pouvait envoyer des mules qui récupéraient l'argent des distributeurs automatiques compromis. Dans d'autres cas, Carbanak est néanmoins parvenu à avoir un accès direct aux comptes de leur cible et à utiliser le réseau SWIFT pour procéder à des transferts d'argent vers leurs comptes[4].
Autres attaques attribuées à Carbanak
Enseignes de grande distribution
En décembre 2014, la firme de sécurité informatique russe Group-IB et la firme néerlandaise Fox-IT ont identifié un groupe de cybercriminels qui récupéraient des coordonnées bancaires via des logiciels malveillants dissimulés dans des documents Microsoft Office[7]. Les deux entreprises ont nommé ce groupe Anunak. Le directeur général de Fox-IT, Andy Chandler a estimé néanmoins qu'Anunak et Carbanak ne seraient qu'une seule et même entité. Cette position est néanmoins critiquée par des spécialistes comme Brian Krebs[7]. Les modes opératoires d'Anunak et de Carbanak présentent en effet des différences notables. Anunak ciblait ainsi des enseignes de grande distribution alors que Carbanak s'attaquait à des institutions financières. Anunak ne procédait enfin pas à des virements frauduleux mais vendait les identifiants volés.
Hôtels
En novembre 2016, l'entreprise de cybersécurité Trustwave a identifié un logiciel malveillant conçu pour pénétrer l'infrastructure informatique de sociétés hôtelières puis y récupérer des identifiants bancaires, notamment en compromettant des terminaux de paiement. Les identifiants étaient ensuite vendus ou utilisés pour des achats en ligne. Cette attaque a été attribuée à Carbanak[8], notamment car elle présentait de nombreuses similarités avec les deux logiciels utilisés par le gang à partir de 2013. Même si le gang aurait été démantelé en juin 2015, la sophistication de cette nouvelle attaque rend cette piste plausible pour Trustwave[9]. Il pourrait justement s'agir d'un changement de modèle économique du gang à la suite des arrestations d'une partie de ses membres.
Références
- (en) « Carbanak: How Would You Have Stopped a $1 Billion APT Attack? », sur SecurityIntelligence, (consulté le )
- (en) « Russia Detains 50 Suspected Hackers for Malware Bank Attacks », sur Bloomberg, (consulté le )
- (en) Brian Krebs, « Carbanak Gang Tied to Russian Security Firm? », (consulté le )
- (en) « The Great Bank Robbery: Carbanak APT », (consulté le )
- (en) « Carbanak APT » (consulté le )
- « Fraude bancaire Carbanak : jusqu'à 1 milliard de dollars évaporés », (consulté le )
- (en) Brian Krebs, « The Great Bank Heist, or Death by 1,000 Cuts? », (consulté le )
- « Après les banques, le gang de hackers Carbanak s'attaque aux hôtels », (consulté le )
- (en) « New Carbanak / Anunak Attack Methodology », (consulté le )