Pour gérer vos consentements :
Categories: Sécurité

Comment des cybercriminels dévalisent les ATM… sans les mains

A l’occasion d’un événement qu’il organise, Kaspersky a décrit une attaque en deux phases ciblant des institutions financières et par laquelle des cybercriminels sont parvenus à dérober d’importantes sommes d’argent. La première étape de cette fraude organisée a déjà été décrite dès février par l’éditeur russe : classique (elle repose sur des vulnérabilités, exploits et outils connus, comme Meterpreter) mais hyper furtive, elle consiste à infecter des serveurs avec un malware s’implantant directement en mémoire. Afin d’échapper aux outils de détection, les assaillants misent sur l’exploitation de services légitimes de l’OS et prennent soin d’effacer leurs traces. Au moins 140 organisations (dont des banques, des opérateurs télécoms ou des institutions gouvernementales) d’une quarantaine de pays, France y compris, auraient été touchés par cette campagne.

Les chercheurs de Kaspersky ont depuis poursuivi leur enquête sur les motivations de ce groupe de criminels. En particulier, auprès des banques. Deux établissements russes ont ainsi vu 8 de leurs automates bancaires vidés de leurs billets, un butin d’environ 800 000 dollars au total. Les caméras de surveillance montrent simplement un individu venant récupérer les liasses de billets – sans intervention de sa part. Vider un automate nécessitant au total environ 20 minutes.

Take the money, bitch

Seul indice laissé par les cybercriminels ? Deux fichiers de logs qui ont enregistré toutes les opérations s’étant déroulées sur les machines avant qu’elles ne soient vidées de leur contenu. Ces logs renfermaient notamment une ligne de texte, en anglais : ‘take the money, bitch’ (la traduction ne sera pas nécessaire…). « Notre théorie, c’est que durant la désinstallation du malware, quelque chose ne s’est pas passé comme prévu et c’est pourquoi les fichiers log ont été laissés sur les machines », explique Sergey Golovanov, un des deux chercheurs en sécurité de Karspersky qui ont enquêté sur cette fraude, dans les colonnes de Motherboard.

Selon ces derniers, la première phase de l’infection, avec le malware furtif ciblant les systèmes d’information des banques, servait à installer l’infrastructure permettant de piloter les ATM (les distributeurs automatiques), leur ordonnant de retirer les billets stockés dans les cassettes, de les préparer à être distribués et d’ouvrir la trappe de distribution. C’est à ce moment que l’instruction ‘Take the money bitch’ apparaissait dans les fichiers logs et, donc, probablement sur l’écran de l’automate, signalant au complice présent sur place de récupérer les billets.

PowerShell pour piloter les ATM

En utilisant cette instruction peu commune pour créer une règle Yara – un outil de détection permettant de recherche une chaîne de caractères – et en l’appliquant sur le site VirusTotal (une base de fichiers suspects), Sergey Golovanov et Igor Soumenkov sont parvenus à isoler deux fichiers téléchargés depuis la Russie et le Kazakhstan (tv.dll et ATMitch).

C’est à partir de l’analyse de ces traces que les deux chercheurs sont parvenus à reconstruire la façon dont l’attaque a été orchestrée. Ils ont notamment pu mettre en évidence les canaux de communication que les cybercriminels ont réussi à se ménager sur le réseau des banques, leur permettant d’employer des commandes PowerShell pour piloter les ATM cibles. Pour l’instant, les pirates à l’origine de cette fraude n’ont pas été inquiétés. Kaspersky pense que ces cybercriminels pourraient être liés à un gang connu ciblant les établissements financiers, Carbanak.

A lire aussi :

Anatomie du malware super furtif, caché dans la mémoire des serveurs

L’utilisation malveillante de Windows PowerShell augmente

Cyberattaque à 300 millions de dollars contre les établissements bancaires

Photo : Balthus Van Tassel via Visualhunt / CC BY-NC-SA

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

12 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

12 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

16 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

19 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

21 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago