Le grand braquage : l’attaque APT Carbanak

Download Full Report PDF (eng)

L’histoire de Carbanak débute lorsqu’une banque d’Ukraine sollicite notre aide pour réaliser une enquête. De l’argent était volé mystérieusement via les Distributeurs Automatique (DAB). Nous avions tout d’abord pensé au malware Tyupkin. Toutefois, l’analyse du disque dur du DAB n’avait détecté rien d’anormal, si ce n’est une configuration assez étrange du VPN (la valeur du masque de réseau était 172.0.0.0).

À l’époque, nous avions considéré l’incident comme une simple attaque de malware. Nous étions loin de penser que quelques mois plus tard, un de nos collègues allait recevoir un coup de téléphone à 3h00 du matin. Il provenait d’un chargé de compte qui nous demandait d’appeler en urgence le numéro de téléphone qu’il venait de nous communiquer. Le directeur de la sécurité d’une banque russe décrocha. Un des systèmes de la banque signalait l’envoi de données depuis leur contrôleur de domaine vers la République populaire de Chine.

Nous nous sommes rendus sur place et nous avons pu localiser rapidement le malware sur le système. Nous avons écrit un script de commandes batch qui a éliminé le malware de l’ordinateur infecté et nous avons exécuté ce script sur tous les ordinateurs de la banque. Nous avons réalisé cette opération à plusieurs reprises jusqu’au moment où nous fûmes convaincus que plus aucun ordinateur n’était infecté. Bien entendu, nous avions prélevé des échantillons et c’est là que nous avons rencontré Carbanak pour la première fois.

Mode opératoire

Une enquête plus poussée nous a appris que l’infection initiale avait eu lieu via un message de hameçonnage (phishing) avec une pièce-jointe CPL. Il y a également eu des cas d’utilisation de documents Word qui exploitaient des vulnérabilités connues. L’exécution du shellcode est suivie de l’installation d’une porte dérobée inspirée de Carberp. Cette porte dérobée est le malware connu aujourd’hui sous le nom de Carbanak. Ces fonctions sont axées sur l’espionnage, l’extraction de données et la commande à distance.

Une fois que les attaquants se sont introduits dans le réseau de la victime, ils réalisent une reconnaissance manuelle et tentent de compromettre des ordinateurs pertinents (tels que les ordinateurs des administrateurs) et utilisent des outils de déplacement latéral. En bref, une fois dans le réseau, ils explorent jusqu’à temps de trouver ce qui les intéresse. Ce centre d’intérêt varie en fonction de l’attaque. Il y a toutefois un point commun : dans tous les cas, ce centre d’intérêt permet d’extraire de l’argent de l’entité infectée.

La bande à l’origine de Carbanak ne connaît pas nécessairement le fonctionnement de chaque banque ciblée avant l’attaque car les opérations internes varient en fonction de chaque organisation. Par conséquent, pour comprendre le fonctionnement d’une banque en particulier, les individus malintentionnés enregistraient des vidéos à l’aide des ordinateurs infectés. Ces vidéos étaient ensuite transmises aux serveurs de commande. Bien que la qualité des vidéos était assez médiocre, elle permettait malgré tout aux attaquants, en possession également des données tapées au clavier d’un ordinateur en particulier, de comprendre ce que faisait la victime. Ils obtenaient ainsi les informations dont ils avaient besoin pour s’emparer de l’argent.

Procédures de retrait de l’argent

Notre enquête a mis en évidence plusieurs méthodes utilisées pour récupérer l’argent :

les DAB recevaient à distance des instructions pour distribuer de l’argent sans aucune interaction avec le DAB en lui-même, l’argent en liquide était ensuite récupéré par des mules ; les individus malintentionnés ont utilisé le réseau SWIFT pour transférer de l’argent depuis la banque vers leurs comptes et les bases de données contenant les informations des comptes ont été modifiées afin de pouvoir créer de faux comptes dotés de soldes relativement élevés. L’argent était récupéré par des mules.

Infections et pertes

Depuis le début de notre enquête sur cette campagne, nous travaillons en étroite coopération avec les autorités judiciaires et policières qui sont sur les traces du groupe Carbanak. De cette coopération, nous avons appris qu’une centaine de cibles a été touchée. S’agissant des institutions financières, dans au moins la moitié des cas, les criminels ont réussi à retirer de l’argent des institutions infectées. Les pertes individuelles enregistrées par les banques sont comprises entre 2,5 et 10 millions de dollars américains. Toutefois, d’après des informations fournies par les autorités judiciaires et policières et les victimes elles-mêmes, les pertes financières pourraient atteindre 1 milliard de dollars, ce qui ferait de cette campagne cybercriminelle la campagne la mieux réussie que nous ayons jamais rencontrée.

Notre enquête a débuté en Ukraine avant de se déplacer à Moscou. La majorité des entités financières ciblées par le groupe se trouve en Europe de l’Est. Toutefois, les données fournies par KSN et les données que nous avons obtenues sur les serveurs de commande indiquent que Carbanak s’en prend également à des victimes aux Etats-Unis, en Allemagne et en Chine. Le groupe étend actuellement ses activités à de nouvelles régions, parmi lesquelles la Malaisie, le Népal, le Koweït et plusieurs régions d’Afrique.

Ce groupe est toujours actif et nous encourageons toutes les organisations financières à rechercher la présence éventuelle de Carbanak sur leurs réseaux. En cas de détection positive, signalez l’intrusion immédiatement aux autorités.

Pour obtenir une description complète de la campagne, des indicateurs de compromission et la liste des infections, consultez notre rapport.

Pour vérifier si votre réseau a été infecté par Carbanak, vous pouvez également ouvrir le fichier IOC disponible ici.


FAQ

Qu’est-ce que Carbanak ?

Carbanak est le nom que nous avons donné à une campagne APT qui vise des institutions financières, mais pas uniquement celles-ci. A la différence d’autres attaques APT, les attaquants visent ici avant tout l’argent et non pas les données. Bien que nous parlions d’une attaque de style APT, cette attaque n’est pas vraiment avancée. En réalité, la caractéristique principale qui définit ces attaques, c’est la persistance.

Nous avons décidé de nommer cette porte dérobée Carbanak car elle repose sur Carberp et son fichier de configuration s’appelle "anak.cfg".

Quels sont les objectifs malveillants de cette campagne ?

Les attaquants s’infiltrent dans le réseau de la victime, à la recherche du système critique qu’ils pourront utiliser pour retirer l’argent. Une fois qu’ils ont volé un montant considérable (qui varie entre 2,5 et 10 millions de dollars américains par institution), ils abandonnent la victime.

Pourquoi pensez-vous que cette campagne est importante ?

Les banques ont toujours été une cible de choix pour les cybercriminels. Mais jusqu’à présent, les victimes étaient toujours en réalité les clients de ces banques. Cette fois-ci, les attaquants visent directement les entités financières dans le cadre d’une attaque inédite, déterminée, très professionnelle et coordonnée. Ils utilisent tous les moyens de la cible pour obtenir le plus d’argent possible, jusqu’à un plafond que les attaquants semblent s’être imposé.

Pouvez-vous dresser l’historique de la campagne ?

D’après nos informations, les premiers échantillons malveillants auraient été compilés en août 2013, à l’époque où les cybercriminels ont commencé à tester le malware Carbanak. Les premières infections remontent à décembre 2013.

En moyenne, le cambriolage de chaque banque s’est étalé sur une période comprise entre deux et quatre mois, depuis l’infection du premier ordinateur dans le réseau de la banque jusqu’au retrait de l’argent.

Nous estimons que la bande a réussi ses premiers cambriolages entre février et avril 2014. Le pic d’infections a été enregistré en juin 2014.

La campagne est toujours active à l’heure actuelle.

Pourquoi avoir attendu jusque maintenant pour divulguer ces détails ?

Dès le début de nos travaux de recherche sur cette campagne, nous avons coopéré avec différentes autorités judiciaires et policières impliquées dans l’enquête et nous les avons aidées dans les limites de nos moyens. Vu que l’enquête était toujours en cours, nous avions été invités à ne dévoiler aucun détail tant que ce n’était pas opportun.

Avez-vous contacté les victimes et les équipes d’intervention en cas d’urgence informatique (CERT) dans les pays où vous avez détecté les incidents ?

Oui, cette enquête est devenue une opération conjointe entre l’équipe internationale de recherche et d’analyse de Kaspersky Lab d’une part et des organisations internationales, des autorités judiciaires et policières nationales et régionales et plusieurs équipes CERT à travers le monde d’autre part.

Un de nos principaux objectifs était le partage de nos connaissances sur la campagne et les indicateurs de compromission avec les victimes confirmées et potentielles. Les CERTS et les autorités judiciaires et policières à l’échelle nationale ont servi de canaux de diffusion.

Quel a été votre apport à l’enquête ?

Nous intervenons dans l’enquête et dans la mise en œuvre de contre-mesures qui perturbent les opérations du malware et l’activité cybercriminelle. Dans le cadre des enquêtes, nous apportons notre savoir-faire technique, par exemple au niveau de l’analyse des vecteurs d’infection, des malwares, de la structure de commande prise en charge et des méthodes d’exploitation.

Comment ce malware a-t-il été diffusé ?

Les attaquants ont envoyé des pièces jointes malveillantes dans des messages d’hameçonnage (phishing) destinés à des employés des institutions financières ciblées. Dans certains cas, ils ont envoyé ces messages aux adresses privées. Nous pensons que les attaquants ont également utilisé des attaques de type Drive-by, mais nous ne pouvons pas le confirmer à 100 %.

Quel est l’impact potentiel pour les victimes ?

Sur la base de ce que les attaquants ont volé aux victimes confirmées, toute nouvelle victime pourrait perdre un maximum de 10 millions de dollars américains. Ce chiffre est arbitraire et repose sur l’état de nos connaissances : rien ne limite les pertes potentielles en cas d’infection.

Qui sont les victimes ? Quelle est l’ampleur de l’attaque ?

Les victimes sont principalement des institutions financières ; nous avons cependant détecté également des traces d’infection dans des terminaux de point de vente et dans des agences de relations publiques. Pour vous faire une idée de l’ampleur de l’attaque, consultez les différents graphiques et cartes qui illustrent notre rapport.

Comme c’est le cas dans de nombreuses campagnes de malwares, il y a toujours différentes sociétés ou particuliers qui étudient le malware, ce qui se traduit par des requêtes envoyées au serveur de commande. Lorsque nous analysons ces serveurs, nous ne voyons que des adresses IP et parfois, des informations complémentaires. Si ces informations complémentaires manquent et si nous ne parvenons pas à remonter jusqu’au propriétaire de l’adresse IP, nous considérons ce contact comme une infection.

Sur la base de cette approche, notre analyse nous permet d’affirmer que les pays les plus touchés en terme de volume de traces d’infection (adresses IP) sont les Etats-Unis, l’Allemagne et la Chine.

Comment les entreprises peuvent-elles se protéger contre ce type d’attaque ? Kaspersky Lab offre-t-elle une protection à ces utilisateurs ?

Oui, nous détectons les échantillons de Carbanak sous Backdoor.Win32.Carbanak et Backdoor.Win32.CarbanakCmd.

Tous les logiciels et solutions de Kaspersky Lab destinées aux entreprises détectent les échantillons connus de Carbanak. Pour accroître la protection, il est conseillé d’activer le module de défense proactive de Kaspersky qui figure dans toutes nos solutions modernes.

Nous formulons également des recommandations générales :

  • N’ouvrez pas les messages d’origine douteuses, surtout s’ils ont une pièce jointe ;
  • Mettez votre logiciel à jour (aucune vulnérabilité 0-day n’est exploitée dans cette campagne) ;
  • Activez l’analyse heuristiques dans vos solutions de sécurité afin d’augmenter les chances de détection et de neutralisation de tout nouvel échantillon.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *