W lutym 2017 r. Kaspersky Lab opublikował wyniki badania odnośnie tajemniczych ataków na banki, które nie pozostawiały po sobie żadnych śladów: do infekowania sieci bankowych przestępcy wykorzystywali szkodliwe programy rezydujące wyłącznie w pamięci. Przeanalizowanie przypadku bankomatów pozwoliło zobrazować przyczyny takich działań.
Badanie rozpoczęto po tym, gdy śledczym działającym na zlecenie banku udało się odzyskać z dysku twardego bankomatu dwa pliki zawierające dzienniki zdarzeń szkodliwego programu (kl.txt i logfile.txt), które następnie udostępniono firmie Kaspersky Lab. Były to jedyne pliki, które pozostały po ataku: nie można było przywrócić szkodliwych plików wykonywalnych, ponieważ po kradzieży cyberprzestępcy wyczyścili swoje ślady. Jednak nawet tak mała ilość danych wystarczyła firmie Kaspersky Lab do przeprowadzenia skutecznego śledztwa.
Cofnięcie wymazania
W plikach zawierających dzienniki zdarzeń eksperci z Kaspersky Lab zidentyfikowali szczątki informacji w postaci tekstowej, dzięki czemu mogli utworzyć regułę YARA z myślą o publicznych repozytoriach szkodliwych programów, a następnie wyszukać żądaną próbkę. Reguły YARA to ciągi, które umożliwiają analitykom wyszukanie, zgrupowanie i skategoryzowanie próbek powiązanych ze sobą szkodliwych programów. W dalszej kolejności możliwe jest naszkicowanie powiązań pomiędzy nimi na podstawie wzorów podejrzanej aktywności zarejestrowanej w systemach lub sieciach, między którymi istnieją podobieństwa.
W kolejnym dniu eksperci znaleźli poszukiwaną próbkę szkodliwego programu — „tv.dll”, którą nazwano później „ATMitch”. Została ona dostrzeżona na wolności dwukrotnie: w Kazachstanie i Rosji.
Ten szkodliwy program jest zdalnie instalowany i wykonywany w bankomacie, z sieci atakowanego banku: przy użyciu urządzeń służących do zdalnego zarządzania bankomatami. Po zainstalowaniu i połączeniu się z bankomatem, ATMitch komunikuje się z nim, udając oryginalny program do zarządzania. Umożliwia to atakującym wydawanie dowolnych poleceń, na przykład gromadzenie informacji o liczbie banknotów znajdujących się w kasetach bankomatu. Co więcej, przestępcy mogą wypłacać pieniądze w dowolnym czasie — w tym celu muszą tylko wcisnąć przycisk.
Na początku przestępcy zazwyczaj zbierają informacje na temat kwoty dostępnej w kasecie. Następnie wysyłają polecenie wypłaty dowolnej liczby banknotów z dowolnej kasety maszyny. Po wypłaceniu pieniędzy w ten osobliwy sposób zabierają pieniądze i oddalają się. Taka kradzież z bankomatu trwa zaledwie kilka sekund.
Po okradzeniu bankomatu szkodliwy program usuwa ślady swojej obecności.
Kto za tym stoi?
Wciąż nie wiadomo, kto stoi za omawianymi atakami. Fakt, że w pierwszym etapie tego ataku użyto ogólnodostępnego szkodliwego programu wykorzystującego podatności w systemach ofiary (tzw. exploit), powszechnych narzędzi systemu Windows oraz nieznanych domen, sprawia, że wytypowanie grupy jest niemal niemożliwe. Jednak plik „tv.dll” wykorzystywany do zainfekowania bankomatu zawiera źródła w języku rosyjskim, a spośród grup znanych ekspertom z Kaspersky Lab do tego wzorca pasują GCMAN i Carbanak.
Atakujący mogą wciąż być aktywni, jednak nie ma powodów do paniki. Zwalczanie takich ataków wymaga od specjalistów ds. bezpieczeństwa strzeżących atakowaną organizację określonych umiejętności. Pomyślne włamanie i wydobycie danych z sieci można przeprowadzić tylko przy użyciu powszechnych i legalnych narzędzi, a po ataku przestępcy mogą wymazać wszystkie dane, które mogłyby pomóc w zidentyfikowaniu ich, wobec czego nie pozostawiają po sobie żadnych śladów. W rozwiązaniu tego problemu kluczową rolę pełni analiza kryminalistyczna pamięci, w ramach której możliwe jest zbadanie szkodliwego programu i jego funkcji. Jak pokazał nam ten przypadek, precyzyjnie ukierunkowana odpowiedź na incydenty może pomóc w rozwiązaniu nawet perfekcyjnie przygotowanej cyberzbrodni — powiedział Siergiej Golowanow, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Źródło: Kaspersky Lab.