Izmeklēta noslēpumaina naudas pazušana no bankomātiem

TVNET
CopyLinkedIn Draugiem X
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Foto: Evija Trifanova/LETA

Reiz bankas darbinieki atrada tukšu bankas automātu: nauda no tā bija pazudusi, bet fizisku bojājumu vai inficēšanās ar ļaunprogrammatūru pēdas nebija manāmas. Arī bankas korporatīvajā tīklā ielaušanās pēdas netika konstatētas. Šīs šķietami bezcerīgās lietas izmeklēšanā banka lūdza palīdzību Kaspersky Lab. Uzņēmuma eksperti ne tikai spēja atšķetināt šo laupīšanu, bet arī nonāca uz pēdām jaunam, labi sagatavotam kibergrupējumam, aiz kura, iespējams, stāv krievvalodīgie uzbrucēji no skandalozajām grupām GCMAN un Carbanak.

Materiāls tapis sadarbībā ar Kaspersky Lab.

Izmeklēšanas sākumā speciālistu rīcībā bija tikai divas datnes, kas iegūtas no iztukšotā bankas automāta cietā diska: tajās bija pieraksti par ļaunprogrammatūru, ar kuru bija inficēta ierīce. Visas pārējās liecības par kiberuzbrukumu uzbrucēji bija tālredzīgi izdzēsuši. Bija ļoti grūti no šā materiāla atjaunot ļaunprogrammatūru paraugus, tomēr eksperti spēja atdalīt no teksta plūsmas vajadzīgo informāciju un, pamatojoties uz to, izstrādāja YARA noteikumus — tie ir meklēšanas mehānismi, kas palīdz identificēt un kategorizēt noteiktus ļaunprogrammatūru paraugus un atrast saikni starp tiem.

Jau nākamajā dienā pēc YARA noteikumu izstrādes eksperti atrada to, ko meklēja, — ļaunprogrammatūras paraugu, kam tika piešķirts nosaukums ATMitch. Analīze parādīja, ka, izmantojot šo ļaunprogrammatūru, ir aplaupītas bankas Krievijā un Kazahstānā.

Ļaunprogrammatūra ATMitch bankas automātos tika attālināti instalēta un palaista no inficēta bankas korporatīvā tīkla: to viegli ļāva izdarīt finanšu iestāžu izmantotie bankas automātu attālās uzraudzības rīki. Pašā bankas automātā ļaunprogrammatūra uzvedās kā likumīga programmatūra un izpildīja ierīcei pilnīgi parastas komandas un darbības, piemēram, pieprasīja informāciju par banknošu skaitu kasetēs.

Kad uzbrucēji bija ieguvuši kontroli pār bankas automātu, viņi jebkurā laikā varēja no tā izņemt naudu, burtiski piespiežot tikai vienu pogu. Parasti laupīšana sākās ar to, ka uzbrucēji pieprasīja informāciju par naudas daudzumu skaidras naudas izsniegšanas iekārtā. Pēc tam kibernoziedznieks nosūtīja komandu izsniegt jebkādu skaitu banknošu no jebkuras kasetes. Tad tikai atlika pieiet pie bankas automāta, paņemt naudu un pazust. Tādējādi viss laupīšanas process iekļāvās dažās sekundēs. Pēc operācijas ļaunprogrammatūra pašizdzēsās no bankas automāta.

«Visticamāk, grupējums joprojām ir aktīvs, taču tas nav iemesls panikai. Lai apkarotu šādus kiberuzbrukumus, cietušās organizācijas informācijas drošības speciālistam ir vajadzīgas īpašas zināšanas un prasmes. Pirmām kārtām ir jāatceras, ka uzbrucēji izmanto ierastus likumīgos rīkus, bet pēc uzbrukuma rūpīgi izdzēš visas pēdas, kas varētu liecināt par viņu klātbūtni sistēmā. Tāpēc, lai atrisinātu problēmu, ir jāpievērš pastiprināta uzmanība atmiņas izpētei, kur visbiežāk arī slēpjas ATMitch,» starptautiskajā kiberdrošības konferencē Security Analyst Summit sacīja Kaspersky Lab galvenais antivīrusu eksperts Sergejs Golovanovs.

KomentāriCopyLinkedIn Draugiem X
Svarīgākais
Uz augšu