Cum pot fi sparte bancomatele fără vreo urmă printr-un nou tip de atac informatic
0Bancomatele sunt folosite de câteva decenii, dar încă nu au ajuns impenetrabile în faţa atacurilor cibernetice. Cel mai nou caz arată că pot fi sparte prin atacuri „fileless“.
Experţi Kaspersky Lab au analizat un caz în care angajaţii unei bănci au găsit un bancomat gol şi nicio urmă de atac. Datele au fost publicat în februarie 2017, iar atacurile de tipul acesta au primit caracterizarea „fileless“. Infractorii au folosit in-memory malware ca să infecteze reţelele băncilor.
Investigaţia a început după ce specialiştii băncii au recuperat şi distribuit către Kaspersky Lab două fişiere cu înregistrări malware de pe hard drive-ul bancomatelor (kl.txt şi logfile.txt). Acestea au fost singurele fişiere rămase în urma atacului. Nu a fost posibilă recuperarea malware-ului, deoarece, după efectuarea jafului, infractorii l-au şters. Dar chiar şi această cantitate infimă s-a dovedit suficientă pentru o investigaţie de succes.
Printre fişierele-jurnal, specialişti Kaspersky Lab au reuşit să identifice fragmente de informaţii în plain text, care i-au ajutat să creeze o regulă Yara şi să găsească o mostră. Regulile YARA – simplificat, şiruri de caractere de căutare – îi ajută pe analişti să găsească, să grupeze, să clasifice mostre de malware similare şi să creeze conexiuni între ele. Acestea se bazează pe tipare de activitate suspecte în cadrul unor sisteme sau reţele ce prezintă similitudini.
După o zi de aşteptare, experţii au găsit o mostră de malware: „tv.dll“ sau „ATMitch“, cum a fost denumită mai târziu. Aceasta a fost detectată de două ori: în Kazahstan şi în Rusia.
Programul malware este instalat de la distanţă şi pus în executare pe un bancomat al băncii vizate, care este administrat remote. După ce este instalat şi conectat la ATM, malware-ul „ATMitch“ apare ca un program legitim în comunicarea cu bancomatul. Acest lucru face posibil ca atacatorii să pună în aplicare o listă de comenzi, cum ar fi să colecteze informaţii despre numărul bancnotelor din ATM-uri. Mai mult, le permite infractorilor să retragă bani la orice oră, doar prin atingerea unui buton.
În general, infractorii încep prin a afla informaţii despre suma de bani pe care un aparat o are. După aceasta, un infractor poate să trimită o comandă pentru a scoate orice număr de bancnote, de la orice bancomat. După ce retrag banii în acest mod, infractorii nu mai trebuie decât să îi ia şi să plece. Un jaf de acest gen la un ATM durează doar câteva secunde.
Încă nu se ştie cine este în spatele atacurilor. Utilizarea exploit-urilor open source, a utilitarelor din Windows şi a domeniilor necunoscute, în timpul primei etape a operaţiunii, face aproape imposibilă aflarea grupului responsabil. Însă, „tv.dll“, folosit în faza ATM a atacului, conţine elemente de limbă rusă, iar grupurile cunoscute care par să corespundă acestui profil sunt GCMAN şi Carbanak.