Firma » Finanse
ATMitch: jak cyberprzestępcy wypłacali pieniądze z bankomatów, nie pozostawiając śladów
 |
| Zobacz więcej zdjęć » |
Eksperci z Kaspersky Lab postanowili zbadać ten tajemniczy przypadek, dzięki czemu nie tylko zrozumieli, jakie narzędzia zostały użyte w kradzieży, ale także odtworzyli sam atak, co w efekcie ujawniło poważne włamanie do infrastruktury banku.
Przeczytaj również
- Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
- Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
- Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
- Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików
W lutym 2017 r. Kaspersky Lab opublikował wyniki badania odnośnie tajemniczych ataków na banki, które nie pozostawiały po sobie żadnych śladów: do infekowania sieci bankowych przestępcy wykorzystywali szkodliwe programy rezydujące wyłącznie w pamięci. Przeanalizowanie przypadku bankomatów pozwoliło zobrazować przyczyny takich działań.
Badanie rozpoczęto po tym, gdy śledczym działającym na zlecenie banku udało się odzyskać z dysku twardego bankomatu dwa pliki zawierające dzienniki zdarzeń szkodliwego programu (kl.txt i logfile.txt), które następnie udostępniono firmie Kaspersky Lab. Były to jedyne pliki, które pozostały po ataku: nie można było przywrócić szkodliwych plików wykonywalnych, ponieważ po kradzieży cyberprzestępcy wyczyścili swoje ślady. Jednak nawet tak mała ilość danych wystarczyła firmie Kaspersky Lab do przeprowadzenia skutecznego śledztwa.
Cofnięcie wymazania
W plikach zawierających dzienniki zdarzeń eksperci z Kaspersky Lab zidentyfikowali szczątki informacji w postaci tekstowej, dzięki czemu mogli utworzyć regułę YARA z myślą o publicznych repozytoriach szkodliwych programów, a następnie wyszukać żądaną próbkę. Reguły YARA to ciągi, które umożliwiają analitykom wyszukanie, zgrupowanie i skategoryzowanie próbek powiązanych ze sobą szkodliwych programów. W dalszej kolejności możliwe jest naszkicowanie powiązań pomiędzy nimi na podstawie wzorów podejrzanej aktywności zarejestrowanej w systemach lub sieciach, między którymi istnieją podobieństwa.
W kolejnym dniu eksperci znaleźli poszukiwaną próbkę szkodliwego programu — „tv.dll”, którą nazwano później „ATMitch”. Została ona dostrzeżona na wolności dwukrotnie: w Kazachstanie i Rosji.
Ten szkodliwy program jest zdalnie instalowany i wykonywany w bankomacie, z sieci atakowanego banku: przy użyciu urządzeń służących do zdalnego zarządzania bankomatami. Po zainstalowaniu i połączeniu się z bankomatem, ATMitch komunikuje się z nim, udając oryginalny program do zarządzania. Umożliwia to atakującym wydawanie dowolnych poleceń, na przykład gromadzenie informacji o liczbie banknotów znajdujących się w kasetach bankomatu. Co więcej, przestępcy mogą wypłacać pieniądze w dowolnym czasie — w tym celu muszą tylko wcisnąć przycisk.
Na początku przestępcy zazwyczaj zbierają informacje na temat kwoty dostępnej w kasecie. Następnie wysyłają polecenie wypłaty dowolnej liczby banknotów z dowolnej kasety maszyny. Po wypłaceniu pieniędzy w ten osobliwy sposób zabierają pieniądze i oddalają się. Taka kradzież z bankomatu trwa zaledwie kilka sekund.
Po okradzeniu bankomatu szkodliwy program usuwa ślady swojej obecności.
Kto za tym stoi?
Wciąż nie wiadomo, kto stoi za omawianymi atakami. Fakt, że w pierwszym etapie tego ataku użyto ogólnodostępnego szkodliwego programu wykorzystującego podatności w systemach ofiary (tzw. exploit), powszechnych narzędzi systemu Windows oraz nieznanych domen, sprawia, że wytypowanie grupy jest niemal niemożliwe. Jednak plik „tv.dll” wykorzystywany do zainfekowania bankomatu zawiera źródła w języku rosyjskim, a spośród grup znanych ekspertom z Kaspersky Lab do tego wzorca pasują GCMAN i Carbanak.
Atakujący mogą wciąż być aktywni, jednak nie ma powodów do paniki. Zwalczanie takich ataków wymaga od specjalistów ds. bezpieczeństwa strzeżących atakowaną organizację określonych umiejętności. Pomyślne włamanie i wydobycie danych z sieci można przeprowadzić tylko przy użyciu powszechnych i legalnych narzędzi, a po ataku przestępcy mogą wymazać wszystkie dane, które mogłyby pomóc w zidentyfikowaniu ich, wobec czego nie pozostawiają po sobie żadnych śladów. W rozwiązaniu tego problemu kluczową rolę pełni analiza kryminalistyczna pamięci, w ramach której możliwe jest zbadanie szkodliwego programu i jego funkcji. Jak pokazał nam ten przypadek, precyzyjnie ukierunkowana odpowiedź na incydenty może pomóc w rozwiązaniu nawet perfekcyjnie przygotowanej cyberzbrodni — powiedział Siergiej Golowanow, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Produkty Kaspersky Lab wykrywają ataki wykorzystujące powyższe taktyki, techniki i procedury. Dalsze informacje związane z tymi wydarzeniami oraz reguły YARA pozwalające na analizę tych niepozostawiających śladów ataków można znaleźć na stronie https://kas.pr/h1pq. Szczegóły techniczne, w tym wskaźniki włamania, zostały udostępnione klientom usługi Kaspersky Intelligence Services.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.
Nadesłał:
Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl 
|
Magnetyczna rewolucja w kuchni. Deante Design Studio pokazuje, jak wygląda przyszłość strefy zmywani 
Nowa dyrektor, nowe otwarcia. Focus łapie lato! 
Przed sesją do lasu! Studenci chcą „zielonych recept” na kryzys psychiczny 
Duże przeszklenia, większe wyzwania. Nowoczesna architektura zmienia technologie szyb zespolonych? 
Jak zmieniły się polskie wnętrza przez ostatnie dziesięciolecia? 30 lat projektowania wygody z PEKA
Komentarze (0)