Cyberprzestępcy wypłacali pieniądze z bankomatów. Nie pozostawili śladów

Śledczym działającym na zlecenie banku udało się odzyskać z dysku twardego bankomatu dwa pliki zawierające dzienniki zdarzeń szkodliwego programu (kl.txt i logfile.txt), które następnie udostępniono firmie Kaspersky Lab. Były to jedyne pliki, które pozostały po ataku: nie można było przywrócić szkodliwych plików wykonywalnych, ponieważ po kradzieży cyberprzestępcy wyczyścili swoje ślady. Jednak nawet tak mała ilość danych wystarczyła do przeprowadzenia skutecznego śledztwa.

W plikach zawierających dzienniki zdarzeń eksperci zidentyfikowali szczątki informacji w postaci tekstowej, dzięki czemu mogli utworzyć regułę YARA z myślą o publicznych repozytoriach szkodliwych programów, a następnie wyszukać żądaną próbkę. Reguły YARA to ciągi, które umożliwiają analitykom wyszukanie, zgrupowanie i skategoryzowanie próbek powiązanych ze sobą szkodliwych programów. W dalszej kolejności możliwe jest naszkicowanie powiązań pomiędzy nimi na podstawie wzorów podejrzanej aktywności zarejestrowanej w systemach lub sieciach, między którymi istnieją podobieństwa.

W kolejnym dniu eksperci znaleźli poszukiwaną próbkę szkodliwego programu - „tv.dll”, którą nazwano później „ATMitch”. Została ona dostrzeżona na wolności dwukrotnie: w Kazachstanie i Rosji.

Ten szkodliwy program jest zdalnie instalowany i wykonywany w bankomacie, z sieci atakowanego banku: przy użyciu urządzeń służących do zdalnego zarządzania bankomatami. Po zainstalowaniu i połączeniu się z bankomatem, ATMitch komunikuje się z nim, udając oryginalny program do zarządzania. Umożliwia to atakującym wydawanie dowolnych poleceń, na przykład gromadzenie informacji o liczbie banknotów znajdujących się w kasetach bankomatu. Co więcej, przestępcy mogą wypłacać pieniądze w dowolnym czasie — w tym celu muszą tylko wcisnąć przycisk.

Na początku przestępcy zazwyczaj zbierają informacje na temat kwoty dostępnej w kasecie. Następnie wysyłają polecenie wypłaty dowolnej liczby banknotów z dowolnej kasety maszyny. Po wypłaceniu pieniędzy w ten osobliwy sposób zabierają pieniądze i oddalają się. Taka kradzież z bankomatu trwa zaledwie kilka sekund.

Po okradzeniu bankomatu szkodliwy program usuwa ślady swojej obecności.

Wciąż nie wiadomo, kto stoi za omawianymi atakami. Fakt, że w pierwszym etapie tego ataku użyto ogólnodostępnego szkodliwego programu wykorzystującego podatności w systemach ofiary (tzw. exploit), powszechnych narzędzi systemu Windows oraz nieznanych domen, sprawia, że wytypowanie grupy jest niemal niemożliwe. Jednak plik „tv.dll” wykorzystywany do zainfekowania bankomatu zawiera źródła w języku rosyjskim, a spośród grup znanych ekspertom do tego wzorca pasują GCMAN i Carbanak.

- Atakujący mogą wciąż być aktywni, jednak nie ma powodów do paniki. Zwalczanie takich ataków wymaga od specjalistów ds. bezpieczeństwa strzegących atakowaną organizację określonych umiejętności. Pomyślne włamanie i wydobycie danych z sieci można przeprowadzić tylko przy użyciu powszechnych i legalnych narzędzi, a po ataku przestępcy mogą wymazać wszystkie dane, które mogłyby pomóc w zidentyfikowaniu ich, wobec czego nie pozostawiają po sobie żadnych śladów. W rozwiązaniu tego problemu kluczową rolę pełni analiza kryminalistyczna pamięci, w ramach której możliwe jest zbadanie szkodliwego programu i jego funkcji. Jak pokazał nam ten przypadek, precyzyjnie ukierunkowana odpowiedź na incydenty może pomóc w rozwiązaniu nawet perfekcyjnie przygotowanej cyberzbrodni - powiedział Siergiej Golowanow, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.