DIGITAL SOLUTIONS

Carbanak, une menace prise au sérieux au Luxembourg

Depuis quelques jours, l’attaque informatique Carbanak fait parler d’elle comme étant à l’origine du casse du siècle, entrainant un vol de plusieurs centaines de millions de dollars. Selon le rapport Kaspersky, la société spécialisée dans la sécurité informatique qui a révélé les conséquences de cette attaque, une banque luxembourgeoise en aurait été victime.

February 18, 2015

Depuis quelques jours, l’attaque informatique Carbanak fait parler d’elle comme étant à l’origine du casse du siècle, entrainant un vol de plusieurs centaines de millions de dollars. Selon le rapport Kaspersky, la société spécialisée dans la sécurité informatique qui a révélé les conséquences de cette attaque, une banque luxembourgeoise en aurait été victime.

Par Sébastien Lambotte.

Un milliard de dollars, c’est la somme qui aurait été dérobée à des banques par les auteurs de l’attaque informatique aujourd’hui identifiée sous le nom de Carbanak. Sans aucun doute le casse du siècle, mené par des pirates informatiques extrêmement bien organisés. « Il s’agit d’une menace très sérieuse, qui semble être la même que celle identifiée par FOX-IT et Group-IB sous le nom d’AnunAK », précise Alexandre Dulaunoy, responsable au sein du CIRCL, organisme luxembourgeois qui veille notamment à l’analyse de la cyber-menace au Grand-Duché et qui accompagne les acteurs dans les réponses à apporter. « On parle ici de spear phishing. Il s’agit d’attaques très ciblées et bien préparées envers des organisations financières, principalement situées dans les pays de l’Est de l’Europe. »

Une banque luxembourgeoise compromise

Selon le rapport de Kaspersky, société qui a fortement communiqué sur les incidences de cette attaque ces derniers jours, une banque luxembourgeoise aurait été victime de l’attaque. Une information qui doit encore être vérifiée. D’une part, l’institution bancaire en question n’a jusqu’ici pas pu être identifiée. D’autre part, les déclarations d’incidents en provenance de Russie, avec des amalgames entre RU et LU, ont déjà porté à confusion par le passé. « Cette menace doit cependant être prise très au sérieux. Elle est d’ailleurs connue depuis un moment. Informés de son existence depuis l’été 2014, nous travaillons sur le sujet à partir notamment de notre plateforme d’échange d’informations sur la menace (MISP), accessible par toute entreprise privée au Luxembourg », précise Alexandre Dulaunoy.

Des attaques bien préparées

On connaît bien le mode opératoire des pirates. Le malware est introduit via un document transmis par e-mail à un membre du personnel. « Les attaques sont ciblées. Elles prennent la forme d’un mail adressé à un membre du personnel, avec le plus souvent l’usage d’un nom d’une personne se trouvant dans l’entourage directe du destinataire, l’utilisation d’un vocabulaire professionnel recherché, l’évocation d’un contexte connu, précise Alexandre Dulaunoy. Il y a un travail conséquent mené par les pirates en amont de l’attaque, pour maximiser les chances de tromper le destinataire du mail. » Une fois le fichier ouvert, le malware va jusqu’à compromettre l’infrastructure, s’infiltrant en son sein pour, par exemple, en extraire les informations liées à l’ATM, permettant à des mules de retirer de l’argent depuis des distributeurs ou d’opérer des transferts.

Carbanak serait déjà à l’origine d’un détournement de plusieurs centaines de millions de dollars.

Le Luxembourg pas particulièrement visé

Si une banque luxembourgeoise, selon Kaspersky, a pu être compromise, le Luxembourg ne semble pas particulièrement visé. « Dans le cadre de cette campagne, il semble que les pirates privilégient l’utilisation du russe dans les mails qu’ils adressent. Le territoire sur lequel sont ciblées les attaques peut aussi être déterminé en fonction de la localisation des mules, chargées de retirer ou de transférer l’argent, précise Alexandre Dulaunoy. Toutefois, des attaques ciblées contre des infrastructures, il y en a régulièrement. Le Luxembourg est un pays où les banques sont nombreuses… et à ce titre il n’est pas à l’abri d’attaques.»

Réponses technique et humaine

Dès lors, comment se prémunir et répondre à ce type d’attaque ? La première réponse est d’ordre technique et vise la protection de l’infrastructure, notamment par une analyse des logs, afin de pouvoir apporter des réponses dès qu’un mouvement suspect est détecté. « On ne peut pas se prémunir totalement de ce genre d’attaques, d’intrusions malveillantes. Un des enjeux est donc de les détecter le plus tôt possible, pour les neutraliser », précise le responsable du CIRCL. La deuxième réponse à apporter a trait à la sensibilisation de l’humain, actif au sein de la structure, la porte d’entrée du malware étant souvent liée au personnel. « La sensibilisation, la vigilance de chacun est un facteur déterminant. Une bonne sensibilisation, en outre, facilite la détection. On a déjà vu au Luxembourg, dans de petites équipes, avec des membres du personnel travaillant dans le même bureau, des attaques détectées parce qu’un mail contenant un malware avait été envoyé à un salarié sous le nom de son voisin direct, au grand étonnement des deux. »

Par Sébastien Lambotte

Watch video

In the same category