czwartek, 21 listopada, 2024

Nasze serwisy:

Więcej

    ATMitch: jak cyberprzestępcy wypłacali pieniądze z bankomatów, nie pozostawiając śladów

    Zobacz również

    Pewnego dnia pracownicy banku odkryli pusty bankomat: nie było w nim ani pieniędzy, ani śladów fizycznej interakcji z maszyną, ani szkodliwego programu. Eksperci z Kaspersky Lab postanowili zbadać ten tajemniczy przypadek, dzięki czemu nie tylko zrozumieli, jakie narzędzia zostały użyte w kradzieży, ale także odtworzyli sam atak, co w efekcie ujawniło poważne włamanie. W lutym 2017 r. Kaspersky Lab opublikował wyniki badania odnośnie tajemniczych ataków na banki, które nie

    - Reklama -

    pozostawiały po sobie żadnych śladów: do infekowania sieci bankowych przestępcy wykorzystywali szkodliwe programy rezydujące wyłącznie w pamięci. Przeanalizowanie przypadku bankomatów pozwoliło zobrazować przyczyny takich działań.

    Badanie rozpoczęto po tym, gdy śledczym działającym na zlecenie banku udało się odzyskać z dysku twardego bankomatu dwa pliki zawierające dzienniki zdarzeń szkodliwego programu (kl.txt i logfile.txt), które następnie udostępniono firmie Kaspersky Lab. Były to jedyne pliki, które pozostały po ataku: nie można było przywrócić szkodliwych plików wykonywalnych, ponieważ po kradzieży cyberprzestępcy wyczyścili swoje ślady. Jednak nawet tak mała ilość danych wystarczyła firmie Kaspersky Lab do przeprowadzenia skutecznego śledztwa.
    Cofnięcie wymazania

    W plikach zawierających dzienniki zdarzeń eksperci z Kaspersky Lab zidentyfikowali szczątki informacji w postaci tekstowej, dzięki czemu mogli utworzyć regułę YARA z myślą o publicznych repozytoriach szkodliwych programów, a następnie wyszukać żądaną próbkę. Reguły YARA to ciągi, które umożliwiają analitykom wyszukanie, zgrupowanie i skategoryzowanie próbek powiązanych ze sobą szkodliwych programów. W dalszej kolejności możliwe jest naszkicowanie powiązań pomiędzy nimi na podstawie wzorów podejrzanej aktywności zarejestrowanej w systemach lub sieciach, między którymi istnieją podobieństwa.

    W kolejnym dniu eksperci znaleźli poszukiwaną próbkę szkodliwego programu — „tv.dll”, którą nazwano później „ATMitch”. Została ona dostrzeżona na wolności dwukrotnie: w Kazachstanie i Rosji.

    Ten szkodliwy program jest zdalnie instalowany i wykonywany w bankomacie, z sieci atakowanego banku: przy użyciu urządzeń służących do zdalnego zarządzania bankomatami. Po zainstalowaniu i połączeniu się z bankomatem, ATMitch komunikuje się z nim, udając oryginalny program do zarządzania. Umożliwia to atakującym wydawanie dowolnych poleceń, na przykład gromadzenie informacji o liczbie banknotów znajdujących się w kasetach bankomatu. Co więcej, przestępcy mogą wypłacać pieniądze w dowolnym czasie — w tym celu muszą tylko wcisnąć przycisk.

    Na początku przestępcy zazwyczaj zbierają informacje na temat kwoty dostępnej w kasecie. Następnie wysyłają polecenie wypłaty dowolnej liczby banknotów z dowolnej kasety maszyny. Po wypłaceniu pieniędzy w ten osobliwy sposób zabierają pieniądze i oddalają się. Taka kradzież z bankomatu trwa zaledwie kilka sekund.

    Po okradzeniu bankomatu szkodliwy program usuwa ślady swojej obecności.

    Kto za tym stoi?

    Wciąż nie wiadomo, kto stoi za omawianymi atakami. Fakt, że w pierwszym etapie tego ataku użyto ogólnodostępnego szkodliwego programu wykorzystującego podatności w systemach ofiary (tzw. exploit), powszechnych narzędzi systemu Windows oraz nieznanych domen, sprawia, że wytypowanie grupy jest niemal niemożliwe. Jednak plik „tv.dll” wykorzystywany do zainfekowania bankomatu zawiera źródła w języku rosyjskim, a spośród grup znanych ekspertom z Kaspersky Lab do tego wzorca pasują GCMAN i Carbanak.

    – Atakujący mogą wciąż być aktywni, jednak nie ma powodów do paniki. Zwalczanie takich ataków wymaga od specjalistów ds. bezpieczeństwa strzeżących atakowaną organizację określonych umiejętności. Pomyślne włamanie i wydobycie danych z sieci można przeprowadzić tylko przy użyciu powszechnych i legalnych narzędzi, a po ataku przestępcy mogą wymazać wszystkie dane, które mogłyby pomóc w zidentyfikowaniu ich, wobec czego nie pozostawiają po sobie żadnych śladów. W rozwiązaniu tego problemu kluczową rolę pełni analiza kryminalistyczna pamięci, w ramach której możliwe jest zbadanie szkodliwego programu i jego funkcji. Jak pokazał nam ten przypadek, precyzyjnie ukierunkowana odpowiedź na incydenty może pomóc w rozwiązaniu nawet perfekcyjnie przygotowanej cyberzbrodni — powiedział Siergiej Golowanow, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.

    ŹródłoKaspersky Lab
    guest
    0 Comments
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Dołącz ze SkyCash do programu Mastercard Bezcenne Chwile

    Bezcenne Chwile to wyjątkowy program, w którym płatności pracują na Ciebie! Płać kartą Mastercard zarejestrowaną w programie w aplikacji SkyCash...