Utrecht, le 17 mai 2016 – Une banque découvre qu’elle a fait l’objet d’une attaque, mais – singulièrement – aucun euro n’a été volé et le système de la banque semble intact. Les criminels sont partis sans butin. Ou peut-être pas ? En 2009, Skimer était le premier logiciel malveillant visant les distributeurs automatiques de billets. Aujourd’hui, sept ans plus tard, le programme fait un véritable come-back, mais les cybercriminels et les maliciels ont tellement évolué entre-temps qu’ils constituent une menace bien plus grande que jamais auparavant pour les banques et les particuliers du monde entier. Si un distributeur a été contaminé une fois par Backdoor.Win32.Skimer, les criminels peuvent alors retirer tout le cash présent et copier les données de cartes bancaires.

Skimer a connu son heure de gloire entre 2010 et 2013, la période où Kaspersky Lab identifiait encore neuf autres familles de maliciels qui étaient responsables d’une hausse énorme des attaques de distributeurs de billets. Tyupkin, la variante la plus répandue découverte en mars 2014, en faisait également partie. Néanmoins, tout porte à croire que Backdoor.Win32.Skimer refait son entrée sur la scène virtuelle. En effet, Kaspersky Lab a démasqué entre-temps 48 modifications de ce maliciel, dont 37 ciblent les distributeurs de billets d’une même marque. Le membre le plus récent de cette famille a été détecté fin avril 2016.

La dispersion géographique des distributeurs de billets qui peuvent être infectés est très grande. Les 20 chargements les plus récents liés à Skimer proviennent de treize pays différents répartis dans le monde entier : les émirats arabes unis, la France, les états-Unis, la Russie, Macao, la Chine, les Philippines, l’Espagne, l’Allemagne, la Géorgie, la Pologne, le Brésil et la Tchéquie.

Voleurs mystérieux

Il a été très difficile de percer à jour les activités criminelles inhabituelles : une banque semble être attaquée sans qu’aucune conséquence ne soit toutefois visible. Pendant une enquête de réponse à un incident, l’équipe d’experts de Kaspersky Lab a toutefois détecté l’intrigue criminelle, lorsqu’elle a découvert dans l’un des distributeurs de billets des traces d’une incarnation améliorée de Skimer. Le malware n’était pas encore actif. Il attendait une commande des cybercriminels pour s’activer et passer ensuite au recueil de données de cartes bancaires ou au retrait d’argent.

Le groupe Skimer est de retour, avec de nouveaux trucs. La première étape de l’opération est d’avoir accès au distributeur de billets, physiquement ou via le réseau interne. Lorsque Backdoor.Win32.Skimer est installé une fois avec succès, il infecte le cœur du distributeur de billets: la partie du logiciel responsable pour les interactions avec l’infrastructure bancaire, le traitement de l’argent et les cartes de crédit. Les criminels obtiennent donc le contrôle total sur le matériel et le transforment en « skimmers » afin de dérober de l’argent aux titulaires de comptes. Une fois le vol commis, le maliciel est supprimé pour rendre toute découverte plus difficile.

Une fois le distributeur de billets contaminé avec Backdoor.Win32.Skimer, les criminels peuvent retirer tout l’argent présent et copier les données des cartes bancaires. Ce sont en fait deux opérations différentes : les espèces volées seront découvertes directement, tandis que le maliciel peut s’en prendre longtemps aux cartes bancaires. C’est la raison pour laquelle les auteurs de Skimer ne passent pas directement à l’action et mettent autant d’énergie à masquer leurs traces : le maliciel recueille ainsi activement pendant plusieurs mois les données de cartes bancaires sans que les criminels doivent encore faire quoi que ce soit

Le maliciel est activé en entrant un code spécial. Les données sur cette carte donnent au Skimer l’ordre d’exécuter la commande « embarquée » ou d’activer le menu administrateur. Ce menu n’est pas visible directement. Après le retrait de la carte bancaire, un nombre (challenge) est visible, après quoi le criminel a une minute pour introduire le bon « code secret ». S’il le fait correctement, le menu administrateur s’affiche alors.

Ce menu prévoit 21 options différentes, dont le retrait de quarante billets de banque d’une cassette déterminée, le recueil des données sur des cartes à introduire et la mise à jour ou suppression du logiciel. Les données de cartes bancaires volées peuvent être copiées sur ces cartes spéciales ou être imprimées comme « bon de réception » par le distributeur de billets.

Dans la plupart des cas, les criminels choisissent de ne pas directement retirer de l’argent, mais de collecter les données des cartes « skimmées », afin de pouvoir les copier par la suite. Avec ces copies, ils retirent ensuite discrètement de l’argent auprès d’autres distributeurs de billets non infectés. De cette manière, il faut quelque temps avant de découvrir leurs pratiques criminelles.

Contre-mesures techniques

Pour éviter toute infection, Kaspersky Lab conseille des analyses AV régulières, et ensuite l’utilisation de la technologie de listes blanches, une gestion du matériel efficace, le cryptage total des données et un mot de passe sur le BIOS du distributeur de billets. De même, le distributeur ne doit pouvoir être démarré que depuis le disque dur et le réseau correspondant doit être isolé d’autres réseaux de banque internes.

"Dans ce cas spécifique, il existe encore une contre-mesure importante”, précise Sergey Golovanov, Principal Security Researcher chez Kaspersky Lab. “Backdoor.Win32.Skimer lit le code à neuf chiffres sur la bande magnétique de la carte spéciale pour décider si elle doit entrer en action. Nous avons identifié ces codes embarqués et ils peuvent être partagés avec les banques sur demande. Dès que les banques disposent de ces numéros, elles peuvent les rechercher de façon proactive dans leurs systèmes, afin de pouvoir détecter de potentiels distributeurs de billets infectés et « money-mules » ou bloquer toutes les tentatives d’activation du maliciel.

Les produits de Kaspersky Lab identifient cette menace comme Backdoor.Win32.Skimer.

Sur Securelist.com, lisez le blogpost relatif à l’infection de distributeurs de billets et tout un récit sur les distributeurs modernes et leurs problèmes de sécurité.

Comme il s’agit d’une enquête en cours, le rapport complet est partagé avec un public sélectif composé d’autorités éducatives locales, de CERT, d’institutions financières et de clients de qui Kaspersky Lab reçoit des informations sur les menaces. Pour de plus amples informations sur cette menace et un accès exclusif aux rapports de Kaspersky Lab, vous pouvez nous contacter via intelreports@kaspersky.com.