up_icon
Misc

ATMitch: Ένα malware που επιτίθεται σε ATMs και διαγράφει τα αποδεικτικά στοιχεία της επίθεσης

05 Απριλίου 2017 Yannis Elpidis

ATMitch: Ένα malware που επιτίθεται σε ATMs και διαγράφει τα αποδεικτικά στοιχεία της επίθεσης

Μια μέρα, τραπεζικοί υπάλληλοι ανακάλυψαν ένα άδειο ΑΤΜ: δεν υπήρχαν χρήματα, ούτε κανένα ίχνος φυσικής αλληλεπίδρασης με το μηχάνημα, ούτε κάποιο κακόβουλο λογισμικό. Αφού οι ειδικοί της Kaspersky Lab πέρασαν αρκετό χρόνο ερευνώντας αυτή τη μυστηριώδη περίπτωση, ήταν σε θέση όχι μόνο να κατανοήσουν τα εργαλεία του ψηφιακού εγκλήματος που χρησιμοποιήθηκαν για τη ληστεία, αλλά και να αναπαραγάγουν την επίθεση οι ίδιοι, ανακαλύπτοντας μια παραβίαση στο σύστημα ασφάλειας της τράπεζας.

Το Φεβρουάριο του 2017, η Kaspersky Lab δημοσίευσε τα αποτελέσματα μιας έρευνας σχετικά με μυστηριώδεις fileless επιθέσεις εναντίον τραπεζών: εγκληματίες χρησιμοποιούσαν κακόβουλο λογισμικό που επιτίθεται στη μνήμη για να «μολύνει» τραπεζικά δίκτυα. Αλλά γιατί να το κάνουν αυτό; Η υπόθεση “ATMitch” μας έδωσε τη συνολική εικόνα.

Η έρευνα ξεκίνησε αφού οι ειδικοί εγκληματολογικής έρευνας της τράπεζας ανάκτησαν και μοιράστηκαν με την Kaspersky Lab δύο αρχεία που περιελάμβαναν αρχεία καταγραφής κακόβουλου λογισμικού από το σκληρό δίσκο του ΑΤΜ (kl.txt και LogFile.txt). Αυτά ήταν τα μόνα αρχεία που είχαν απομείνει μετά την επίθεση: δεν ήταν δυνατό να ανακτηθούν τα κακόβουλα εκτελέσιμα αρχεία γιατί οι ψηφιακοί εγκληματίες είχαν εξαφανίσει το κακόβουλο λογισμικό μετά τη ληστεία. Αλλά ακόμη και αυτός ο μικρός αριθμός δεδομένων κατέστη αρκετός για να πραγματοποιήσει η Kaspersky Lab μια επιτυχημένη έρευνα.

Erase / rewind

Εντός των αρχείων καταγραφής, οι ειδικοί της Kaspersky Lab ήταν σε θέση να προσδιορίσουν τα κομμάτια των πληροφοριών σε μορφή απλού κειμένου, δυνατότητα η οποία τους βοήθησε να δημιουργήσουν έναν κανόνα YARA για τη δημόσια αποθήκευση κακόβουλου λογισμικού και να βρουν ένα δείγμα. Οι κανόνες YARA – βασικές στοιχειοσειρές αναζήτησης - βοηθούν τους αναλυτές να βρίσκουν, να ομαδοποιούν και να κατηγοριοποιούν τα σχετικά δείγματα κακόβουλου λογισμικού και να δημιουργούν συνδέσεις μεταξύ τους με βάση τα πρότυπα της ύποπτης δραστηριότητας σε συστήματα ή δίκτυα που έχουν ομοιότητες.

Έπειτα από μια μέρα αναμονής, οι ειδικοί βρήκαν ένα επιθυμητό δείγμα κακόβουλου λογισμικού - «tv.dll», ή «ATMitch», όπως ονομάστηκε αργότερα. Αυτό εντοπίστηκε ελεύθερο δύο φορές: μία στο Καζακστάν και μία στη Ρωσία.

Αυτό το κακόβουλο λογισμικό εγκαταστάθηκε και εκτελέστηκε εξ αποστάσεως σε ένα ΑΤΜ μέσα από την τράπεζα-στόχο: μέσω της απομακρυσμένης διαχείρισης των μηχανημάτων ΑΤΜ. Μετά την εγκατάστασή του και τη σύνδεσή του με το ΑΤΜ, το κακόβουλο λογισμικό ATMitch επικοινωνεί με το ΑΤΜ καθώς είναι ένα νόμιμο λογισμικό. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να εκτελούν μια λίστα εντολών, όπως η συλλογή πληροφοριών σχετικά με τον αριθμό των χαρτονομισμάτων σε κασέτες του ΑΤΜ. Επιπλέον, παρέχει στους εγκληματίες τη δυνατότητα να διανέμουν τα χρήματα ανά πάσα στιγμή, με το πάτημα ενός κουμπιού.

Συνήθως, οι εγκληματίες ξεκινούν λαμβάνοντας πληροφορίες σχετικά με το χρηματικό ποσό που διαθέτει ένα μηχάνημα. Μετά από αυτό, ένας εγκληματίας μπορεί να στείλει εντολή διανομής οποιουδήποτε αριθμού χαρτονομισμάτων από οποιαδήποτε κασέτα. Έπειτα από την ανάληψη χρημάτων με αυτόν τον περίεργο τρόπο, οι εγκληματίες χρειάζεται μόνο να αρπάξουν τα χρήματα και να φύγουν. Μια ληστεία ATM όπως αυτή διαρκεί μόλις λίγα δευτερόλεπτα!

Μόλις πραγματοποιηθεί η ληστεία στο ΑΤΜ, το κακόβουλο λογισμικό διαγράφει τα ίχνη του.

Ποιος βρίσκεται πίσω από τις επιθέσεις;

Δεν είναι ακόμα γνωστό ποιος βρίσκεται πίσω από τις επιθέσεις. Η χρήση ανοιχτού exploit κώδικα, κοινών βοηθητικών προγραμμάτων των Windows και άγνωστων περιοχών κατά το πρώτο στάδιο της λειτουργίας του, καθιστούν σχεδόν αδύνατο να προσδιοριστεί ο υπεύθυνος της ομάδας. Ωστόσο, το «tv.dll», που χρησιμοποιείται στο ΑΤΜ στάδιο της επίθεσης περιέχει ρωσόφωνη πηγή, και γνωστές ομάδες που θα μπορούσαν να ταιριάξουν σε αυτό το προφίλ είναι οι GCMAN και Carbanak.

Όπως δήλωσε ο Sergey Golovanov, Principal Security Researcher της Kaspersky Lab,

"Οι επιτιθέμενοι ενδέχεται να εξακολουθούν να είναι ενεργοί. Αλλά μην πανικοβάλλεστε! Η καταπολέμηση αυτού του είδους των επιθέσεων απαιτεί ένα συγκεκριμένο σύνολο δεξιοτήτων από τον ειδικό ασφαλείας που προφύλασσε τον οργανισμό-στόχο. Η επιτυχής παραβίαση και εκδιήθηση των δεδομένων από ένα δίκτυο μπορεί να πραγματοποιηθεί μόνο με κοινά και νόμιμα εργαλεία. Μετά την επίθεση, οι εγκληματίες μπορούν να καθαρίσουν όλα τα δεδομένα που θα μπορούσαν να οδηγήσουν στην ανίχνευσή τους χωρίς να αφήσουν κανένα απολύτως ίχνος. Για την αντιμετώπιση αυτών των ζητημάτων, τα εγκληματολογικά στοιχεία που προκύπτουν από τη μνήμη είναι κρίσιμα για την ανάλυση κακόβουλου λογισμικού και των λειτουργιών του. Και όπως αποδεικνύει η περίπτωση μας, μια προσεκτικά κατευθυνόμενη αντιμετώπιση περιστατικών μπορεί να βοηθήσει στην επίλυση ακόμη και του πιο «τέλειου» ψηφιακού εγκλήματος"

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Διστακτικοί οι Έλληνες στον αποχωρισμό των παλιών smartphones τους

29 Ιουνίου 2022 Techgear Team

Διστακτικοί εμφανίζονται οι Έλληνες καταναλωτές στο να «αποχωριστούν» smartphones που δεν χρησιμοποιούν πια, με το 83% των ερωτηθέντων να δηλώνει πως όταν δεν χρησιμοποιεί πλέον ένα smartphone, το αφήνει ...

Samsung: Πρόστιμο $14 εκατ. για λανθασμένους ισχυρισμούς περί αδιαβροχοποίησης

27 Ιουνίου 2022 Christos Elpidis

Από το 2019 η αρμόδια επιτροπή περί Ανταγωνισμού και Καταναλωτών της Αυστραλίας (ACCC) είχε ξεκινήσει μια έρευνα με αφορμή τις διαφημίσεις της Samsung σχετικά με την αδιαβροχοποίηση των συσκευών της. Οι ...

Ηλεκτρονική δωροκάρτα Skroutz: Η νέα υπηρεσία του Skroutz Marketplace

21 Ιουνίου 2022 Techgear Team

Το Skroutz, το #1 marketplace στην Ελλάδα, πιστό στο όραμα του να προσφέρει εκείνες τις λύσεις που κάνουν την online αγοραστική εμπειρία ευχάριστη, γρήγορη και ασφαλή, συστήνει στους καταναλωτές τις ...

Νέο κατάστημα iStorm στην Πάτρα

16 Ιουνίου 2022 Techgear Team

Στο νέο κατάστημα iStorm, το οποίο βρίσκεται στο κέντρο της πόλης, Ρήγα Φεραίου 138 & Φιλοποίμενος, οι καταναλωτές θα έρθουν σε επαφή με το μοναδικό οικοσύστημα της Apple και τις ολοκληρωμένες λύσεις που ...

Οι νέοι της Ελλάδας πρώτοι στην Ευρώπη στην αγορά προϊόντων απομίμησης

08 Ιουνίου 2022 Techgear Team

Περισσότεροι από τους μισούς (52 %) Ευρωπαίους ερωτηθέντες, ηλικίας μεταξύ 15 και 24 ετών, δήλωσαν ότι είχαν αγοράσει τουλάχιστον ένα προϊόν απομίμησης στο διαδίκτυο κατά τη διάρκεια του περασμένου έτους, τόσο ...

Lancom: Νέο Data Center στην Κρήτη

19 Μαΐου 2022 Techgear Team

Η Lancom, πρωτοπόρος εταιρεία παροχής Data Center, Cloud και Τηλεπικοινωνιακών υπηρεσιών στα Βαλκάνια, προχωράει στο επόμενο στάδιο του προγραμματισμένου πλάνου ανάπτυξής της και ανακοινώνει την έναρξη των ...

Bay View: Αυτό είναι το νέο, εντυπωσιακό campus της Google

18 Μαΐου 2022 Christos Elpidis

Χρειάστηκε να περάσουν σχεδόν 10 χρόνια από τότε που έγινε γνωστό πως η Google θα φτιάξει νέο campus (και 6 χρόνια από την έναρξη των εργασιών) για να το δούμε στην ολοκληρωμένη του μορφή. Η εταιρεία ανοίγει τα...

Την Τετάρτη 18 Μαΐου στο Ζάππειο το 5G Conference SΕ Europe 2022

17 Μαΐου 2022 Techgear Team

Το πρώτο συνέδριο στη χώρα μας που αφορά στα κινητά δίκτυα 5ης γενιάς, το 5G Conference Southeastern Europe, διοργανώνεται την ερχόμενη Τετάρτη, 18 Μαΐου στο Ζάππειο Μέγαρο. Στο διεθνές συνέδριο θα ...

Πανελλαδική έρευνα καταναλωτών της ΕΕΤΤ για τη χρήση υπηρεσιών courier

11 Μαΐου 2022 Techgear Team

Πανελλαδική έρευνα με αντικείμενο τη χρήση υπηρεσιών ταχυμεταφοράς δεμάτων και την αποτύπωση της εμπειρίας των καταναλωτών, διενήργησε η ΕΕΤΤ κατά το διάστημα Ιανουαρίου-Μαρτίου 2022. Ειδικότερα, διερευνήθηκαν ...

Apple: Απειλείται με πρόστιμο έως $36.5 δισ. από την ΕΕ λόγω του NFC των iPhone

05 Μαΐου 2022 Christos Elpidis

Συνεχίζεται το κυνήγι της Ευρωπαϊκής Επιτροπής κατά της Apple, καθώς αυτή τη φορά απαιτεί από την εταιρεία να δώσει πρόσβαση στην τεχνολογία NFC των iPhone σε τρίτους προκειμένου να προσφέρει περισσότερες ...

Loader
techgear_icon