Izmeklēta noslēpumaina naudas pazušana no bankas automātiem, Kaspersky Lab eksperti atšķetinājuši laupīšanu un nonākuši uz pēdām labi sagatavotam kibergrupējumam, aiz kura, iespējams, stāv krievvalodīgie uzbrucēji no skandalozajām grupām GCMAN un Carbanak, vēsta kiberdrošības uzņēmums.
Reiz bankas darbinieki atraduši tukšu bankas automātu: nauda no tā bijusi pazudusi, bet fizisku bojājumu vai inficēšanās ar ļaunprogrammatūru pēdas nebija manāmas. Arī bankas korporatīvajā tīklā ielaušanās pēdas netika konstatētas.
Izmeklēšanas sākumā Kaspersky Lab speciālistu rīcībā bija tikai divas datnes, kas iegūtas no iztukšotā bankas automāta cietā diska: tajās bija pieraksti par ļaunprogrammatūru, ar kuru bija inficēta ierīce. Visas pārējās liecības par kiberuzbrukumu uzbrucēji bija tālredzīgi izdzēsuši, par situāciju skaidro uzņēmuma eksperti.
«Bija ļoti grūti no šī materiāla atjaunot ļaunprogrammatūru paraugus, tomēr eksperti spēja atdalīt no teksta plūsmas vajadzīgo informāciju un, pamatojoties uz to, izstrādāja YARA noteikumus – tie ir meklēšanas mehānismi, kas palīdz identificēt un kategorizēt noteiktus ļaunprogrammatūru paraugus un atrast saikni starp tiem,» stāsta kiberdrošības uzņēmuma pārstāvji.
Pēc YARA noteikumu izstrādes Kaspersky Lab eksperti ir atraduši ļaunprogrammatūras paraugu, kam tika piešķirts nosaukums ATMitch. Analīze parādīja, ka, izmantojot šo ļaunprogrammatūru, ir aplaupītas bankas Krievijā un Kazahstānā.
Ļaunprogrammatūra ATMitch bankas automātos tika attālināti instalēta un palaista no inficēta bankas korporatīvā tīkla: «To viegli ļāva izdarīt finanšu iestāžu izmantotie bankas automātu attālās uzraudzības rīki. Pašā bankas automātā ļaunprogrammatūra uzvedās kā likumīga programmatūra un izpildīja ierīcei pilnīgi parastas komandas un darbības, piemēram, pieprasīja informāciju par banknošu skaitu kasetēs,» komentē eksperti.
Par kiberuzbrukuma detaļām vēsta uzņēmums: «Kad uzbrucēji bija ieguvuši kontroli pār bankas automātu, viņi jebkurā laikā varēja no tā izņemt naudu, burtiski piespiežot tikai vienu pogu. Parasti laupīšana sākās ar to, ka uzbrucēji pieprasīja informāciju par naudas daudzumu skaidras naudas izsniegšanas iekārtā. Pēc tam kibernoziedznieks nosūtīja komandu izsniegt jebkādu skaitu banknošu no jebkuras kasetes. Tad tikai atlika pieiet pie bankas automāta, paņemt naudu un pazust. Tādējādi viss laupīšanas process iekļāvās dažās sekundēs. Pēc operācijas ļaunprogrammatūra pašizdzēsās no bankas automāta.»
«Visticamāk, grupējums joprojām ir aktīvs, taču tas nav iemesls panikai. Lai apkarotu šādus kiberuzbrukumus, cietušās organizācijas informācijas drošības speciālistam ir vajadzīgas īpašas zināšanas un prasmes. Pirmām kārtām ir jāatceras, ka uzbrucēji izmanto ierastus likumīgos rīkus, bet pēc uzbrukuma rūpīgi izdzēš visas pēdas, kas varētu liecināt par viņu klātbūtni sistēmā. Tāpēc, lai atrisinātu problēmu, ir jāpievērš pastiprināta uzmanība atmiņas izpētei, kur visbiežāk arī slēpjas ATMitch,» starptautiskajā kiberdrošības konferencē Security Analyst Summit sacījis Kaspersky Lab galvenais antivīrusu eksperts Sergejs Golovanovs.
Ref: 225.000.103.545