Des centaines de millions de dollars auraient été dérobées dans plus d’une centaine d’établissements bancaires dans 30 pays. L’éditeur russe annonce un minimum de 300 millions de dollars de détournements et précise que le montant pourrait être trois fois plus élevé.
Le rapport détaillant cette gigantesque fraude va être publié lundi mais le New York Times en a eu une copie en avant-première. Compte tenu de l’ampleur et de la nature des cibles, Kaspersky reste relativement flou sur un certain nombre de faits, en particulier l’identité des banques victimes mais précise toutefois que les principales cibles sont des banques russes. La seconde – et peut-être la plus importante raison – est que l’attaque semble toujours en cours.
Conséquemment, il convient de ne pas donner trop d’éléments si les autorités veulent avoir une chance de débusquer les criminels.
Chris Dogget, directeur de la filiale américaine de Kaspersky, affirme que le cybergang Carbanak (du nom du malware déployé) est un nouvel accroissement dans la sophistication des cyber attaques contre des établissements financiers. « C’est probablement l’attaque la plus sophistiquée que nous ayions jamais vu en termes de tactiques et méthodes que les cyber criminels ont utilisé pour rester cachés ».
Prudence et patience
La question se pose évidemment de savoir comment une fraude d’une telle ampleur a pu se dérouler pendant près de deux années sans que les banques, les régulateurs ou les autorités n’aient décelé quoi que ce soit. Selon les enquêteurs, cela tiendrait principalement aux techniques employées par les criminels. En effet, ils ont fait preuve d’une énorme patience en plaçant des logiciels de surveillance dans les ordinateurs des administrateurs systèmes et en observant leurs mouvements pendant des mois.
Le piratage a démarré de manière classique. Les cybercriminels ont envoyé à leurs victimes des messages infectés provenant supposément de collègues dans les banques. Lorsque l’employé cliquait sur ce message, cela téléchargeait un code malicieux qui permettait ensuite aux pirates de se promener sur le réseau bancaire jusqu’à trouver les employés en charge des systèmes de transfert de cash ou reliés à distance aux distributeurs d’argent.
Les pirates ont également installé des systèmes RAT (Remote Access Tool) permettant de capturer des vidéos ou des copies d’écran des ordinateurs des employés. « Le but était de copier les activités de ces employés », précise Sergey Golovanov de Kaspersky. « De cette manière, tout semblait identique à une transaction normale, quotidienne », déclare-t-il au New York Times. Les attaquants ont pris grand soin d’étudier attentivement les particularités de chaque système bancaire pendant qu’ils créaient des comptes de réception des fonds en Chine et aux Etats-Unis. JP Morgan Chase et la Banque Agricole de Chine feraient partie des établissements dans lesquels des comptes ont été ouverts.
Des techniques variées de récupération des fonds
Pour récupérer les fonds, les criminels ont employé différentes techniques. Ils ont utilisé des transferts bancaires vers les comptes qu’ils avaient ouverts. Ils ont également organisé des distributions de cash sur certains distributeurs où l’un des complices se trouvait.
Toutefois les montants les plus importants ont été dérobés en manipulant les balances des comptes bancaires qui étaient infectés.
L’article du New York Times est accessible à cette adresse.