L'histoire de Carbanak débute lorsqu'une banque d'Ukraine sollicite notre aide pour réaliser une enquête. De l'argent était volé mystérieusement via les Distributeurs Automatique (DAB). Nous avions tout d'abord pensé au malware Tyupkin. Toutefois, l'analyse du disque dur du DAB n'avait détecté rien d'anormal, si ce n'est une configuration assez étrange du VPN (la valeur du masque de réseau était 172.0.0.0).

? l'époque, nous avions considéré l'incident comme une simple attaque de malware. Nous étions loin de penser que quelques mois plus tard, un de nos collègues allait recevoir un coup de téléphone à 3h00 du matin. Il provenait d'un chargé de compte qui nous demandait d'appeler en urgence le numéro de téléphone qu'il venait de nous communiquer. Le directeur de la sécurité d'une banque russe décrocha. Un des systèmes de la banque signalait l'envoi de données depuis leur contrôleur de domaine vers la République populaire de Chine.

Nous nous sommes rendus sur place et nous avons pu localiser rapidement le malware sur le système. Nous avons écrit un script de commandes batch qui a éliminé le malware de l'ordinateur infecté et nous avons exécuté ce script sur tous les ordinateurs de la banque. Nous avons réalisé cette opération à plusieurs reprises jusqu'au moment où nous fûmes convaincus que plus aucun ordinateur n'était infecté. Bien entendu, nous avions prélevé des échantillons et c'est là que nous avons rencontré Carbanak pour la première fois.
.../...


Source :