Les pirates détroussent les distributeurs et utilisent des virus vieux de 20 ans

Le cheval de Troie, parfaite illustration de la technique utilisée par les hackers pour pénétrer dans les systèmes informatiques.
3 images
Le cheval de Troie, parfaite illustration de la technique utilisée par les hackers pour pénétrer dans les systèmes informatiques. - © JACK GUEZ - AFP

A la veille de la conférence annuelle "Security Analyst Summit", réunissant les spécialistes mondiaux de la sécurité, des autorités judiciaires et des institutions publiques, le fournisseur de logiciels de sécurité Kaspersky met l’accent sur trois tendances originales pour 2017: les hold-up de distributeurs de billets, l’usage de virus vieux de 20 ans, et le rançonnage des entreprises.

ATMitch : pas d’effraction, pas de trace … mais plus de billet non plus

Le premier sujet de préoccupation des spécialistes de la sécurité semble être, pour l'instant, la fragilité des distributeurs de billets. Le maliciel l’ATMitch (c’est le nom du coupable) permet de vider entièrement le contenu d’un distributeur bancaire, sans effraction et sans laisser de trace. Mais que fait la police ? Et, surtout, que font les banques ? Au total, 140 institutions auraient été touchées dans le monde. Parmi les victimes, figurent 21 entreprises bancaires américaines mais aussi des sociétés de télécom.

Tout a commencé par l’attaque d’une première banque russe en 2016. Et tout ce que les spécialistes de la sécurité ont pu retrouver comme indices sont les noms des logiciels exécutables, mais pas leur contenu. La seconde banque victime se trouvait au Kazakhstan. Depuis, la série continue. Selon un rapport de l’opérateur espagnol Telefonica datant de novembre dernier, 21 distributeurs de billets de la banque d’épargne publique de Thaïlande (Thailand Government Savings Bank, GSB) ont ainsi été pillés, délestant les distributeurs de 346 000 dollars. Le pirate aurait utilisé une faille dans la solution logicielle fournie par le constructeur NCR. Le rapport précise que le logiciel pirate permet de forcer chaque distributeur de billets à libérer 40 billets par transaction, ce qui serait le maximum autorisé.

Comme le virus demeure dans la mémoire vive, sans squatter le disque dur, il ne reste, après les retraits, aucune trace d’effraction ni de logiciel malveillant. Mais plus trace non plus des billets. L’installation d’ATMitch s’effectue à l’aide d’un un outil de gestion à distance sur un distributeur de la banque. Selon les experts, ATMitch peut ainsi communiquer avec le distributeur comme s’il en était le logiciel légitime. Aux commandes, les cyberbraqueurs peuvent donner l’ordre de distribuer les billets d’un simple clic sur un bouton. Et une fois le forfait commis, le malware disparaît en effaçant toutes les traces de leur méfait. Ni vu, ni connu.

Vider un distributeur de billets : comment ça marche

A défaut d’être simple, la procédure pour voler l’argent des distributeurs est publique. Tout commence par le ciblage d’un serveur bancaire pour y pénétrer grâce à une faille non corrigée. Les pirates adaptent des outils publics pour infecter l’ordinateur et injecter des codes malins dans la mémoire et le registre de Windows, sans rien toucher au disque dur. Ce qui permet à l’attaque informatique de demeurer invisible. Dès ce moment, le pirate récupère, depuis le disque du serveur, les données utiles pour la suite des opérations, comme les mots de passe des administrateurs du système et les adresses IT des distributeurs. Dès ce moment l’ordinateur peut être accédé à distance et toute la procédure qui précède disparaît de l’ordinateur… et des radars des logiciels de sécurité.

La seconde phase consiste, pour le pirate, à s’introduire dans le système du distributeur de billets depuis l’ordinateur hacké. Le pirate installe le maliciel ATMitch dans le distributeur pour en prendre le contrôle et lui lancer des commandes de retrait d’argent. Il suffit alors à la personne placée devant la machine de collecter le butin.

Ensuite, toutes les preuves de ces commandes sont effacées du disque.

Possible en Belgique?

Selon une source de sécurité généralement bien renseignée, le phénomène aurait pu concerner la Belgique. La cause du problème étant l’utilisation, dans les distributeurs de billets, d’une version ancienne du système d’exploitation de Microsoft. Il s’agirait de Windows XP, une version peu préparée aux attaques via le réseau et dont Microsoft a interrompu le support. Depuis, cette faille faille aurait été comblée, sans autre dégât. Le porte-parole de Febelfin (l’Association belge des banques) nous a, pour sa part assuré qu’aucun terminal de paiement n’a été vidé de ses billets. La Belgique a donc, à ce jour, échappé aux pirates.

La version informatique de Jurassic Park 

Une autre tendance qui animera les débats de la conférence sur la sécurité est le retour d’une technique virale remontant à 20 ans. Comme pour les vêtements et les voitures, il existe donc des virus "vintage" ou collectors. Mais c’est moins drôle, puisque ces papy maliciels ont repris du service actif.

Le début de l’histoire remonte aux années 1990, lorsque les États-Unis avaient été la proie de cyberattaques d’espionnage. Le virus Moonlight Maze avait frappé le Pentagone et la NASA il y a 20 ans, mais il semble avoir refait surface en 2017, sous le nom de Turla, une menace russophone en activité depuis 2007.

Tout comme le professeur Hammond qui, dans Jurassic Park, retrouve l’ADN de dinosaures dans de l’ambre, Thomas Rid du Kings College de Londres a mis la main sur un ancien serveur informatique contaminé par le virus Moonlight Maze. Après neuf mois d’analyse, deux chercheurs de Kaspersky Lab et deux autres du Kings College de Londres ont trouvé des échantillons d’une attaque très ancienne. Et ensuite reconstituer les opérations, outils et techniques des auteurs des attaques. C’est ce qui leur permet aujourd'hui d’établir le lien avec son successeur Turla, en circulation en 2011, puis en mars 2017. 

Selon ces chercheurs, il existerait une relation entre une "porte dérobée" utilisée en 1998 par Moonlight Maze et une autre porte dérobée utilisée en 2011 par Turla. Et cette porte dérobée est probablement encore exploitée aujourd'hui. 

Les secrets du FBI

Selon ces quatre chercheurs, le FBI et le département américain de la Défense ont bien étudié ce phénomène il y a 20 ans, mais ont enveloppé leurs découvertes sur Moonlight Maze "dans un voile de mystères". C’est là que la préhistoire rattrape l’actualité. En mars 2017, des chercheurs de Kaspersky Lab ont découvert une nouvelle version de la Penquin Turla, provenant d’un système en Allemagne. Tout le mystère est de savoir comment il est possible que des cyberpirates puissent encore utiliser "avec succès" des codes aussi anciens. Et la réponse ne semble pas encore connue.

Pour ceux qui apprécient les vidéos "dramatiques" (en anglais), voici une présentation du virus Moonlight Maze, disparu des radars, puis réapparu dans le monde moderne.

Le rançongiciel est très mode, surtout dans les entreprises

Troisième tendance forte cette année: les ransomwares, ces logiciels qui permettent de bloquer un PC à distance et à ne le réactiver (dans le meilleur des cas) qu’après le paiement d’une rançon. Cette technique qui a déjà frappé de nombreux individus s’en détourne désormais pour cibler les entreprises offrant un potentiel financier bien plus important.

Selon le site spécialisé Risq & Compliance, en 2016, le nombre des attaques de rançongiciels sur les entreprises a été multiplié par trois, passant d’une attaque toutes les 2 minutes en janvier à une attaque toutes les 40 secondes en octobre. Pour les utilisateurs individuels, la fréquence est passée de toutes les 20 secondes à toutes les 10 secondes.

Des chercheurs de Kaspersky Lab constatent l’émergence d’une nouvelle tendance alarmante: la spécialisation des pirates. Les chercheurs ont identifié huit groupes spécialisés dans le développement et de la distribution des logiciels de "rançonnage". Le principal d'entre eux est PetrWrap qui compte plusieurs institutions financières à son tableau de chasse.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK