Atklāta noslēpumaina naudas pazušana no bankomātiem

Izmeklēšanas sākumā speciālistu rīcībā bija tikai divas datnes, kas iegūtas no iztukšotā bankas automāta cietā diska: tajās bija pieraksti par ļaunprogrammatūru, ar kuru bija inficēta ierīce. Visas pārējās liecības par kiberuzbrukumu uzbrucēji bija tālredzīgi izdzēsuši. Bija ļoti grūti no šī materiāla atjaunot ļaunprogrammatūru paraugus, tomēr eksperti spēja atdalīt no teksta plūsmas vajadzīgo informāciju un, pamatojoties uz to, izstrādāja YARA noteikumus — tie ir meklēšanas mehānismi, kas palīdz identificēt un kategorizēt noteiktus ļaunprogrammatūru paraugus un atrast saikni starp tiem.

Jau nākamajā dienā pēc YARA noteikumu izstrādes eksperti atrada to, ko meklēja — ļaunprogrammatūras paraugu, kam tika piešķirts nosaukums ATMitch. Analīze parādīja, ka, izmantojot šo ļaunprogrammatūru, ir aplaupītas bankas Krievijā un Kazahstānā.

Ļaunprogrammatūra ATMitch bankas automātos tika attālināti instalēta un palaista no inficēta bankas korporatīvā tīkla: to viegli ļāva izdarīt finanšu iestāžu izmantotie bankas automātu attālās uzraudzības rīki. Pašā bankas automātā ļaunprogrammatūra uzvedās kā likumīga programmatūra un izpildīja ierīcei pilnīgi parastas komandas un darbības, piemēram, pieprasīja informāciju par banknošu skaitu kasetēs.

Kad uzbrucēji bija ieguvuši kontroli pār bankas automātu, viņi jebkurā laikā varēja no tā izņemt naudu, burtiski piespiežot tikai vienu pogu. Parasti laupīšana sākās ar to, ka uzbrucēji pieprasīja informāciju par naudas daudzumu skaidras naudas izsniegšanas iekārtā. Pēc tam kibernoziedznieks nosūtīja komandu izsniegt jebkādu skaitu banknošu no jebkuras kasetes. Tad tikai atlika pieiet pie bankas automāta, paņemt naudu un pazust. Tādējādi viss laupīšanas process iekļāvās dažās sekundēs. Pēc operācijas ļaunprogrammatūra pašizdzēsās no bankas automāta.

«Visticamāk, grupējums joprojām ir aktīvs, taču tas nav iemesls panikai. Lai apkarotu šādus kiberuzbrukumus, cietušās organizācijas informācijas drošības speciālistam ir vajadzīgas īpašas zināšanas un prasmes. Pirmām kārtām ir jāatceras, ka uzbrucēji izmanto ierastus likumīgos rīkus, bet pēc uzbrukuma rūpīgi izdzēš visas pēdas, kas varētu liecināt par viņu klātbūtni sistēmā. Tāpēc, lai atrisinātu problēmu, ir jāpievērš pastiprināta uzmanība atmiņas izpētei, kur visbiežāk arī slēpjas ATMitch,» starptautiskajā kiberdrošības konferencē Security Analyst Summit sacīja antivīrusu eksperts Sergejs Golovanovs.

Foto: ilustratīvs

TOP Komentāri

avatar