Carbanak

Carbanak est le nom donné à un groupe de cybercriminels spécialisé dans l'attaque de distributeurs automatiques de billets et d'institutions financières.

Le groupe est identifié pour la première fois à la fin de l'année 2013^[1]. Il aurait été démantelé en juin 2015 lors de l'arrestation d'une cinquantaine de cybercriminels par les autorités russes^[2]. Carbanak aurait détourné entre cinq cents millions et un milliard de dollars.

Mode opératoire

Kaspersky estime que Carbanak a attaqué plus de cent institutions financières, réparties dans une trentaine de pays (États-Unis, Russie, Suisse, Australie...)^[3]. En moyenne, les attaquants sont parvenus à détourner au moins huit millions de dollars à chacune de leurs cibles^[4]. Le grand professionnalisme de Carbanak et la sophistication de ses attaques lui ont souvent valu la qualification d'Advanced Persistent Threat.

Les attaques de Carbanak reposaient souvent sur le mode opératoire suivant :

Les membres de Carbanak se renseignaient activement sur les distributeurs automatiques de billets utilisés par leur cible. Pour y parvenir, Carbanak utilisait principalement des techniques d’ingénierie sociale.
Une fois que le gang disposait de suffisamment d'informations, il mettait en place des campagnes d'hameçonnage pour installer des logiciels malveillants dans le réseau informatique de l'institution ciblée. Kaspersky a formellement identifié deux types de logiciels malveillants qui auraient été développés par Carbanak pour son usage exclusif^[5]. L'un d'entre eux était conçu pour compromettre les ordinateurs qui étaient chargés de contrôler les distributeurs automatiques de billets^[6].
Carbanak disposait alors de deux manières de récupérer de l'argent. Dans la plupart des cas, il pouvait envoyer des mules qui récupéraient l'argent des distributeurs automatiques compromis. Dans d'autres cas, Carbanak est néanmoins parvenu à avoir un accès direct aux comptes de leur cible et à utiliser le réseau SWIFT pour procéder à des transferts d'argent vers leurs comptes^[4].

Autres attaques attribuées à Carbanak

Enseignes de grande distribution

En décembre 2014, la firme de sécurité informatique russe Group-IB et la firme néerlandaise Fox-IT ont identifié un groupe de cybercriminels qui récupéraient des coordonnées bancaires via des logiciels malveillants dissimulés dans des documents Microsoft Office^[7]. Les deux entreprises ont nommé ce groupe Anunak. Le directeur général de Fox-IT, Andy Chandler a estimé néanmoins qu'Anunak et Carbanak ne seraient qu'une seule et même entité. Cette position est néanmoins critiquée par des spécialistes comme Brian Krebs^[7]. Les modes opératoires d'Anunak et de Carbanak présentent en effet des différences notables. Anunak ciblait ainsi des enseignes de grande distribution alors que Carbanak s'attaquait à des institutions financières. Anunak ne procédait enfin pas à des virements frauduleux mais vendait les identifiants volés.

Hôtels

En novembre 2016, l'entreprise de cybersécurité Trustwave a identifié un logiciel malveillant conçu pour pénétrer l'infrastructure informatique de sociétés hôtelières puis y récupérer des identifiants bancaires, notamment en compromettant des terminaux de paiement. Les identifiants étaient ensuite vendus ou utilisés pour des achats en ligne. Cette attaque a été attribuée à Carbanak^[8], notamment car elle présentait de nombreuses similarités avec les deux logiciels utilisés par le gang à partir de 2013. Même si le gang aurait été démantelé en juin 2015, la sophistication de cette nouvelle attaque rend cette piste plausible pour Trustwave^[9]. Il pourrait justement s'agir d'un changement de modèle économique du gang à la suite des arrestations d'une partie de ses membres.

Références

↑ (en) « Carbanak: How Would You Have Stopped a $1 Billion APT Attack? », sur SecurityIntelligence, 23 février 2015 (consulté le 27 février 2018)
↑ (en) « Russia Detains 50 Suspected Hackers for Malware Bank Attacks », sur Bloomberg, 1^er juin 2016 (consulté le 27 février 2018)
↑ (en) Brian Krebs, « Carbanak Gang Tied to Russian Security Firm? », 16 juillet 2016 (consulté le 27 février 2018)
↑ ^{a et b} (en) « The Great Bank Robbery: Carbanak APT », 17 février 2015 (consulté le 27 février 2018)
↑ (en) « Carbanak APT » (consulté le 27 février 2018)
↑ « Fraude bancaire Carbanak : jusqu'à 1 milliard de dollars évaporés », 16 février 2015 (consulté le 27 février 2018)
↑ ^{a et b} (en) Brian Krebs, « The Great Bank Heist, or Death by 1,000 Cuts? », 16 février 2015 (consulté le 27 février 2018)
↑ « Après les banques, le gang de hackers Carbanak s'attaque aux hôtels », 15 novembre 2016 (consulté le 27 février 2018)
↑ (en) « New Carbanak / Anunak Attack Methodology », 14 novembre 2016 (consulté le 27 février 2018)

[1] (en) « Carbanak: How Would You Have Stopped a $1 Billion APT Attack? », sur SecurityIntelligence, 23 février 2015 (consulté le 27 février 2018)

[2] (en) « Russia Detains 50 Suspected Hackers for Malware Bank Attacks », sur Bloomberg, 1^er juin 2016 (consulté le 27 février 2018)

[3] (en) Brian Krebs, « Carbanak Gang Tied to Russian Security Firm? », 16 juillet 2016 (consulté le 27 février 2018)

[:0-4] {a et b} (en) « The Great Bank Robbery: Carbanak APT », 17 février 2015 (consulté le 27 février 2018)

[5] (en) « Carbanak APT » (consulté le 27 février 2018)

[6] « Fraude bancaire Carbanak : jusqu'à 1 milliard de dollars évaporés », 16 février 2015 (consulté le 27 février 2018)

[:1-7] {a et b} (en) Brian Krebs, « The Great Bank Heist, or Death by 1,000 Cuts? », 16 février 2015 (consulté le 27 février 2018)

[8] « Après les banques, le gang de hackers Carbanak s'attaque aux hôtels », 15 novembre 2016 (consulté le 27 février 2018)

[9] (en) « New Carbanak / Anunak Attack Methodology », 14 novembre 2016 (consulté le 27 février 2018)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]