Un logiciel malveillant finement élaboré, permettant de pirater des DAB avec des cartes spéciales, a été découvert par des spécialistes en cybersécurité.
Ripper, le malware pouvant pirater les DAB
Récemment, des spécialistes de sécurité informatique ont rapporté l’existence d’un logiciel informatique intelligemment conçu donnant la possibilité de pirater des distributeurs automatiques de billets. En fait, cet outil ressemble à s’y méprendre à celui ayant permis le vol de plusieurs centaines d’euros dans les distributeurs automatiques thaïlandais. Son nom est Ripper et il permet de retirer de l’argent grâce à des cartes spéciales.
Les faits
Peu de temps avant l’annonce par les médias thaïlandais du vol de près de 313 000 euros dans une vingtaine de distributeurs automatiques de billets, un exemple du logiciel malveillant Ripper a été introduit dans les bases de données Virus Total depuis une adresse IP se trouvant dans le Royaume. Ce chargement a été perpétré par des pirates informatiques se trouvant dans le pays. Ce qui, d’après le Bangkok Post, a obligé le National Savings Bank à fermer quelque temps la totalité de ses distributeurs automatiques de billets. Cela a été nécessaire pour permettre au fabricant de vérifier la présence de virus informatique. Selon les chercheurs en cybersécurité de FireEye, des indices autres que le spécimen Ripper provenant de Thaïlande laissent supposer que ce logiciel malveillant ressemble à celui utilisé par les cyber-pirates pour commettre cet acte.
Son fonctionnement
D’après toujours cette analyse, le malware vise les appareils distributeurs de la même marque qu’utilisée en Thaïlande en plus de celles de 2 autres fabricants. Des sources locales affirment que le virus désactive l’interface du réseau local du DAB. Ce qui rappelle le vol survenu récemment dans le pays. L’exemple de virus a été chargé le 10 juillet, près d’un mois avant l’annonce à la population du piratage. Une fois mis en place sur le distributeur automatique, Ripper attend qu’on y insère une carte à puce spécifique, programmée de telle manière à pouvoir en sortir 40 billets de banque. Le process auparavant ayant servi pour l’authentification a déjà été utilisé par d’autres virus prenant pour cibles les DAB.
Ripper dispose donc des mêmes caractéristiques déjà notées dans des virus malveillants plus anciens visant les distributeurs automatiques, à savoir leurs fonctions Padpi et SUCEFULandGreenDiespense. Selon toujours l’avis des chercheurs de FireEYE, il utilise une option de suppression pour détruire les preuves du délit. En outre, il peut être utilisé de différentes manières. La première se fait avec la complicité d’une personne travaillant dans le service technique d’entretien de ces DAB. Une autre est de charger le virus via les ports CD-ROM ou USB du distributeur une fois le capot retiré avec des clés spéciales, hélas, pouvant être achetées en ligne. Pourtant cette deuxième solution n’est pas possible pour les distributeurs installés à l’extérieur. Elle ne convient donc pas encore à la Thaïlande. Le pays devra donc privilégier la première piste consistant à obtenir la complicité d’un personnel technique travaillant pour la maintenance des distributeurs automatiques de billets.
