Kaspersky Lab Polska | 4 kwietnia 2017, 13:59

ATMitch: jak cyberprzestępcy wypłacali pieniądze z bankomatów, nie pozostawiając śladów

Znajdujesz się w sekcji Informacje prasowe. Zamieszczone tutaj materiały zostały opracowane przez firmy niezwiązane z redakcją PCLab.pl czy Grupą Onet.pl SA. Redakcja PCLab.pl nie ponosi odpowiedzialności za treść poniższej publikacji.

Pewnego dnia pracownicy banku odkryli pusty bankomat: nie było w nim ani pieniędzy, ani śladów fizycznej interakcji z maszyną, ani szkodliwego programu. Eksperci z Kaspersky Lab postanowili zbadać ten tajemniczy przypadek, dzięki czemu nie tylko zrozumieli, jakie narzędzia zostały użyte w kradzieży, ale także odtworzyli sam atak, co w efekcie ujawniło poważne włamanie do infrastruktury banku.

W lutym 2017 r. Kaspersky Lab opublikował wyniki badania odnośnie tajemniczych ataków na banki, które nie pozostawiały po sobie żadnych śladów: do infekowania sieci bankowych przestępcy wykorzystywali szkodliwe programy rezydujące wyłącznie w pamięci. Przeanalizowanie przypadku bankomatów pozwoliło zobrazować przyczyny takich działań.

Badanie rozpoczęto po tym, gdy śledczym działającym na zlecenie banku udało się odzyskać z dysku twardego bankomatu dwa pliki zawierające dzienniki zdarzeń szkodliwego programu (kl.txt i logfile.txt), które następnie udostępniono firmie Kaspersky Lab. Były to jedyne pliki, które pozostały po ataku: nie można było przywrócić szkodliwych plików wykonywalnych, ponieważ po kradzieży cyberprzestępcy wyczyścili swoje ślady. Jednak nawet tak mała ilość danych wystarczyła firmie Kaspersky Lab do przeprowadzenia skutecznego śledztwa.

Cofnięcie wymazania

W plikach zawierających dzienniki zdarzeń eksperci z Kaspersky Lab zidentyfikowali szczątki informacji w postaci tekstowej, dzięki czemu mogli utworzyć regułę YARA z myślą o publicznych repozytoriach szkodliwych programów, a następnie wyszukać żądaną próbkę. Reguły YARA to ciągi, które umożliwiają analitykom wyszukanie, zgrupowanie i skategoryzowanie próbek powiązanych ze sobą szkodliwych programów. W dalszej kolejności możliwe jest naszkicowanie powiązań pomiędzy nimi na podstawie wzorów podejrzanej aktywności zarejestrowanej w systemach lub sieciach, między którymi istnieją podobieństwa.

W kolejnym dniu eksperci znaleźli poszukiwaną próbkę szkodliwego programu — „tv.dll”, którą nazwano później „ATMitch”. Została ona dostrzeżona na wolności dwukrotnie: w Kazachstanie i Rosji.

Ten szkodliwy program jest zdalnie instalowany i wykonywany w bankomacie, z sieci atakowanego banku: przy użyciu urządzeń służących do zdalnego zarządzania bankomatami. Po zainstalowaniu i połączeniu się z bankomatem, ATMitch komunikuje się z nim, udając oryginalny program do zarządzania. Umożliwia to atakującym wydawanie dowolnych poleceń, na przykład gromadzenie informacji o liczbie banknotów znajdujących się w kasetach bankomatu. Co więcej, przestępcy mogą wypłacać pieniądze w dowolnym czasie — w tym celu muszą tylko wcisnąć przycisk.

Na początku przestępcy zazwyczaj zbierają informacje na temat kwoty dostępnej w kasecie. Następnie wysyłają polecenie wypłaty dowolnej liczby banknotów z dowolnej kasety maszyny. Po wypłaceniu pieniędzy w ten osobliwy sposób zabierają pieniądze i oddalają się. Taka kradzież z bankomatu trwa zaledwie kilka sekund.

Po okradzeniu bankomatu szkodliwy program usuwa ślady swojej obecności.

Kto za tym stoi?

Wciąż nie wiadomo, kto stoi za omawianymi atakami. Fakt, że w pierwszym etapie tego ataku użyto ogólnodostępnego szkodliwego programu wykorzystującego podatności w systemach ofiary (tzw. exploit), powszechnych narzędzi systemu Windows oraz nieznanych domen, sprawia, że wytypowanie grupy jest niemal niemożliwe. Jednak plik „tv.dll” wykorzystywany do zainfekowania bankomatu zawiera źródła w języku rosyjskim, a spośród grup znanych ekspertom z Kaspersky Lab do tego wzorca pasują GCMAN i Carbanak.

Atakujący mogą wciąż być aktywni, jednak nie ma powodów do paniki. Zwalczanie takich ataków wymaga od specjalistów ds. bezpieczeństwa strzeżących atakowaną organizację określonych umiejętności. Pomyślne włamanie i wydobycie danych z sieci można przeprowadzić tylko przy użyciu powszechnych i legalnych narzędzi, a po ataku przestępcy mogą wymazać wszystkie dane, które mogłyby pomóc w zidentyfikowaniu ich, wobec czego nie pozostawiają po sobie żadnych śladów. W rozwiązaniu tego problemu kluczową rolę pełni analiza kryminalistyczna pamięci, w ramach której możliwe jest zbadanie szkodliwego programu i jego funkcji. Jak pokazał nam ten przypadek, precyzyjnie ukierunkowana odpowiedź na incydenty może pomóc w rozwiązaniu nawet perfekcyjnie przygotowanej cyberzbrodni — powiedział Siergiej Golowanow, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.

Produkty Kaspersky Lab wykrywają ataki wykorzystujące powyższe taktyki, techniki i procedury. Dalsze informacje związane z tymi wydarzeniami oraz reguły YARA pozwalające na analizę tych niepozostawiających śladów ataków można znaleźć na stronie https://kas.pr/h1pq. Szczegóły techniczne, w tym wskaźniki włamania, zostały udostępnione klientom usługi Kaspersky Intelligence Services.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.