Les pirates d’Anunak dérobent plus d’un milliard de roubles

Deux spécialistes de la sécurité informatique, le russe Group IB et le néerlandais Fox IT se sont associés pour publier un rapport (PDF) sur Anunak.

Anunak est un groupe russe et ukrainien de menace permanente avancée (MPA ou APT), récemment découvert par les deux entreprises.

La plupart des pirates du groupe à l’origine du logiciel malveillant Carberp, utilisé pour dérober des fonds à des institutions financières et leurs clientèles d’entreprises, avaient été arrêtés.

Quelques-uns ont réussi à passer à travers les mailles du filet et sont à l’origine d’Anunak.

Anunak opère depuis le début 2013, mais la plupart de ses vols ont été commis ces six derniers mois. Le groupe infecte les systèmes informatiques d’organisations financières à l’aide la plupart du temps de courriels avec des pièces jointes infectées.

Une fois l’ordinateur d’un employé ordinaire infecté, les pirates prennent patiemment le contrôle de tout le système.

Ils commençant par le mot de passe d’un technicien du support technique, l’accès à un serveur, le vol du mot de passe d’un administrateur du domaine, le contrôle du contrôleur de domaine puis de tous les comptes du domaine.

Ils reconfigurent alors le système pour effacer toute trace de leur contrôle, obtenir un accès à distance, installent des moniteurs d’activité, et surtout prennent le contrôle des serveurs de courriels.

Ce dernier est stratégique. Il permet d’une part de faciliter l’envoi de courriels malveillants à d’autres institutions financières, et d’autre part de surveiller les progrès d’une éventuelle détection par les services informatiques, et les indices qui les mènent à de telles conclusions. Ce qui permet à Anunak d’améliorer ses procédures.

Au total, Anunak a infecté plus de 50 banques russes et 5 systèmes de paiements. Plus d’un milliard de roubles (plus de 21 millions d’euros) ont ainsi été dérobés de diverses façons :

  • Vol par reprogrammation de distributeurs de billets ;
  • Vol par virements à destination d’entreprises qui elles-mêmes opèrent des virements vers d’autres entreprises, et ainsi de suite jusqu’aux virements finals à destination de comptes de particuliers ;
  • Vol par transferts interbancaires vers d’autres banques compromises où des comptes et des cartes de crédits ont été spécialement créés ;
  • Vol par utilisation de plateformes d’échanges comme Yandex, les portefeuilles électroniques et les opérateurs de paiements mobiles.

Contrairement à la plupart des délits financiers, les pirates n’ont pas exploité les comptes de clients. Ils ont directement escroqué les banques et les institutions financières.

Plus inquiétant pour les Européens (notamment les Espagnols et les Italiens) et les Américains, Anunak aurait compromis les systèmes de chaînes de magasins et de médias en Australie, Espagne, États-Unis et Italie. Si aucune exploitation financière n’a été découverte à ce jour, de nombreux terminaux de points de ventes sont compromis et contrôlés par des serveurs en Allemagne Kazakhstan et Ukraine. Des vulnérabilités récemment découvertes sont exploitées par le groupe, et l’on pourrait craindre de futures utilisation frauduleuses de ces systèmes zombie.