Des criminels ont réussi à voler des millions de dollars dans les distributeurs automatiques de billets (DAB), partout dans le monde, en utilisant un programme malveillant spécialisé qui force les machines à distribuer de l'argent sur commande. Comme l'ont expliqué hier les chercheurs de Kaspersky Lab, le programme, baptisé Backdoor.MSIL.Tyupkin, fonctionne avec les distributeurs automatiques d'un grand constructeur tournant sous des versions 32 bits de Windows. Mais, au lieu d'exploiter les vulnérabilités des logiciels à distance, les pirates ont infecté les distributeurs automatiques en accédant physiquement à des contrôles protégés en principe par un panneau verrouillé. En effet, les criminels ont pu « insérer un CD bootable dans la machine, redémarrer le système, et infecter le distributeur », a déclaré par courriel Vicente Diaz, chercheur en sécurité de Kaspersky Lab. « Après cette opération, ils ont pu manipuler à volonté le logiciel du DAB. C'est donc un niveau de menace complètement différent, où la protection logicielle ne fonctionne pas », a-t-il ajouté.

Kaspersky Lab a refusé de donner le nom du fournisseur ciblé, indiquant qu'une enquête d'Interpol était en cours. « Le malware a été trouvé sur une cinquantaine de guichets automatiques exploités par des établissements bancaires en Europe de l'Est », a simplement révélé le chercheur. Cependant, des échantillons du malware ont été téléchargés sur VirusTotal depuis d'autres pays, dont les États-Unis, l'Inde et la Chine. Ce qui laisse penser que Tyupkin pourrait aussi être utilisé dans ces pays-là. L'analyse du modus operandi par Kaspersky Lab a montré que les cybercriminels avaient pris plusieurs précautions pour rendre leurs attaques plus difficiles à détecter. Par exemple, le malware pouvait réagir aux commandes du clavier PIN uniquement les dimanches et les lundis soirs. Pour voir l'interface graphique du malware sur l'écran du DAB et savoir combien et quel type de billets restaient dans le coffre, les attaquants devaient taper à chaque fois une nouvelle clé générée par un algorithme connu d'eux seuls, de sorte que personne d'autre ne pouvait contrôler leur malware. L'interface de Tyupkin permet à l'opérateur de demander au distributeur automatique de prendre 40 billets de banque dans l'un de ses coffres.

Selon les chercheurs de Kaspersky Lab, « après les faux lecteurs de cartes et les faux claviers d'identification pour récupérer les codes tapés par les clients, ce n'est qu'une étape de plus dans le piratage des distributeurs de cartes de crédit ». Le malware Tyupkin montre aussi que la tactique des pirates évolue : « ils remontent la chaîne pour cibler directement les institutions financières », ont-ils ajouté. Cela fait des années que des chercheurs en sécurité mettent en garde les banques contre ce type d'attaques. En 2010, pendant une mémorable conférence Black Hat sur la sécurité, un pirate nommé Barnaby Jack avait montré, en direct, comment pirater un guichet automatique, obligeant la machine à distribuer de l'argent. Pour réussir son exploit, Barnaby Jack avait utilisé un accès physique aux ports USB du DAB et un logiciel de contrôle. « Les banques doivent revoir la sécurité physique de leurs guichets automatiques, remplacer toutes les serrures qui verrouillent le capot supérieur de la machine et les clés fournies en standard par le fabricant », ont déclaré les chercheurs. Les banques devraient également installer des systèmes d'alarme en cas d'intrusion physique. « Les cybercriminels qui ont exploité Tyupkin ont ciblé les DAB sans système d'alarme ».