Recrudescence des attaques visant le secteur bancaire

Au cours de ces dernières années, de nouvelles techniques sont apparues dans le domaine des attaques visant les banques ou les terminaux de paiement. Nous les présentons ci-dessous. L’année 2018 est probablement une année charnière du fait de :

• la multiplication des cas d’attaques,
• mais aussi de l’extension géographique progressive des cibles. Les attaques visaient à l’origine plutôt les pays satellites de la Russie, l’Asie du Sud-Est et l’Amérique du Sud ; aujourd’hui, elles semblent s’étendre vers le reste du monde et en particulier l’Europe et les Etats-Unis.

Jackpotting

Cette technique consiste à attaquer les distributeurs automatiques de billets (DAB) de façon à leurs « faire cracher » leur réserve de billets. Un scénario typique est celui où un attaquant se présente devant le distributeur, perce un trou dans la façade, et branche une clé USB malveillante sur le PC qui pilote le distributeur. Il peut alors utiliser cette clé USB pour prendre le contrôle du PC et faire éjecter les billets de banque (attaque de type « Rubber Ducky » par exemple).

Cette technique est connue depuis 2010 où elle avait été démontrée lors de la conférence de sécurité BackHat USA par Barnaby Jack. Les attaques réelles sont apparues quelques années plus tard. Il existe sur le marché underground des kits, appelés des « black box », pour réaliser ce type de piratage. Selon Europol (cf. cette annonce de mai 2017), 15 incidents blackbox ont été répertoriés en 2015 en Europe et 58 en 2016, ce qui montre la progression importante de ces attaques. Les médias grands public (cf. cet article LCI) indiquent que le phénomène touche également la France depuis 2017. Enfin, les services secrets des USA ont émis en janvier 2018 un avertissement public sur de possibles attaques en préparation aux Etats-Unis. Il existe donc visiblement un déplacement des attaques, depuis leurs pays d’origine (par exemple Roumanie, Moldavie, Russie et Ukraine) vers l’Europe de l’Ouest et les Etats-Unis.

Pour plus d’information :

• Europol + Trend-Micro : Cashing in on ATM Malware (Septembre 2017)
• Kaspersky : 4 ways to hack an ATM (Septembre 2016)
• Positive Technologies : ATM logic attacks: scenarios, 2018 (Novembre 2018)

Intrusions avancées (APT)

Il s’agit ici de « cyber-casses » : des pirates entrent illégalement sur les systèmes informatiques internes d'une banque (typiquement au moyen d’une attaque en spear-phishing), s’y installent (pour surveiller l’activité interne, collecter des informations et attendre le moment le plus opportun), puis réalisent des malversations comme des virements interbancaires (SWIFT ou AWC - un équivalent à SWIFT utilisé par la banque nationale de Russie). Ce modèle d’attaque est similaire aux attaques APT vues depuis 2010 dans d’autres secteurs d’industrie (espionnage industriel). Il est apparu dans le monde bancaire en 2014 avec Carbanak et est devenu vraiment significatif en 2016 avec l’attaque de la banque centrale du Bangladesh. En 2018 on notera l’attaque de la banque PIR en Russie (juillet 2018, attribuée à des cybercriminels isolés) et l’attaque de la banque Cosmos en Inde (août 2018, aujourd’hui attribué à la Corée du Nord). Cette seconde attaque combinait 2 actions malveillantes :

• des retraits massifs (pour un montant de 11.5 millions de dollars) effectués dans 28 pays avec 450 fausses cartes de crédits. Le serveur de la banque indienne chargé de valider ces opérations de débit avait été préalablement altéré par les pirates pour autoriser systématiquement ces opérations.
• des transferts SWIFT illégaux pour un montant de 2 millions de dollars.

Ces attaques semblent pour le moment toucher des établissements financiers de petite taille dans lesquels les mesures de sécurité sur les systèmes informatiques sont sans doute moins complètes que dans des établissements plus grands. Mais les attaquants sont visiblement très aguerris, à la fois dans le fonctionnement internes des banques (connaissance du métier) et dans les techniques d’attaques informatiques.
Plutôt que des transactions SWIFT (attaques de 2016), les attaquants semblent préférer désormais les retraits massifs sur des distributeurs (attaques de 2018), pour voler de l’argent. Cela s'explique sans doute par le fait que lors des attaques de 2016, la plus grande partie des transactions SWIFT illégales avaient été stoppées par les banques en cours de traitement, avant que les pirates aient pu récupérer ces sommes.

 Pour plus d’information :

• US-CERT : TA18-275A HIDDEN COBRA – FASTCash Campaign (octobre 2018)
  Nota : Bien que l’US-CERT ne l’indique pas explicitement, il est très probable que l’ attaque FastCash décrite ici soit celle dont nous parlons ci-dessus qui a touché la banque Cosmos. La société Securonix fait en tout cas clairement le lien dans son rapport.
• FireShadow : Top Learnings & Detailed Analysis From COSMOS Bank Breach (septembre 2018) – Enregistrement nécessaire.

Form-jacking (et Skimmers logiciels)

Nous avons déjà parlé de ces attaques dans un article consacré aux attaques Magecart. Il s’agit d’une attaque visant les sites web marchands. S’il existe une vulnérabilité sur un site marchand, un pirate peut installer un petit code JavaScript invisible qui attend que l’internaute vienne sur la page de paiement du site ; le script vole alors une copie des informations de paiement saisies dans cette page (numéro de carte de paiement, code CVV, etc.). On appelle ces attaques du « Server-side Form-jacking », ou du « Form grabbing » et on parle aussi de « software skimmer ». Ces attaques existent depuis 2015 au moins (le « client-side Form-jacking » existe lui depuis au moins 2007), mais elles ont augmenté énormément en 2018, avec en particulier l’attaque du site de billetterie TicketMaster (de février à juin 2018) et l’attaque de British Airways (380 000 données de cartes bancaires volées en 2 semaines en août 2018).

Conclusion

Les banques sont depuis toujours des cibles de choix pour les cybercriminels. Mais ces dernières années de nouveaux types d’attaques sont apparues. La première réponse qui vient à l’esprit pour empêcher ces attaques est de renforcer la sécurité des installations :

• les PC qui pilotent les distributeurs automatiques semblent insuffisamment protégés (protection contre le branchement des périphériques externes, renforcement de la sécurité des OS utilisés ou de la robustesse des logicielles de protection déjà installés sur ces PC).
• les banques attaquées par des APT semblent avoir un niveau de sécurité informatique (et de surveillance) limité, et trop bas par rapport aux pratiques recommandées.
• les sites web devraient isoler plus strictement les formulaires de paiement de l’ensemble du code du site (et du code externalisé) pour éviter l’ajout du skimmer, invisible dans la masse du code du site.

On peut noter aussi que les attaquants sont plus aguerris. Une certaine connaissance des métiers et des systèmes informatiques des banques est nécessaire pour réaliser les 2 premières attaques. Il est vraisemblable que les équipes des attaquants se composent au moins d’un développeur et d’un pen-testeur. Elles incluent aussi sans doute dorénavant des spécialistes ayant travaillé dans le domaine bancaire. On dit souvent que la menace interne est la plus dangereuse (par le préjudice en cas d’attaque), mais la connaissance métier croissante des attaquants change également la donne.