Site icon NewsIT
09:54 | 06.04.17

Malware επιτίθεται σε ATMs και διαγράφει τα αποδεικτικά στοιχεία της επίθεσης!

Malware επιτίθεται σε ATMs και διαγράφει τα αποδεικτικά στοιχεία της επίθεσης!
Newsit Newsroom

H εταιρία ασφάλειας Kaspersky Lab, δημοσίευσε τα αποτελέσματα μιας έρευνας σχετικά με μυστηριώδεις fileless επιθέσεις εναντίον τραπεζών στις οποίες οι εγκληματίες χρησιμοποιούσαν κακόβουλο λογισμικό που επιτίθεται στη μνήμη για να «μολύνει» τραπεζικά δίκτυα. 

Η έρευνα ξεκίνησε αφού οι ειδικοί εγκληματολογικής έρευνας της τράπεζας ανέκτησαν και μοιράστηκαν με την Kaspersky Lab δύο αρχεία που περιελάμβαναν αρχεία καταγραφής κακόβουλου λογισμικού από το σκληρό δίσκο του ΑΤΜ (kl.txt και LogFile.txt). Αυτά ήταν τα μόνα αρχεία που είχαν απομείνει μετά την επίθεση: δεν ήταν δυνατό να ανακτηθούν τα κακόβουλα εκτελέσιμα αρχεία γιατί οι ψηφιακοί εγκληματίες είχαν εξαφανίσει το κακόβουλο λογισμικό μετά τη ληστεία. Αλλά ακόμη και αυτός ο μικρός αριθμός δεδομένων κατέστη αρκετός για να πραγματοποιήσει η Kaspersky Lab μια επιτυχημένη έρευνα.
Εντός των αρχείων καταγραφής, οι ειδικοί της Kaspersky Lab ήταν σε θέση να προσδιορίσουν τα κομμάτια των πληροφοριών σε μορφή απλού κειμένου, δυνατότητα η οποία τους βοήθησε να δημιουργήσουν έναν κανόνα YARA για τη δημόσια αποθήκευση κακόβουλου λογισμικού και να βρουν ένα δείγμα. Οι κανόνες YARA – βασικές στοιχειοσειρές αναζήτησης – βοηθούν τους αναλυτές να βρίσκουν, να ομαδοποιούν και να κατηγοριοποιούν τα σχετικά δείγματα κακόβουλου λογισμικού και να δημιουργούν συνδέσεις μεταξύ τους με βάση τα πρότυπα της ύποπτης δραστηριότητας σε συστήματα ή δίκτυα που έχουν ομοιότητες.
Έπειτα από μια μέρα αναμονής, οι ειδικοί βρήκαν ένα επιθυμητό δείγμα κακόβουλου λογισμικού – «tv.dll», ή «ATMitch», όπως ονομάστηκε αργότερα. Αυτό εντοπίστηκε ελεύθερο δύο φορές: μία στο Καζακστάν και μία στη Ρωσία.
Αυτό το κακόβουλο λογισμικό εγκαταστάθηκε και εκτελέστηκε εξ αποστάσεως σε ένα ΑΤΜ μέσα από την τράπεζα-στόχο: μέσω της απομακρυσμένης διαχείρισης των μηχανημάτων ΑΤΜ. Μετά την εγκατάστασή του και τη σύνδεσή του με το ΑΤΜ, το κακόβουλο λογισμικό ATMitch επικοινωνεί με το ΑΤΜ καθώς είναι ένα νόμιμο λογισμικό. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να εκτελούν μια λίστα εντολών, όπως η συλλογή πληροφοριών σχετικά με τον αριθμό των χαρτονομισμάτων σε κασέτες του ΑΤΜ. Επιπλέον, παρέχει στους εγκληματίες τη δυνατότητα να διανέμουν τα χρήματα ανά πάσα στιγμή, με το πάτημα ενός κουμπιού.
Συνήθως, οι εγκληματίες ξεκινούν λαμβάνοντας πληροφορίες σχετικά με το χρηματικό ποσό που διαθέτει ένα μηχάνημα. Μετά από αυτό, ένας εγκληματίας μπορεί να στείλει εντολή διανομής οποιουδήποτε αριθμού χαρτονομισμάτων από οποιαδήποτε κασέτα. Έπειτα από την ανάληψη χρημάτων με αυτόν τον περίεργο τρόπο, οι εγκληματίες χρειάζεται μόνο να αρπάξουν τα χρήματα και να φύγουν. Μια ληστεία ATM όπως αυτή διαρκεί μόλις λίγα δευτερόλεπτα!
Μόλις πραγματοποιηθεί η ληστεία στο ΑΤΜ, το κακόβουλο λογισμικό διαγράφει τα ίχνη του.
Ποιος βρίσκεται πίσω από τις επιθέσεις;
Δεν είναι ακόμα γνωστό ποιος βρίσκεται πίσω από τις επιθέσεις. Η χρήση ανοιχτού exploit κώδικα, κοινών βοηθητικών προγραμμάτων των Windows και άγνωστων περιοχών κατά το πρώτο στάδιο της λειτουργίας του, καθιστούν σχεδόν αδύνατο να προσδιοριστεί ο υπεύθυνος της ομάδας. Ωστόσο, το «tv.dll», που χρησιμοποιείται στο ΑΤΜ στάδιο της επίθεσης περιέχει ρωσόφωνη πηγή, και γνωστές ομάδες που θα μπορούσαν να ταιριάξουν σε αυτό το προφίλ είναι οι GCMAN και Carbanak.

Τελευταίες ειδήσεις

Exit mobile version