Kaspersky Lab vient de confirmer aujourd’hui une étude conjointe menée les sociétés de cybersécurité Fox-IT et Group-IB, rendue publique dès décembre 2014 : Un groupe de pirates informatiques nommé tantôt Anunak, tantôt Carbanak aurait peut-être réussi à dérober près d’un milliard de dollars dans une centaine de banques depuis 2013.
Avec un tel butin le groupe Anunak Carbanak surpassent les prouesses des hackers de MtGox.
Extrait d’un article de 01net.com :
« Le gang […] a d’abord attaqué de façon classique, par le biais d’une campagne de Spear Phishing (de l’hameçonnage personnalisé), à destination d’employés de banques bien précis. Une fois leur logiciel malveillant implanté, ils ont réussi à pénétrer le réseau interne de l’établissement et à accéder aux ordinateurs des administrateurs, utilisés notamment pour la vidéosurveillance. Dès lors, ils ont observé la routine quotidienne de l’entreprise et ont imité les tâches de ses employés pour effectuer leurs opérations, ni vu ni connu. Ils se sont ensuite amusés à virer des fonds vers des comptes qu’ils avaient créés pour l’occasion, notamment dans d’autres banques chinoises ou américaines. Dans certains cas, ils sont parvenus carrément à modifier des valeurs de comptes à la volée : ils ajoutaient par exemple des fonds à un compte, avant de virer le surplus sur le leur. La banque comme son client n’y voyait que du feu. Encore plus fort : pour retirer du cash, ils ont réussi à prendre le contrôle de distributeurs automatiques, en le reprogrammant pour qu’il sorte des billets automatiquement à un moment précis. Un des leurs n’avait qu’à se rendre sur place à l’heure exacte pour que la machine lui donne de l’argent ! »
Les multiples affaires liées à des défaillances de sécurité et aux erreurs de jeunesse de certaines plateformes de change de bitcoins auraient tendance à nous faire oublier une autre réalité : les banques ne sont guère à l’abri des attaques informatiques. Pire, ces attaques ne représentent qu’une petite partie des pertes réalisées par les banques qui doivent assumer en outre une partie des impayés subis par leurs clients. En France un acheteur peut en effet faire opposition sur son paiement treize mois après la date de débit et les établissements bancaires ne parviennent pas toujours à récupérer les « chargebacks » auprès des commerçants… surtout quand ces derniers, de bonne foi, sont victimes d’un client malhonnête. Avec Bitcoin ce risque n’existe pas.
Sources : liberation.fr – fox-it.com – Carbanak – rapport de Kaspersky Lab (PDF) – 01net.com