קבוצות האקרים ממשיכות בניסיונות גניבה מכספומטים

יום א', 16 באפריל 2017
AMTich – קבוצות האקרים ממשיכות בניסיונות גניבה מכספומטים
 
יום אחד גילו עובדי בנק מסוים כספומט ריק: לא היה כסף, גם לא עקבות של פריצה פיזית למכשיר ולא קוד זדוני. לאחר שמומחי קספרסקי נכנסו לעובי האירוע, הם הצליחו לנתח לא רק את הכלים ששימשו את עברייני הסייבר במהלך השוד, אלא גם שחזרו את ההתקפה עצמה, כשהם מגלים פרצת אבטחה בבנק.
 
באחרונה פרסמה מעבדת קספרסקי תוצאות חקירה שעסקה במתקפה מסתורית "ללא קבצים" כנגד בנקים: העבריינים השתמשו בקוד זדוני in-memory כדי להדביק רשתות בנקאיות.
 
אבל מדוע הם עשו זאת? חקירת AMTich מספקת את התמונה השלמה.
המחקר החל לאחר שמומחי הפורנזיקה של הבנק חילצו  מהדיסק הקשיח של הכספומט שני קבצים שהכילו נתוני לוגים של קוד זדוני (Kl.txt ו- logfile.txt). הקבצים, שהועברו לחוקרי מעבדת קספרסקי, היו היחידים שנותרו אחרי המתקפה: לא ניתן היה לאחזר את קוד ההפעלה הזדוני, מכיוון שלאחר השוד הוא נמחק על ידי הפורצים. אבל גם כמות הנתונים הזעירה שנותרו הספיקה לניהול המחקר.
מחיקה/ ואתחול
בקבצי הלוגים הצליחו מומחי מעבדת קספרסקי לזהות פיסות של נתונים שנכתבו בשפה פשוטה, ואשר סייעו להם ליצור חוק YARA עבור בסיסי נתונים ציבוריים של קוד זדוני.
 
חוקי YARA, בעיקרם מחרוזות חיפוש, מסייעים לאנליסטים למצוא, לקבץ, ולקטלג דוגמיות של קוד זדוני, ולמצוא קווי דימיון ביניהם לבין תבניות של פעילות חשודה במערכות וברשתות שלהם. לאחר ניתוח לא ארוך נמצאה דוגמית הקוד הזדוני – tv.dll או ATMitch. היא זוהתה בשטח פעמיים, פעם בקזחסטן ופעם נוספת ברוסיה.
קוד זדוני זה מותקן מרחוק ומופעל על כספומטים דרך הרשת של הבנק המותקף באמצעות מערכת הניהול מרחוק של מכשירי הכספומט. לאחר שהוא מותקן ומקושר לכספומט, הקוד הזדוני ATMitch מתקשר עם הכספומט כאילו היה תוכנה חוקית. הוא מאפשר לתוקפים לבצע רשימה של פקודות – כגון איסוף מידע אודות מספר השטרות הזמין במחסניות הכספומט. הוא גם מספק לעבריינים את היכולת להוציא את השטרות בכל רגע נתון, בלחיצת כפתור.
בדרך כלל, מתחילים עבריינים באיסוף מידע לגבי כמות הכסף שיש במכשיר. לאחר מכן, העבריין יכול לשלוח פקודה להוציא את כל כמות השטרות מהמחסניות. לאחר משיכת הכסף בדרך זו, נותר לעבריינים רק לקחת את הכסף וללכת. שוד כספומט שכזה אורך מספר שניות בדיוק. ואז, ברגע שכספומט נשדד, הקוד הזדוני מוחק את כל העקבות.
מי שם?
עדיין לא ידוע מי עומד מאחורי ההתקפה. השימוש בקוד פריצה בקוד פתוח, בכלים מוכרים של מערכת חלונות ודומיינים שאינם מוכרים במהלך השלבים הראשונים של המתקפה, מונע כמעט לחלוטין את האפשרות לקבוע מי העומד מאחוריה. עם זאת, קובץ ה- tv.dll שנעשה בו שימוש בשלב הכספומט בהתקפה מכיל מקורות של שפה רוסית, וקבוצות מוכרות שיכולות להתאים לפרופיל שכזה הן Carbanak ו- GCMAN.