Κυβερνοεπίθεση σε ΑΤΜ από κακόβουλο λογισμικό

​Μια μέρα, τραπεζικοί υπάλληλοι ανακάλυψαν ένα άδειο ΑΤΜ: δεν υπήρχαν χρήματα, ούτε κανένα ίχνος φυσικής αλληλεπίδρασης με το μηχάνημα, ούτε κάποιο κακόβουλο λογισμικό.

Αφού οι ειδικοί της Kaspersky Lab πέρασαν αρκετό χρόνο ερευνώντας αυτή τη μυστηριώδη περίπτωση, ήταν σε θέση όχι μόνο να κατανοήσουν τα εργαλεία του ψηφιακού εγκλήματος που χρησιμοποιήθηκαν για τη ληστεία, αλλά και να αναπαραγάγουν την επίθεση οι ίδιοι, ανακαλύπτοντας μια παραβίαση

Το Φεβρουάριο του 2017, η Kaspersky Lab δημοσίευσε τα αποτελέσματα μιας έρευνας σχετικά με μυστηριώδεις fileless επιθέσεις εναντίον τραπεζών: εγκληματίες χρησιμοποιούσαν κακόβουλο λογισμικό που επιτίθεται στη μνήμη για να «μολύνει» τραπεζικά δίκτυα. Αλλά γιατί να το κάνουν αυτό; Η υπόθεση “ATMitch” μας έδωσε τη συνολική εικόνα.

Η έρευνα ξεκίνησε αφού οι ειδικοί εγκληματολογικής έρευνας της τράπεζας ανάκτησαν και μοιράστηκαν με την Kaspersky Lab δύο αρχεία που περιλάμβαναν αρχεία καταγραφής κακόβουλου λογισμικού από το σκληρό δίσκο του ΑΤΜ (kl.txt και LogFile.txt). Αυτά ήταν τα μόνα αρχεία που είχαν απομείνει μετά την επίθεση: δεν ήταν δυνατό να ανακτηθούν τα κακόβουλα εκτελέσιμα αρχεία γιατί οι ψηφιακοί εγκληματίες είχαν εξαφανίσει το κακόβουλο λογισμικό μετά τη ληστεία. Αλλά ακόμη και αυτός ο μικρός αριθμός δεδομένων κατέστη αρκετός για να πραγματοποιήσει η Kaspersky Lab μια επιτυχημένη έρευνα.

Εντός των αρχείων καταγραφής, οι ειδικοί της Kaspersky Lab ήταν σε θέση να προσδιορίσουν τα κομμάτια των πληροφοριών σε μορφή απλού κειμένου, δυνατότητα η οποία τους βοήθησε να δημιουργήσουν έναν κανόνα YARA για τη δημόσια αποθήκευση κακόβουλου λογισμικού και να βρουν ένα δείγμα. Οι κανόνες YARA – βασικές στοιχειοσειρές αναζήτησης – βοηθούν τους αναλυτές να βρίσκουν, να ομαδοποιούν και να κατηγοριοποιούν τα σχετικά δείγματα κακόβουλου λογισμικού και να δημιουργούν συνδέσεις μεταξύ τους με βάση τα πρότυπα της ύποπτης δραστηριότητας σε συστήματα ή δίκτυα που έχουν ομοιότητες.

Έπειτα από μια μέρα αναμονής, οι ειδικοί βρήκαν ένα επιθυμητό δείγμα κακόβουλου λογισμικού – «tv.dll», ή «ATMitch», όπως ονομάστηκε αργότερα. Αυτό εντοπίστηκε ελεύθερο δύο φορές: μία στο Καζακστάν και μία στη Ρωσία.

Αυτό το κακόβουλο λογισμικό εγκαταστάθηκε και εκτελέστηκε εξ αποστάσεως σε ένα ΑΤΜ μέσα από την τράπεζα-στόχο: μέσω της απομακρυσμένης διαχείρισης των μηχανημάτων ΑΤΜ. Μετά την εγκατάστασή του και τη σύνδεσή του με το ΑΤΜ, το κακόβουλο λογισμικό ATMitch επικοινωνεί με το ΑΤΜ καθώς είναι ένα νόμιμο λογισμικό. Αυτό δίνει τη δυνατότητα στους επιτιθέμενους να εκτελούν μια λίστα εντολών, όπως η συλλογή πληροφοριών σχετικά με τον αριθμό των χαρτονομισμάτων σε κασέτες του ΑΤΜ. Επιπλέον, παρέχει στους εγκληματίες τη δυνατότητα να διανέμουν τα χρήματα ανά πάσα στιγμή, με το πάτημα ενός κουμπιού.

Συνήθως, οι εγκληματίες ξεκινούν λαμβάνοντας πληροφορίες σχετικά με το χρηματικό ποσό που διαθέτει ένα μηχάνημα. Μετά από αυτό, ένας εγκληματίας μπορεί να στείλει εντολή διανομής οποιουδήποτε αριθμού χαρτονομισμάτων από οποιαδήποτε κασέτα. Έπειτα από την ανάληψη χρημάτων με αυτόν τον περίεργο τρόπο, οι εγκληματίες χρειάζεται μόνο να αρπάξουν τα χρήματα και να φύγουν. Μια ληστεία ATM όπως αυτή διαρκεί μόλις λίγα δευτερόλεπτα!

Μόλις πραγματοποιηθεί η ληστεία στο ΑΤΜ, το κακόβουλο λογισμικό διαγράφει τα ίχνη του.

Δεν είναι ακόμα γνωστό ποιος βρίσκεται πίσω από τις επιθέσεις. Η χρήση ανοιχτού exploit κώδικα, κοινών βοηθητικών προγραμμάτων των Windows και άγνωστων περιοχών κατά το πρώτο στάδιο της λειτουργίας του, καθιστούν σχεδόν αδύνατο να προσδιοριστεί ο υπεύθυνος της ομάδας. Ωστόσο, το «tv.dll», που χρησιμοποιείται στο ΑΤΜ στάδιο της επίθεσης περιέχει ρωσόφωνη πηγή, και γνωστές ομάδες που θα μπορούσαν να ταιριάξουν σε αυτό το προφίλ είναι οι GCMAN και Carbanak.