Des dizaines de distributeurs automatiques piratés
Kaspersky a découvert un logiciel malveillant installé sur des dizaines de distributeurs de billets automatiques en Europe et permettant d’en dérober le contenu.
Infecter des distributeurs automatiques (DAB) pour en dérober sans effort le contenu. C’est apparemment ce qu’a réussi un groupe de cybercriminels à l’origine du logiciel malveillant Tyupkin visant les distributeurs « d’une important constructeur » et fonctionnant sous une version 32 bits de Windows.
Kaspersky explique ainsi avoir découvert ce logiciel « plus tôt cette année » dans le cadre d’une enquête menée en réponse à la demande d’une institution financière, en réponse à une attaque « visant de multiples ATM [distributeurs automatiques de billets, NDLR] en Europe de l’Est. » Lors de l’enquête, le logiciel était présent sur plus d’une cinquantaine de distributeurs, dont au moins un en France, et surtout 20 en Russie, mais également 4 aux Etats-Unis.
L’éditeur russe explique que le logiciel malveillant embarque plusieurs méthodes de furtivité, n’étant ainsi actif qu’à certaines heures de la nuit, et nécessitant une clé basée sur une source aléatoire pour chaque session, pour interdire à d’autres personnes que les complices des cybercriminels d’agir avec le distributeur. Après identification correcte, le distributeur détaille son contenu et permet de retirer quarante billets de la cassette voulue. Le logiciel malveillant embarque en outre, toujours selon Kaspersky, des techniques de protection contre l’émulation et la mise en environnement de débogage, et désactive la solution SolidCore de McAfee sur les systèmes infectés.
L’intérêt des cybercriminels pour les distributeurs de billets n’est pas nouveau. Fin décembre dernier, deux chercheurs s’étaient penchés, lors du Chaos Communication Congress, à Hambourg, sur un logiciel malveillant utilisé pour dévaliser les distribtuteurs automatiques de billets, injecté par des clés USB.
Déjà en 2009, Trustwave avait récupéré un échantillon de logiciel malveillant s’attaquant aux distributeurs automatiques de billets de banque. Mais il est clair depuis plusieurs mois que l’abandon du support de Windows XP augmente l’exposition des DAB aux cybercriminels. NCR, l’un des principaux constructeurs de DAB, estimait ainsi début 2014 que seulement un tiers des 60 000 DAB installés outre-Manche devrait avoir migré d’ici à la fin 2014.