râce à cette nouvelle version, deux nouveaux groupes opérant avec un style similaire, il s’agit de Metel et GCMAN ont été démasqués, apprend-on d’un communiqué de presse. Ceux-ci attaquent les établissements financiers en utilisant des malwares de reconnaissance et personnalisés de type APT, ainsi que des logiciels légitimes et des stratagèmes innovants, afin de dérober des fonds. « Désormais, la phase active d’une cyber-attaque devient plus courte. Une fois que ses auteurs sont passés maîtres dans une opération particulière, il leur faut à peine quelques jours ou une semaine au maximum pour s’emparer de ce qu’ils veulent et disparaître », commente Sergey Golovanov, chercheur principal en sécurité au sein de l’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab.
Au cours de leur enquête, les experts de Kaspersky Lab ont découvert que les opérateurs de Metel perpètrent leur infection initiale par le biais d’e-mails de spear-phishing spécialement conçus, accompagnés de pièces jointes malveillantes, et au moyen du kit d’exploitation Niteris, ciblant des vulnérabilités dans le navigateur de la victime. Une fois qu’ils ont pénétré dans le réseau, les cybercriminels se servent d’outils légitimes d’audit intrusif (pentesting) pour se déplacer à l’intérieur, piratant le contrôleur de domaine local pour, en définitive, localiser et prendre le contrôle des ordinateurs utilisés par les employés de la banque responsables du traitement des cartes.
Lors d’une attaque observée par Kaspersky Lab, les cybercriminels sont restés dans le réseau pendant un an et demi avant de lancer le cambriolage. L’argent a été viré par tranches d’environ 200 dollars, soit le plafond s’appliquant aux paiements anonymes en Russie. Chaque minute, le programmateur CRON exécutait un script malveillant et un autre montant était transféré sur le compte en e-monnaie d’une « mule ». Les ordres d’opérations étaient adressés directement à la passerelle de la banque en amont et n’apparaissaient donc nulle part dans les systèmes internes de l’établissement.
Par ailleurs, Carbanak 2.0 marque la résurgence de l’APT Carbanak, faisant appel aux mêmes outils et techniques, mais contre un profil différent de victimes et avec des méthodes innovantes pour dérober des fonds. « Les attaques contre les établissements financiers découvertes en 2015 sont le signe d’une tendance inquiétante des cybercriminels à se tourner résolument vers les méthodes APT. Le gang Carbanak n’est que le premier d’une longue série : les cybercriminels apprennent désormais rapidement à se servir de nouvelles techniques pour leurs opérations et nous en voyons un nombre croissant attaquer, non plus de simples usagers, mais directement des banques. Leur logique est simple : prendre l’argent à la source », avertit Sergey Golovanov. « Notre but est donc de montrer comment et où, précisément, les menaces peuvent frapper pour s’en prendre à votre argent. Je pense qu’après avoir entendu parler des attaques GCMAN, vous allez vouloir vérifier la protection des serveurs de votre banque en ligne. Tandis que, dans le cas de Carbanak, nous conseillons de protéger la base de données qui renferme les informations sur les titulaires de comptes, et pas uniquement leurs soldes.»
Les produits Kaspersky Lab détectent et bloquent avec succès les malwares utilisés par les menaces Carbanak 2.0, Metel et GCMAN. La société publie également des indicateurs d’infection (IOC) essentiels ainsi que d’autres données pour aider les entreprises à rechercher des traces de ces attaques sur leurs réseaux.
Enfin, Kaspersky exhorte toutes les entreprises à scruter soigneusement leurs réseaux pour y détecter la présence de Carbanak, Metel ou GCMAN et, le cas échéant, à désinfecter leurs systèmes et à signaler l’intrusion aux autorités.
