Cento banche, 30 Paesi, 1 miliardo di dollari rubato (o forse più): questi i numeri di quello che già è stato definito il cyber-colpo del secolo, un maxi furto a danno di istituti bancari in tutto il mondo organizzato da una banda internazionale di hacker (i componenti sarebbero russi, ucraini, cinesi ed europei) ribattezzata Carbanak. La storia è emersa dopo le rivelazioni del Kaspersky Lab, la società russa della cyber-sicurezza che era stata chiamata a indagare su uno dei furti. Ecco la ricostruzione di un caso che darà filo da torcere a Interpol, Europol ed Fbi.
CHE COSA E’ CARBANAK
Gli hacker non hanno in realtà inventato niente di nuovo. Gli Advanced Persistent Threats, o APT, sono già noti alla comunità dei cyber-analisti: si tratta di attacchi che usano sofisticati strumenti e prendono di mira solitamente enti governativi, con danni difficili da quantificare dal punto di vista economico. Storie di “spy fiction”, si legge nella nota di Kaspersky Lab, lontane dal grande pubblico. Finora. Perché Carbanak ha portato le minacce APT nel settore commerciale e, più specificatamente, bancario. E stavolta i danni sono facili da calcolare: decine di istituti finanziari globali colpiti (anche in Italia) e perdite per un decine di milioni di dollari.
COME SI SVOLGE L’ATTACCO
Per infiltrarsi nella intranet della banca, gli autori dell’attacco usano come prima arma delle email di phishing che, una volta aperte, infettano le macchine col malware. A quel punto viene installata una “backdoor” sul Pc della vittima basata sul codice maligno Carberp – da cui il nome dell’intera operazione di hacking, Carbanak. Preso il controllo del computer compromesso, i cyber-criminali lo usano come porta d’ingresso alla intranet della banca e infettano altri Pc fino a scoprire quali computer possono usare per accedere ai sistemi finanziari critici. Con sofisticati strumenti come i keylogger (che leggono quanto viene digitato sulle tastiere) e i RAT (remote access tool, per catturare video e screenshot sugli schermi dei computer infettati), gli hacker registrano ogni passaggio, ogni operazione e tutte le procedure necessarie a trasferire denaro. “L’obiettivo è arrivare a mimare le attività ordinarie delle banche”, spiega Sergey Golovanov, Principal Security Researcher del Global Research and Analysis Team di Kaspersky Lab. “Le operazioni di trasferimento fondi appaiono come normali transazioni”.
I fondi vengono sottratti con metodi decisi a seconda dei casi, dal trasferimento Swift alla creazione di falsi conti bancari al ritiro di denaro tramite comandi remoti dati a un bancomat che eroga così le banconote, a orari prestabiliti, a un complice che si trova sul posto, senza che nessuno inserisca una carta o digiti il Pin. Anche se tutto è stato filmato dalle telecamere di sicurezza che hanno immortalato “l’uomo-ricevitore” che incassava in pochi minuti il gruzzolo, il tasso di successo degli hacker è impressionante, dice Kaspersky: una delle banche ha perso 7,3 milioni di dollari solo con i prelievi al bancomat comandati a distanza.
In media, l’intero processo, dal primo giorno di infezione al momento in cui gli hacker riescono a ritirare il denaro, dura da due a quattro mesi. “E’ probabilmente l’attacco più sofisticato mai osservato in termini di tattiche e metodi usati dai cyber-criminali”, ha commentato il managing director dell’ufficio di Boston di Kaspersky North America, Chris Doggett.
COME SONO STATI SCOPERTI
Sergey Golovanov ha spiegato che i ricercatori di Kaspersky hanno cominciato a indagare sul caso quando hanno ricevuto da una banca un video di un criminale che prendeva denaro da un bancomat senza toccare la macchina. All’inizio il team di Golovanov ha pensato a malware nella rete del bancomat ma ha poi scoperto che il problema si annidava nella rete stessa della banca: così si è risaliti al codice Carberp nella intranet di una banca moscovita. Il caso è stato collegato ad altri furti a bancomat, falsi trasferimenti di denaro e depositi mancanti in banche di tutto il mondo.
QUANTO E DOVE
I cyber-criminali sono riusciti a sottrarre a ciascuna banca vittima dai 2,5 milioni ai 10 milioni di dollari (cifra massima per istituto oltre la quale non sono mai andati). Le banche che hanno subito perdite a causa dell’attacco sono – si calcola – un centinaio. I paesi più danneggiati sono Russia, Usa, Germania, Cina e Ucraina ma i paesi colpiti sono molti di più e in tutto il mondo, dal Brasile all’Australia, dalla Spagna alla Bulgaria. Anzi, secondo Kasperky, attualmente Carbanak si sta espandendo verso nuovi siti: Malesia, Nepal, Kuwait, diverse nazioni africane. Anche in Italia ci sono sicuramente stati dei tentativi di “infezione”: 27 sono quelli accertati, di cui almeno 2 sono andati a buon fine, anche se non è chiaro se le banche colpite ne siano consapevoli.
Sui nomi dei singoli istituti-vittima c’è invece il massimo riserbo. Nessuna banca ha svelato pubblicamente di essere caduta in mano a Carbanak. Secondo fonti del New York Times, due delle banche colpite sembrano essere J.P. Morgan Chase e la Agricultural Bank of China, ma gli istituti non hanno commentato e la Fbi ha smentito il coinvolgimento di banche americane.
CHI INDAGA
I primi malware usati dal gruppo risalgono all’agosto 2013 e i primi casi di infezione a dicembre dello stesso anno. Il primo furto messo a segno è di febbraio o aprile 2014; il picco di attacchi si è registrato a giugno dell’anno scorso. Sul caso lavorano i centri di cyber-difesa di diverse nazioni e anche organizzazioni internazionali come Europol e Interpol, oltre al Global Research and Analyst Team di Kaspersky. Anche la Casa Bianca ha ricevuto un primo rapporto su quanto avvenuto ed è stata coinvolta l’Fbi. L’indagine però è complessa e Kaspersky riconosce: “L’impressione che abbiamo è che gli hacker di Carbanak non smetteranno finché non saranno presi”.