Un récent braquage de banque met en lumière l’ingéniosité des cybercriminels, qui combinent intrusion physique et malware pour contourner les défenses des institutions financières. Une enquête démontre la nécessité d’une sécurité renforcée face à ces menaces croissantes.
Un récent braquage de banque a révélé la sophistication croissante des opérations menées par des cybercriminels ciblant les établissements financiers. L’incident a impliqué une combinaison d’intrusion physique, de malware avancé et de mesures anti-forensiques permettant des retraits frauduleux aux guichets automatiques d’une banque ciblée.
L’enquête a débuté quand Group-IB a détecté une activité inhabituelle sur le serveur de surveillance interne d’une banque. Une analyse approfondie a conduit à la découverte d’un Raspberry Pi physiquement connecté au Switch du réseau de guichets automatiques de la banque.
Équipé d’un modem mobile 4G, cet appareil faisait le lien entre les systèmes internes de la banque et les attaquants externes, contournant les défenses périmétriques classiques. Ce système offrait un accès distant persistant via les données mobiles, même avec des pare-feu actifs et bien configurés.
Les attaquants, identifiés comme UNC2891 ou LightBasin, ont initialement obtenu un accès physique à la banque – probablement par leurs propres moyens ou avec l’aide d’un complice à l’intérieur – pour installer discrètement le Raspberry Pi au sein de l’infrastructure des guichets automatiques. Une fois en place, l’appareil servait de canal, le serveur de surveillance interne tentant de transmettre des données au Raspberry Pi toutes les dix minutes. Les outils d’analyse déployés par les enquêteurs ont finalement tracé ces communications jusqu’à l’appareil rogue.
Les attaquants ont pu se déplacer latéralement en s’introduisant dans d’autres systèmes essentiels, tels qu’un serveur de messagerie toujours connecté à Internet. Le Raspberry Pi et le serveur de messagerie, en communication via le serveur de surveillance, ont étendu l’emprise des attaquants, leur permettant de coordonner leurs actions au sein du réseau pendant que la banque réagissait à l’attaque.
Une caractéristique distinctive de l’attaque était l’utilisation de portes dérobées personnalisées déguisées sous le nom « lightdm » – un terme emprunté à un processus légitime de gestion d’affichage sous Linux. Ces binaires malveillants ont été délibérément placés dans des répertoires inhabituels et exécutés avec des paramètres de ligne de commande apparemment authentiques pour échapper à la détection. Cette technique anti-forensique a affaibli la surveillance reposant sur la vérification des métadonnées système.
Le but ultime de l’opération était de manipuler l’autorisation des guichets automatiques et d’exécuter des retraits frauduleux. Pour ce faire, le groupe a tenté d’installer un rootkit personnalisé connu sous le nom de CAKETAP – un composant malveillant précédemment analysé par des chercheurs en cybersécurité enquêtant sur UNC2891.
Le CAKETAP est conçu pour les systèmes Oracle Solaris et est destiné à manipuler les réponses des modules de sécurité matériels pour les paiements. Il intercepte spécifiquement les demandes de vérification de code PIN et, pour des transactions illicites, substitue des données d’authentification légitimes, effectuant ainsi une attaque par reproduction pour contourner les contrôles de sécurité et approuver des retraits frauduleux aux guichets automatiques.
Bien que l’opération ait été astucieuse, le braquage a été déjoué avant que la phase la plus dommageable ne soit achevée. Group-IB et des enquêteurs collaborant ont pu neutraliser l’intrusion et empêcher le déploiement du rootkit CAKETAP avant que des pertes financières significatives ne se produisent.
Pour éviter des attaques similaires, Group-IB conseille aux banques de surveiller de près les appels système de montage et de démontage, en alertant sur tout montage de /proc/[pid] vers des systèmes de fichiers tmpfs ou externes, et de bloquer ou signaler les fichiers exécutables lancés à partir de répertoires temporaires tels que /tmp ou /snapd. Ils soulignent également l’importance de sécuriser physiquement les ports de commutation réseau et l’équipement connecté aux guichets automatiques, et encouragent les intervenants lors d’incidents à collecter des images de mémoire ainsi que des données de disque pour améliorer la détection et la réponse à des attaques sophistiquées.