Un matin, des employés de banque s’aperçoivent qu’un distributeur automatique de billets (DAB) a été entièrement vidé : plus d’argent, aucune trace d’effraction physique sur la machine. Et aucun malware a priori…
Les experts de Kaspersky Lab se sont penchés sur ce cas inhabituel. Après avoir compris les outils utilisés, puis reproduit l’attaque, ils ont découvert la faille… Pour seuls indices, des fichiers contenant des journaux de malware et provenant du disque dur du DAB . Deux fichiers (kl.txt et logfile.txt), uniques rescapés après l’attaque.
Le nom du coupable : ATMitch
Dans les fichiers journaux, les experts de Kaspersky Lab ont pu identifier des informations en texte simple qui leur ont permis d’en extraire un échantillon et de créer une règle YARA pour les librairies publiques de malwares. Les règles YARA aident les analystes à trouver, grouper et classer les échantillons de malwares apparentés puis à établir des liens entre eux en fonction des schémas d’activités suspectes sur des systèmes ou réseaux présentant des similitudes.
Après une journée de patience, les experts ont trouvé un échantillon du malware souhaité : « tv.dll », ou « ATMitch » comme il a été dénommé par la suite. Celui-ci a été repéré deux fois en circulation : l’un en provenance du Kazakhstan, l’autre de Russie.
Ce malware est installé et exécuté à distance sur un DAB depuis l’intérieur d’une banque ciblée, à travers le système de téléadministration des machines. Une fois installé et connecté au DAB, le malware ATMitch communique avec la machine en se faisant passer pour un logiciel authentique. Les auteurs de l’attaque peuvent ainsi exécuter une liste de commandes, par exemple pour connaître le nombre de billets contenus dans les cassettes du distributeur. En outre, cela permet à des criminels de retirer de l’argent à tout moment, d’une simple pression de touche.
Kaspersky explique le processus : « En général, les malfaiteurs commencent par déterminer le montant présent dans le distributeur. Ensuite, l’un d’entre eux peut envoyer une commande pour extraire un nombre quelconque de billets de n’importe quelle cassette. Il suffit alors à un complice de récupérer l’argent sur place« . Le cambriolage d’un DAB ne prend ainsi que quelques secondes. Une fois le DAB dévalisé, le malware efface ses traces.
Kaspersky ne sait pas qui se cache derrière ces attaques. L’utilisation de code open source pour exploiter des vulnérabilités, d’utilitaires Windows courants et de domaines inconnus pendant la première phase de l’opération rend quasi impossible l’identification du groupe responsable, indique-t-il. Cependant, ajoute-t-il, « le fichier « tv.dll », utilisé durant l’attaque contre le DAB, contient une ressource en langue russe, et les groupes connus susceptibles de correspondre à ce profil sont GCMAN et Carbanak. »
