Alex Rădescu

Conectează-te prin mine

Cum poate fi jefuit un bancomat fără nicio urmă

Cum poate fi jefuit un bancomat fără nicio urmă

Totul pare subiect de film: intr-o zi, angajații unei bănci au găsit un ATM gol. Nu mai exista niciun ban, nici nu se vedeau urmele vreunei interacțiuni fizice cu dispozitivul sau ale vreunui program malware.

Cei de la Kaspersky au preluat cazul, au studiat problema si au ajuns la urmtoarele concluzii…

Investigația a început după ce specialiștii băncii au recuperat și distribuit către Kaspersky Lab două fișiere conținând înregistrări malware de pe hard drive-ul ATM-urilor (kl.txt și logfile.txt). Acestea au fost singurele fișiere rămase în urma atacului. Nu a fost posibilă recuperarea malware-ului, deoarece, după efectuarea jafului, infractorii l-au șters. Dar chiar și această cantitate infimă s-a dovedit suficientă pentru o investigație de succes.

Ștergere/ derulare

Printre fișierele-jurnal, experții Kaspersky Lab au reușit să identifice fragmente de informații în plain text care i-au ajutat să creeze o regulă Yara și să găsească o mostră. Regulile YARA – simplificat, șiruri de caractere de căutare – îi ajută pe analiști să găsească, să grupeze, să clasifice mostre de malware similare și să creeze conexiuni între ele. Acestea se bazează pe tipare de activitate suspecte în cadrul unor sisteme sau rețele ce prezintă similitudini.

După o zi de așteptare, experții au găsit o mostră de malware: “tv.dll” sau ”ATMitch”, cum a fost denumită mai târziu. Aceasta a fost detectată de două ori: o dată în Kazahstan și o dată în Rusia.

Programul malware este instalat de la distanță și pus în executare pe un bancomat al băncii vizate, care este administrat remote. După ce este instalat și conectat la ATM, malware-ul ”ATMitch” comunică cu bancomatul ca și cum ar fi un program legitim. Acest lucru face posibil ca atacatorii să pună în aplicare o listă de comenzi, cum ar fi să colecteze informații despre numărul bancnotelor din ATM-uri. Mai mult, le permite infractorilor să retragă bani la orice oră, doar prin atingerea unui buton.

În general, infractorii încep prin a afla informații despre suma de bani pe care un aparat o are. După aceasta, un infractor poate să trimită o comandă pentru a scoate orice număr de bancnote, de la orice bancomat. După ce retrag banii în acest mod, infractorii nu mai trebuie decât să îi ia și să plece. Un jaf de acest gen la un ATM durează doar câteva secunde.

O dată ce un ATM este jefuit, malware-ul îi șterge urmele

Încă nu se știe cine este în spatele atacurilor. Utilizarea exploit-urilor open source, a utilitarelor din Windows și a domeniilor necunoscute, în timpul primei etape a operațiunii, face aproape imposibilă aflarea grupului responsabil. Însă, “tv.dll”, folosit în faza ATM a atacului, conține elemente de limbă rusă, iar grupurile cunoscute care par să corespundă acestui profil sunt GCMAN și Carbanak.

Leave a Reply

Your email address will not be published. Required fields are marked *