Un miliardo di dollari sottratti a 100 banche in tutto il mondo. Questo il bottino di un’aggressione informatica sferrata negli ultimi due anni da una gang internazionale con radici in Russia, Cina, Ucraina ed altri Paesi europei.
Una serie di attacchi mirati verso i singoli istituti di credito hanno permesso di razziare denaro disponendo transazioni non autorizzate. In alcuni casi, spiegano i tecnici di Kaspersky, i criminali informatici sarebbero riusciti a “prelevare” fino a 10 milioni di dollari un colpo solo.
Ogni operazione della ben orchestrata rapina informatica – battezzata Carbanak – sarebbe durata da due ai quattro mesi effettuando il calcolo dal momento dell’infezione del primo computer connesso alla rete della banca fino all’effettivo furto del denaro.
Come funziona l’attacco
Secondo Kaspersky, tutto è partito da una serie di attacchi spearphishing. Come nel caso del phishing tradizionale, lo spear phishing si basa sull’invio di e-mail truffaldine aventi come obiettivo quello di far cadere in un tranello il destinatario. Questi viene infatti spinto a fornire informazioni personali od a compiere azioni pericolose credendo di avere a che fare con una comunicazione legittima.
I criminali informatici che pongono in essere campagne spearphishing prendono di mira una specifica organizzazione e provano a far credere ai destinatari delle loro email che le missive provengano da dirigenti o comunque da fonti affidabili all’interno della struttura societaria.
Nel caso di specie, l’email fasulla veniva spedita ad uno o più dipendenti della banca persuandendoli ad aprire l’allegato malevolo.
Una volta insediatosi sul sistema dell’impiegato bancario, il malware provava a diffondersi sulle altre macchine registrando in ogni caso quando visualizzato sugli schermi dei vari terminali. Grazie ad un meccanismo per il controllo remoto del malware, gli aggressori sono poi riusciti a disporre i trasferimenti di denaro utilizzando i terminali di amministrazione degli istituti bancari presi di mira.
Questo lo schema utilizzato dagli autori dell’operazione Carbanak che, secondo Kaspersky, sarebbe ancora in atto.
Gli esperti della società russa hanno spiegato che in molti casi i bilanci dei conti venifano “gonfiati ad arte” prima di incassare il denaro autorizzando la transazione. Se su un conto corrente bancario erano presenti 1.000 dollari, i criminali informatici incrementavano il saldo portandolo ad esempio a 10.000 dollari per poi trasferirne 9.000 sul proprio conto.
La gang di Carbanak, inoltre, è riuscita ad ottenere il controllo degli sportelli Bancomat ai quali veniva ordinato di erogare denaro ad orari prestabiliti. Nel momento in cui veniva effettuato il pagamento, uno dei membri della banda veniva posizionato nei pressi dello sportello in modo da raccogliere il denaro.