Vous aurez s\u00fbrement remarqu\u00e9 que nous sommes friands des histoires de piratage des distributeurs automatiques. Non, nous ne les avons pas pi\u00e9g\u00e9s nous-m\u00eames, mais \u00e0 tout moment quelqu\u2019un peut le faire, nous nous sommes pench\u00e9s sur ce cas. Lors du SAS 2017, l\u2019\u00e9v\u00e8nement incontournable de l\u2019ann\u00e9e sur la cybers\u00e9curit\u00e9, les experts de Kaspersky Lab Sergey Golovanov et Igor Soumenkov nous parlent de trois cas int\u00e9ressants.<\/p>\n
ATMitch \u2013 malware contr\u00f4l\u00e9 \u00e0 distance <\/strong><\/p>\n Le distributeur automatique \u00e9tait vide. La police scientifique de la banque n\u2019a trouv\u00e9 aucun fichier malveillant, aucune empreinte digitale \u00e9trange, aucune trace d\u2019interaction physique avec l\u2019appareil, aucun circuit imprim\u00e9 suppl\u00e9mentaire, ou autres appareils qui pourraient \u00eatre utilis\u00e9s pour prendre le contr\u00f4le de la machine. Ils n\u2019ont pas trouv\u00e9 d\u2019argent non plus.<\/p>\n Les employ\u00e9s de la banque ont d\u00e9couvert un fichier, kl.txt. Ils pens\u00e8rent que \u00ab\u00a0kl\u00a0\u00bb avait quelque chose \u00e0 voir avec KL (autrement dit Kaspersky Lab), et nous ont donc contact\u00e9s. C\u2019est \u00e0 partir de l\u00e0 que nous nous sommes mis \u00e0 enqu\u00eater sur ce cas.<\/p>\n Il fallait bien que nous commencions quelque part, par cons\u00e9quent nos chercheurs commenc\u00e8rent \u00e0 analyser ce fichier. En se basant sur les contenus du fichier journal, ils ont \u00e9t\u00e9 capables de cr\u00e9er des r\u00e8gles YARA, YARA est un outil de recherche de malware\u00a0; en r\u00e9sum\u00e9, ils ont fait une requ\u00eate de recherche sur les malwares infectant des lieux publics. Ils l\u2019ont utilis\u00e9 pour tenter de trouver l\u2019\u00e9chantillon du malware original, et apr\u00e8s une journ\u00e9e, les recherches ont port\u00e9 leurs fruits. Ils ont trouv\u00e9 un langage de d\u00e9finition de donn\u00e9es (LDD) appel\u00e9 tv.dll, qui, \u00e0 ce moment-l\u00e0 avait \u00e9t\u00e9 rep\u00e9r\u00e9 dans la nature deux fois, une fois en Russie et l\u2019autre au Kazakhstan. Cela suffisait \u00e0 d\u00e9m\u00ealer le n\u0153ud.<\/p>\n Une enqu\u00eate minutieuse du DLL a permis \u00e0 nos chercheurs d\u2019inverser l\u2019ing\u00e9nierie de l\u2019attaque, comprendre son fonctionnement, et m\u00eame reproduire l\u2019attaque sur un distributeur automatique d\u2019essai dot\u00e9 de fausse monnaie dans notre laboratoire de tests. Voici ce qu\u2019ils ont trouv\u00e9.<\/p>\n ATMitch au travail \u00a0\u00a0<\/strong><\/p>\n Les malfaiteurs ont cr\u00e9\u00e9 cette attaque en exploitant une vuln\u00e9rabilit\u00e9 bien connue mais non corrig\u00e9e et en p\u00e9n\u00e9trant les serveurs de la banque cible (Inutile de vous dire que la mise \u00e0 jour du logiciel est fondamentale\u00a0? Ceci est un bon exemple).<\/p>\n Les hackers ont utilis\u00e9 le code open source et les outils accessibles au public pour infecter les ordinateurs de la banque, le malware qu\u2019il ont cr\u00e9\u00e9 cependant \u00e9tait cach\u00e9 dans la m\u00e9moire des ordinateurs, et non pas sur leurs disques durs. Il n\u2019y avait pas de fichiers, par cons\u00e9quent l\u2019attaque \u00e9tait extr\u00eamement dur \u00e0 d\u00e9tecter, elle \u00e9tait principalement invisible pour les solutions de s\u00e9curit\u00e9. Pire encore, presque toutes les traces du malware avaient disparu lorsque le syst\u00e8me a red\u00e9marr\u00e9.<\/p>\n Les cybercriminels ont ensuite \u00e9tabli une connexion sur leur serveur de commande et contr\u00f4le, ce qui leur a permis d\u2019installer \u00e0 distance un logiciel sur les distributeurs automatiques.<\/p>\n #ATMITCH<\/a> criminals leave the nicest notes for #security<\/a> researchers\u2026 #banking<\/a> #malware<\/a> #ATM<\/a> #TheSAS2017<\/a> pic.twitter.com\/SDgOFBTxFT<\/a><\/p>\n \u2014 Kaspersky (@kaspersky) April 3, 2017<\/a><\/p><\/blockquote>\n\n