Quand on pense à des braqueurs de banque, on s’imagine la plupart du temps une bande de malfrats cagoulés et armés jusqu’aux dents, fonçant sur les agences en voiture-bélier. Mais la réalité est bien différente de nos jours. C’est souvent à coup d’ordinateurs et de codes malveillants que les braqueurs du XXIe siècle mettent la main sur le liquide des distributeurs, et cela avec un degré de technicité de plus en plus impressionnant.
D’après un rapport que vient de publier l’agence Europol, les premiers malwares qui ont permis de vider des guichets automatiques datent de 2009. Ils s’appellent Skimer, Ploutus ou Padkin-Tyupkin, et nécessitent d’accéder physiquement à l’intérieur de ces machines. Pour cela, les pirates s’appuient soit sur un complice de la banque, soit sur un jeu de clés. En effet, il arrive que les distributeurs ne soient protégés qu’avec de simples verrous de type boîte aux lettres !
A l’intérieur du distributeur se trouve généralement un PC sous Windows XP que les pirates infectent avec une porte dérobée. Celle-ci est installée directement depuis un CD ou une clé USB au niveau de XFS (Extension for Financial Services), un middleware qui permet de gérer l’interaction entre les différents éléments logiciels et matériels du distributeur: clavier, lecteur de carte, cassettes d’argent, processeur de chiffrement, etc.
Des mules pour récupérer le magot
L’infection nécessite habituellement un démarrage sous Linux. Puis les pirates repassent la machine sous Windows XP et referment les ouvertures physiques. Toute cette opération prend moins de 10 minutes. En apparence, tout fonctionne de nouveau comme avant. En réalité, la porte dérobée permet à des mules d’entrer des commandes secrètes par le clavier numérique et d’éjecter l’argent. Voici une démonstration réalisée en 2014 par les chercheurs de GData.
Quand la méthode est bien rodée, l’argent coule à flot. En 2014 et 2015, l’un des groupes criminels utilisant Padkin-Tyupkin a systématiquement vidé des distributeurs en Roumanie, Hongrie, République tchèque, Espagne et Russie. Selon Europol, les pertes se sont montés à plus de 13 millions d’euros. Ce groupe a été démantelé en janvier 2016, mais d’autres restent actifs.
La nouvelle tendance : l’infection à distance
Comme les fabricants et les banques apprennent de leurs erreurs, infecter les distributeurs par accès physique n’est plus aussi facile qu’avant. C’est pourquoi, depuis quelques années, les malfrats sont passés au niveau supérieur : l’infection à distance par le réseau. C’est beaucoup plus complexe, car les guichets automatiques ne sont pas facilement accessibles. Ils sont regroupés dans des réseaux isolés, accessibles uniquement depuis les réseaux internes des banque et protégés par des pare-feux et d’autres solutions de sécurité.
Pour arriver à leurs fins, les braqueurs de banque appliquent les méthodes des groupes d’espionnage. Ils vont essayer de pénétrer le réseau interne d’une banque, puis tenter de se frayer un chemin vers les distributeurs. L’un des exemples emblématiques est l’attaque de l’établissement taïwanais First Commercial Bank en juillet 2016. Les pirates ont envoyé des emails piégés aux collaborateurs d’une filiale à Londres. L’un d’entre eux a mordu à l’hameçon, permettant aux hackers de prendre pied dans leur intranet. Ils ont ensuite piraté un système vocal et trouvé les identifiants d’un administrateur réseau, ce qui leur a permis de se connecter par VPN au réseau de la maison mère.
Après une phase de reconnaissance, ils sont arrivés à prendre le contrôle du serveur de mise à jour des distributeurs. Ils ont inséré une fausse mise à jour qui a été automatiquement téléchargée et qui a ouvert un accès Telnet sur les machines. Les pirates ont utilisé cette porte dérobée pour installer les malwares qui ont permis d’éjecter l’argent. Là encore, tout a été récupéré par des mules.
D’autres attaques ont marqué les esprits. En 2015, le groupe baptisé Carbanak aurait réussi à voler l’équivalent d’un milliard de dollars auprès d’une centaine de banques dans le monde. Pour y arriver, ils ont piraté les réseaux internes de leurs cibles et effectué de faux virements. Dans certains cas, ils ont également réussi à accéder aux distributeurs de billets.
Ejecter l’argent par le smartphone
Le modus operandi était le même pour l’attaque CobaltStrike, détectée fin 2016 par les chercheurs en sécurité de Group IB. Elle s’appuyait, entre autres, sur le logiciel Cobalt Strike, un outil utilisé par les professionnels de la sécurité informatique pour réaliser des tests d’intrusion en entreprise. Les pirates ont pu accéder aux distributeurs par le protocole RDP (Remote Desktop Protocol) et installer leurs malwares. Les mules n’avaient même pas besoin de toucher la machine pour éjecter l’argent : il leur suffisait d’envoyer un code secret par smartphone.
En 2017, Kaspersky a analysé une série d’attaques particulièrement sophistiquées, dans la mesure où les pirates utilisaient des techniques d’infection « sans fichier ». Les malwares sont alors chargés en mémoire ou planqués dans le registre de Windows et ne laissent aucune trace dans le système de fichiers. L’avantage, c’est que l’attaque est pratiquement indétectable et difficile à analyser après coup. Ainsi, l’éditeur n’a pas pu mettre la main sur un exemplaire d’ATMitch, le malware qui était déployé sur les distributeurs pour vider les cassettes. Seules quelques traces dans des fichiers logs ont permis de reconstituer, tant bien que mal, l’action des pirates.
Bref, les braqueurs de banque ont atteint un tel niveau technique qu’il deviennent presque… des fantômes numériques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.