Carbanak
groupe de cybercriminels
From Wikipedia, the free encyclopedia
Carbanak est le nom donné à un groupe de cybercrimnels spécialisé dans l'attaque de distributeurs automatiques de billets et d'institutions financières.
Le groupe est identifié pour la première fois à la fin de l'année 2013[1]. Il aurait été démantelé en lors de l'arrestation d'une cinquantaine de cybercriminels par les autorités russes[2]. Carbanak aurait détourné entre cinq cents millions et un milliard de dollars.
Mode opératoire
Kaspersky estime que Carbanak a attaqué plus de cent institutions financières, réparties dans une trentaine de pays (États-Unis, Russie, Suisse, Australie...)[3]. En moyenne, les attaquants sont parvenus à détourner au moins huit millions de dollars à chacune de leurs cibles[4]. Le grand professionnalisme de Carbanak et la sophistication de ses attaques lui ont souvent valu la qualification d'Advanced Persistent Threat.
Les attaques de Carbanak reposaient souvent sur le mode opératoire suivant :
- Les membres de Carbanak se renseignaient activement sur les distributeurs automatiques de billets utilisés par leur cible. Pour y parvenir, Carbanak utilisait principalement des techniques d’ingénierie sociale.
- Une fois que le gang disposait de suffisamment d'informations, il mettait en place des campagnes d'hameçonnage pour installer des logiciels malveillants dans le réseau informatique de l'institution ciblée. Kaspersky a formellement identifié deux types de logiciels malveillants qui auraient été développés par Carbanak pour son usage exclusif[5]. L'un d'entre eux était conçu pour compromettre les ordinateurs qui étaient chargés de contrôler les distributeurs automatiques de billets[6].
- Carbanak disposait alors de deux manières de récupérer de l'argent. Dans la plupart des cas, il pouvait envoyer des mules qui récupéraient l'argent des distributeurs automatiques compromis. Dans d'autres cas, Carbanak est néanmoins parvenu à avoir un accès direct aux comptes de leur cible et à utiliser le réseau SWIFT pour procéder à des transferts d'argent vers leurs comptes[4].
Autres attaques attribuées à Carbanak
Enseignes de grande distribution
En , la firme de sécurité informatique russe Group-IB et la firme néerlandaise Fox-IT ont identifié un groupe de cybercriminels qui récupéraient des coordonnées bancaires via des logiciels malveillants dissimulés dans des documents Microsoft Office[7]. Les deux entreprises ont nommé ce groupe Anunak. Le directeur général de Fox-IT, Andy Chandler a estimé néanmoins qu'Anunak et Carbanak ne seraient qu'une seule et même entité. Cette position est néanmoins critiquée par des spécialistes comme Brian Krebs[7]. Les modes opératoires d'Anunak et de Carbanak présentent en effet des différences notables. Anunak ciblait ainsi des enseignes de grande distribution alors que Carbanak s'attaquait à des institutions financières. Anunak ne procédait enfin pas à des virements frauduleux mais vendait les identifiants volés.
Hôtels
En , l'entreprise de cybersécurité Trustwave a identifié un logiciel malveillant conçu pour pénétrer l'infrastructure informatique de sociétés hôtelières puis y récupérer des identifiants bancaires, notamment en compromettant des terminaux de paiement. Les identifiants étaient ensuite vendus ou utilisés pour des achats en ligne. Cette attaque a été attribuée à Carbanak[8], notamment car elle présentait de nombreuses similarités avec les deux logiciels utilisés par le gang à partir de 2013. Même si le gang aurait été démantelé en , la sophistication de cette nouvelle attaque rend cette piste plausible pour Trustwave[9]. Il pourrait justement s'agir d'un changement de modèle économique du gang à la suite des arrestations d'une partie de ses membres.
