News Detail

18.01.2017

Digitalisierung

Carbanak mène l’attaque contre les banques – Cyber-bandits opérant comme hackers à l’échelle mondiale

Ils se branchaient sur des caméras vidéo, observaient les écrans d’ordinateur des employés de banques et faisaient sortir indûment de l’argent là où ils pouvaient faire main basse dessus. Le gang Carbanak a ainsi pu délester d’environ un milliard de dollars 100 banques et institutions financières dans le monde entier, Suisse incluse.

 

Cela a démarré fin 2013 à Kiew, quand un automate bancaire s’est mis à cracher de façon irrégulière des quantités de billets de banque sans qu’aucun client n’ait introduit une carte bancaire ou touché à l’appareil. Les enregistrements des caméras de surveillance ont permis de constater qu’à chaque fois quelqu’un était sur les lieux, prêts à engranger la récolte de billets.

Une association de cybercriminels aux origines chinoises, russes et européennes a réussi en l’espace de deux ans au moins à détourner aux dépens de 100 banques un montant unique dans les annales, de l’ordre d’un milliard de dollars.

Une explication? Les détournements résultaient d’une stratégie extrêmement raffinée alliant le plus haut degré d’organisation et d’expertise à une technique élaborée d’intrusion dans les systèmes, sans compter beaucoup de patience et de culot. L’entreprise de sécurité informatique Kaspersky Lab a analysé le mécanisme:

 

1re étape: infiltration

Les malfaiteurs avaient choisi un faille apparemment anodine pour s’infiltrer: les ordinateurs des employés de banques généralement moins protégés et souvent connectés à internet. Ils ont alors envoyé des e-mails avec des pièces jointes infectées à des adresses qui semblaient appartenir à des collaborateurs. Dès que les destinataires ouvraient les pièces jointes, documents Word ou autres, le maliciel s’installait de lui-même comme porte dérobée donnant accès au réseau interne de la banque. Dommage collatéral, il y a eu dans cette opération des centaines de PC de collaborateurs contaminés.

 

2e étape: mission de reconnaissance

Partant de ces processeurs apparemment sans intérêt, les criminels ont mené à petits pas et en prenant manifestement tout leur temps une mission de reconnaissance sur leurs cibles. Ils ont pu suivre les écrans et claviers d’ordinateurs des employés de la banque et même observer la vie interne à travers les caméras vidéo. Et cela leur a permis d’identifier divers points faibles du système. Ce mode de procéder est un indicateur pour le professionnalisme des agresseurs, car observer et interpréter ainsi le comportement des employés requiert une bonne dose d’expertise.

La phase d’espionnage en secret a duré, de l’avis de Kaspersky, entre deux et quatre mois. Les informations collectées ont alors permis aux agresseurs de trouver dans les systèmes et les processus de la banque les points se prêtant à la véritable attaque: processeurs aux postes de travail des collaborateurs où sont gérés les virements et distributeurs de billets reliés au réseau. Les agresseurs avaient par leur observation méticuleuse appris à imiter le comportement des collaborateurs pour tromper les systèmes de la banque.

 

3e étape: imiter les employés de la banque

Aussitôt que les criminels en ont su assez sur les routines établies chez les collaborateurs, ils ont adopté eux-mêmes les rôles de ceux-ci en imitant systématiquement leurs comportements.

Ils sont ainsi parvenus à reprogrammer certains distributeurs pour que ceuxci délivrent de l’argent à une heure déterminée. Un complice se trouvait alors sur place pour retirer l’argent que crachait l’appareil et le reverser aussitôt sur les comptes de Carbanak. Il s’agissait de donner à la banque l’impression d’une panne fortuite de l’automate, dont chaque fois des passants se trouvant là par hasard auraient tiré profit.

Les attaquants ont aussi transféré de l’argent des comptes privés de la banque sur leur propre compte partout dans le monde. Ils brouillaient les pistes, notamment en manipulant le solde de certains comptes avant les transferts délictueux sur leurs propres comptes. De cette façon, ils réduisaient le risque que la machination soit dévoilée par des clients inquiets, puisque le solde du compte de client ne changeait pas. Sachant que la banque ne contrôlait les comptes que toutes les dix heures en moyenne, ils avaient suffisamment de temps pour effectuer le virement sur le compte de leur organisation.

Cartographie des cibles de Carbanak

 

 

Le gang Carbanak n’a donc pas fait comme d’autres auteurs de hold-up, qui exploitent un point faible bien déterminé dans l’organisation pour faire leur coup. Ici, l’organisation a opéré méthodiquement, patiemment et soigneusement avec une tactique extraordinairement précise. Les gangsters ont attaqué à des endroits imprévus. Les bandits ont observés attentivement tous les processus; ils ont planifié à partir de là l’exploitation des points faibles, l’exfiltration du butin et ont ensuite mis en place leurs attaques de façon très réfléchie. Le tout s’est joué dans le plus grand secret et avec toutes les précautions dans le déroulement des opérations, ce qui a permis à Carbanak d’attaquer les plateformes les plus diverses. L’organisation a manifestement réparti le travail sur des équipes internationales disposant de compétences complémentaires par rapport au but visé. Kaspersky a relevé divers indices à partir desquels des banques pourraient identifier une éventuelle infection par des programmes de Carbanak: ce sont par exemple des fichiers avec une extension en .bin dans un registre Mozilla, un programme svchost.exe dans un sous-registre inhabituel de Windows, des imitations de services Windows, mais avec une extension en .sys. Ces fichiers n’étaient toutefois qu’un moyen des malfaiteurs pour parvenir à leur but, qui était finalement de se servir des points faibles du système pour se mettre dans la peau (virtuelle) d’un collaborateur de la banque et effectuer en son nom des transactions sous couvert. C’est là que se situe la force du gang Carbanak et ce qui rend si dangereuse sa méthode: si une des failles est identifiée et bloquée, les agresseurs rechercheront alors une nouvelle faille pour remettre en route un autre jeu d’imitation.

Si ce hold-up systématique a fini par être découvert, c’est à cause des complices chargés de collecter les billets de banque, leur comportement devant les distributeurs automatiques ayant éveillé la suspicion. Mais leurs commanditaires n’ont jusqu’à ce jour pas été inquiétés.

Bienvenue donc à l’âge numérique où les attaques de banque à main armée devant les guichets, suivies d’une fuite en trombe avant l’arrivée de la police s’avèrent plus dangereuses et moins rentables que la cybercriminalité dans le domaine. Adieu donc «Bonnie and Clyde» et leurs attaques brutales que l’on connaît par le cinéma. Aujourd’hui un hold-up bancaire se passe tout en douceur: on est passé à la cyber-attaque. Le gang de Carbanak a montré comment cela se fait, presque dans le style hollywoodien que l’on connaît du film «Ocean’s Eleven».

 

Les cinq plus grandes attaques sur les banques de tous les temps:

 

1.    Banque centrale de l’Irak

Butin: 1 milliard d’US$

18 mars 2003, Bagdad, Irak.

Le soir qui a précédé le commencement des bombardements de son pays, le dictateur irakien Saddam Hussein envoie son fils Qusay à la Banque centrale avec une procuration pour retirer tout le liquide qui y est déposé. Dans une action-choc qui a duré cinq heures, Qusay et ses aides chargent tout l’argent sur des camions et l’amènent de la Banque au palais présidentiel. Le plus grand hold-up de l’histoire ou simplement un immense prélèvement de liquide? De ce milliard volatilisé, on a retrouvé plus tard 650 millions dans des caches aménagées dans les murs du palais. Mais on ignore aujourd’hui encore où ont pu rester les 350 millions restants.

 

 

2.    City de Londres

Butin: 292 millions de GBP

2 mai 1990, Londres (UK).

Dans une rue latérale de la City, le coursier d’une maison de courtage John Goddard, 58 ans, est poignardé par un inconnu. L’auteur de ce crime s’empare de la mallette dans laquelle sa victime transportait 301 bons du trésor, valant un million de livres chacun. Ces papiers-valeur émis par la Banque d’Angleterre sont au porteur, donc pratiquement comme de l’argent liquide. La police de Londres et le FBI ont réussi par la suite à identifier diverses personnes liées à l’affaire et toute l’équipe qui avait monté le coup a pu être arrêtée. Toutefois, le principal suspect n’a pas pu être interrogé, ayant été abattu peu avant son arrestation par des inconnus.

 

 

3.    Gardner Museum, Boston

Butin: 300 millions d’US$

18 mars 1990. Boston (USA).

Deux pseudopoliciers demandent à entrer dans le musée, arguant d’un avis d’alarme que la police aurait reçu. Inexpérimentés, les surveillants leur ouvrent la porte et se font aussitôt empoigner et maîtriser par les intrus, qui les immobilisent dans la cave à l’aide de menottes. Les voleurs ont désactivé les systèmes de surveillance pour décrocher en toute tranquillité douze toiles pour une valeur estimée à 500 millions de dollars au moins, le tout en l’espace de 81 minutes. Malgré l’offre d’une récompense de 5 millions de dollars, les auteurs du braquage n’ont pas été retrouvés et les tableaux volés ne sont pas reparus depuis ce jour-là.

 

 

4.    Dar Es Salaam Bank, Bagdad

Butin: 282 millions d’US$

12 juillet 2007, Bagdad, Irak.

En arrivant le matin à leur lieu de travail, les employés de la banque privée ont trouvé les portes de l’établissement ouvertes. Dans la salle des coffres, pillée, 282 millions de dollars manquaient à l’appel! On ne connaît aujourd’hui encore pas les raisons pour lesquelles cette banque privée abritait alors une telle somme, pas plus qu’on ne connaît les instigateurs du cambriolage. On suppose que des gardiens étaient de connivence avec des milieux de la police et de l’armée. L’événement a trouvé très peu d’écho dans les médias et les autorités américaines se sont montrées très discrètes dans toute cette affaire. En tout cas, les millions du butin semblent bien s’être volatilisés.

 

 

5.    Aeroport de Schiphol

Butin: 118 millions d’US$

25 février 2005, Amsterdam, Pays-Bas.

Deux hommes se faisant passer pour des employés de la sécurité de la KLM, stoppent un fourgon de cette même compagnie, qui amenait une grande livraison de diamants vers un avion en partance pour Anvers. Comme l’ont raconté plusieurs témoins, ils sortent leurs armes et s’emparent du fourgon, puis, ni vu ni connu, disparaissent dans la nature. Cette attaque a été facilitée par les mesures de sécurité peu efficaces de l’aéroport de Schiphol. Trois mois plus tard, la police a pu arrêter une personne travaillant à l’aéroport.