Actualités de la sécurité

La nouvelle fraude aux distributeurs de billets permet de braquer une banque plus facilement

Avast Security Blogger, 21 avril 2017

Des groupes de fraude bancaire malins et tristement célèbres créent de nouveaux défis de sécurité pour les banques.

Ces derniers mois, nous avons assisté à plusieurs attaques de grande envergure sur des distributeurs de billets du monde entier, en Thaïlande, en Inde, en Amérique Latine, dans toute l’Europe et dans d’autres pays du monde. Lors de ces incidents, les responsables ont réussi à voler plusieurs millions de dollars à des établissements bancaires.

Les attaques ciblant les établissement bancaires et leur systèmes internes.

Les attaques bancaires se divisent en deux catégories principales : Celles qui ciblent le consommateur et celles qui ciblent les établissements bancaires.

La première catégorie, la plus ancienne, regroupe les attaques qui ciblent principalement les clients de banques et les logiciels bancaires en ligne. Certaines techniques utilisées par les pirates comprennent :

  • Le détournement de l’écran de connexion à la banque en ligne
  • Le contournement des dispositifs de sécurité, comme les claviers virtuels ou l'authentification en deux étapes
  • L'installation d'un logiciel espion sous forme d'un outil d’accès à distance personnalisé (OAD) sur l’ordinateur infecté. (Ce modèle jouit encore d’une certaine popularité en Amérique du Sud et en Asie.)

Cependant, nous allons surtout nous concentrer sur la deuxième catégorie d’attaques dans cet article : Les attaques qui ciblent directement les établissements bancaires et leurs systèmes internes, les ordinateurs des employés de la banque et les réseaux internes, qui donnent accès à d’autres parties de l’infrastructure aux pirates, comme les terminaux de paiement (POS), les distributeurs de billets ou les virements internationaux et les journaux critiques.

Les pirates utilisent souvent des menaces persistances avancées (APT), l’ingénierie sociale ou le harponnage sur les employés internes et externes à la banque pour pouvoir accéder aux systèmes internes. Dans certains cas, les pirates ne parviennent à attaquer que le réseau interne aux distributeurs de billets et finissent par attaquer physiquement un distributeur de billets pour propager l’infection à toutes les autres machines d'un même réseau.

L’une des dernières attaques de ce type en date était une infection massive de distributeurs de billets russes via le réseau interne d'un établissement bancaire. Selon les informations des médias russes, cette attaque était particulièrement intéressante car elle utilisait un programme malveillant sans fichier qui s’exécute dans la mémoire de la machine et qui résiste au redémarrage du système d’exploitation des distributeurs de billets infectés, qui fonctionnent souvent sous Windows.

À partir de ces informations, nous avons supposé que le programme malveillant peut être stocké, par exemple dans le master boot record du disque dur de la machine (MBR), dans le micrologiciel (BIOS/UEFI) ou en tant que poweliks, un programme malveillant connu pour se cacher dans les registres Windows.

Après avoir saisi un code spécial, le distributeur de billets infecté émettra tout l’argent du premier distributeur, où sont généralement stockés les billets ayant la valeur nominale la plus élevée. Cette méthode porte également le nom de « jackpotting » et a déjà été utilisée plusieurs fois par le passé.

Les infections de distributeurs de billets sont de plus en plus fréquentes et remplacent progressivement les méthodes de détournement, où les pirates devaient placer leur dispositif sur un distributeur de billets spécifique et couraient un grand risque d’être découverts.

La fraude bancaire, toute une affaire

Les groupes de fraude bancaire les plus notoires sont Metel, GCMAN, Carbanal, Buthrp/Cobalt et Lazarus. Tous ces groupes sont très doués et se composent de professionnels ayant une connaissance approfondie des technologies bancaires, du piratage et de la programmation.

Ils ont probablement des liens avec la mafia souterraine et des groupes de blanchiment d’argent et entretiennent probablement des contacts avec des employés de banque corrompus et des initiés.

Leur travail demande énormément de temps et la préparation du « casse du siècle » peut nécessiter des mois de surveillance, d’intrusion dans les nouveaux systèmes et serveurs, les réseaux, d’étudier les systèmes internes, les mécanismes de vérification, ainsi que d’autres règles et quotas de régulation.

La moindre petite erreur commise par les groupes de fraude bancaire peut leur être fatale et mener à la révélation de leurs activités suspectes au grand jour.

Pour se protéger davantage pendant leur assaut final, ils nettoient méticuleusement toutes les traces et tous les journaux de leurs activités illégales, une étape critique qui nécessite des actions planifiées avec le plus grand soin.

Les attaques de fraude bancaire deviennent de plus en plus courantes et les responsables utilisent des méthodes sophistiquées pour voler des sommes colossales. Chaque vol réussi par les pirates leur permet d’amasser des fonds pour financer leur infrastructure, le développement de logiciels malveillants, le rassemblement de failles, mais aussi payer les mules, le blanchiment d’argent et les initiés corrompus.

Tous ces groupes figurent sur la liste de plusieurs institutions de maintien de l’ordre, comme le FBI ou Europol depuis de nombreuses années mais leurs cerveaux et membres de l’organisation restent cachés aux confins d’Internet et des darknets.

Même si les distributeurs de billets sont généralement bien protégés contre les attaques physiques, la grande majorité utilise un système d’exploitation Windows (CE/2000/XP/7).

Nous ne savons pas si les systèmes d’exploitation des distributeurs de billets sont régulièrement mis à jour et corrigés et les distributeurs de billets dépendent probablement du logiciel de sécurité installé sur le réseau interne.

La sécurité d’un réseau est équivalente à celle de son maillon le plus faible. Ainsi, dès qu’une brèche est ouverte sur le réseau interne, les distributeurs de billets du réseau deviennent une cible facile.

Par conséquent, si les banques veulent protéger leurs distributeurs de billets et leurs systèmes de ces attaques, elles doivent accorder plus d’attention à leurs politiques et technologies de sécurité internes, ainsi qu’à la sécurité de leurs distributeurs de billets.

Les temps ont changé et il semblerait qu’il soit devenu plus facile de piller un distributeur de billets par voie électronique que par les bonnes vieilles méthodes.

Cette situation renforce peut-être notre sécurité physique mais elle révèle de nouveaux problèmes et défis auxquels les banques doivent faire face.

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.