En février 2017, Kaspersky Lab a publié les résultats d’une enquête sur de mystérieuses attaques sans fichiers contre des banques : les cybercriminels ont utilisé un malware implanté en mémoire pour infecter des réseaux bancaires. Mais dans quel but ? Le cas ATMitch nous a permis d’y voir plus clair.
L’enquête a début lorsque des spécialistes de la banque ont récupéré, puis communiqué à Kaspersky Lab deux fichiers contenant des journaux de malware et provenant du disque dur du DAB (kl.txt et logfile.txt). Il s’agit des seuls fichiers restants après l’attaque : il n’a pas été possible de récupérer les exécutables malveillants car, après le vol, les cybercriminels avaient effacé le malware. Cependant, même cette infime quantité de données a été suffisante pour permettre à Kaspersky Lab de mener à bien son enquête.

Effacer et rembobiner

Dans les fichiers journaux, les experts de Kaspersky Lab ont pu identifier des informations en texte simple qui leur ont permis d’en extraire un échantillon et de créer une règle YARA pour les librairies publiques de malwares. ». Les règles YARA aident les analystes à trouver, grouper et classer les échantillons de malwares apparentés puis à établir des liens entre eux en fonction des schémas d’activités suspectes sur des systèmes ou réseaux présentant des similitudes.
Après une journée de patience, les experts ont trouvé un échantillon du malware souhaité : « tv.dll », ou « ATMitch » comme il a été dénommé par la suite. Celui-ci a été repéré deux fois en circulation : l’une en provenance du Kazakhstan, l’autre de Russie.

Ce malware est installé et exécuté à distance sur un DAB depuis l’intérieur d’une banque ciblée, à travers le système de téléadministration des machines. Une fois installé et connecté au DAB, le malware ATMitch communique avec la machine en se faisant passer pour un logiciel authentique. Les auteurs de l’attaque peuvent ainsi exécuter une liste de commandes, par exemple pour connaître le nombre de billets contenus dans les cassettes du distributeur. En outre, cela permet à des criminels de retirer de l’argent à tout moment, d’une simple pression de touche.
En général, les malfaiteurs commencent par déterminer le montant présent dans le distributeur. Ensuite, l’un d’entre eux peut envoyer une commande pour extraire un nombre quelconque de billets de n’importe quelle cassette. Il suffit alors à un complice de récupérer l’argent sur place. Le cambriolage d’un DAB ne prend ainsi que quelques secondes.
Une fois le DAB dévalisé, le malware efface ses traces.

Qui se cache derrière ?

Nous ne savons pas encore qui se cache derrière ces attaques. L’utilisation de code open source pour exploiter des vulnérabilités, d’utilitaires Windows courants et de domaines inconnus pendant la première phase de l’opération rend quasi impossible l’identification du groupe responsable. Cependant, le fichier « tv.dll », utilisé durant l’attaque contre le DAB, contient une ressource en langue russe, et les groupes connus susceptibles de correspondre à ce profil sont GCMAN et Carbanak.

« Il est possible que les auteurs des attaques soient encore en activité. Mais pas de panique ! La lutte contre ces types d’attaques nécessite un jeu spécifique de compétences fournies par le spécialiste en sécurité protégeant l’établissement ciblé. L’intrusion dans un réseau et l’exfiltration de données ne sauraient réussir qu’avec des outils courants et légitimes. Après l’attaque, les malfaiteurs peuvent effacer toutes les données de nature à permettre leur détection, de façon à ne laisser absolument aucune trace derrière eux. Face à ces problèmes, une investigation de la mémoire prend une importance critique pour l’analyse du malware et de ses fonctions. Comme le montre notre exemple, une réponse soigneusement préparée et adaptée à l’incident peut aider à résoudre l’opération cybercriminelle la mieux préparée », commente Sergey Golovanov, chercheur principal en sécurité chez Kaspersky Lab.