Accueil > Espace entreprise> Tics > Cyberbraquage : comment les pirates ont réussi à voler un milliard de (...)
Cyberbraquage : comment les pirates ont réussi à voler un milliard de dollars
17 février 2015

Les cybercriminels s’introduisaient de manière banale par des emails piégés pour, ensuite, réaliser un minutieux travail d’espionnage et de renseignement avant de passer à l’action. Du grand art.

Un milliard de dollars volés dans plus d’une centaine de banques dans le monde... Détecté par Kaspersky, le cyberbraquage mené par cette équipe internationale de pirates non identifiés était un vrai travail de professionnel, remarquablement organisé et techniquement sophistiqué. Mais concrètement, comment ont-ils procédé ?
Pour s’introduire dans les réseaux informatiques des banques, les pirates ont utilisé un moyen ultraclassique : un email piégé forgé sur mesure et envoyé à l’un des employés.

Le corps du message faisait référence à une invitation, à une réglementation financière, à une demande client, etc. En pièce jointe figurait un fichier Word 97-2003 ou des fichiers systèmes (.CPL) cachés dans une archive RAR. Il suffisait de cliquer et hop, l’ordinateur était infecté par une porte dérobée baptisée Carbanak. Ce dernier, pour rester discret, disposait même d’une signature valide. A noter que les vulnérabilités exploitées pour compromettre les postes de travail sont connues depuis quelques années et qu’il existe des patchs. Les systèmes des victimes n’étaient donc pas à jour (ce qui est fréquent, hélas).

Grâce à la porte dérobée Carnabak, les pirates ont pu espionner à loisir le réseau et les processus de travail de la banque infectée. Ils récupèrent les mots de passe système de l’utilisateur, naviguent à travers ses fichiers et ses emails, analysent les applications métier installées, sondent le réseau et les contacts pour trouver des administrateurs systèmes à infecter, installent des logiciels d’administration à distance, etc. Des captures d’écran sont prises toutes les 20 secondes pour connaître précisément le travail de la victime. Si une webcam est disponible, elle sera même filmée. Toutes ces informations seront renvoyées sous forme compressée à des serveurs de commande et contrôle situés à l’étranger, puis stockées de manière systématique dans des bases de données.


Cette phase de reconnaissance dure entre deux et quatre mois. Une fois qu’ils sont parfaitement renseignés, les pirates passent à l’action. Ils créent de fausses transactions internationales (SWIFT) pour alimenter leurs comptes bancaires et insèrent de faux ordres de paiements en ligne. Parfois, pour rester discrets, ils augmentent artificiellement le solde d’un compte bancaire puis transfèrent la différence sur un compte dont ils ont le contrôle. Ce qui permet de rester sous le radar des contrôles comptables.

Plus impressionnant : les pirates ont parfois pu accéder au réseau informatique qui reliait les distributeurs de billets. Si ces derniers pouvaient être administrés à distance - ce qui n’est pas toujours le cas - il leur suffisait d’envoyer quelques lignes de commandes pour leur faire cracher le pactole. Pour réaliser toutes ces opérations, pas la peine d’exploiter une quelconque vulnérabilité : les pirates utilisaient les identifiants et mots de passe de leurs victimes, tout simplement.

Gilbert Kallenborn | 01net


Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.



DE LA MÊME RUBRIQUE...




FINANCES

Devises
Matières Premières

Cours des matières premières fournis par Investing.com France.
Bourses (BRVM)