Atacurile “fileless” sau cum poate fi jefuit un bancomat fara nicio urma – totul se intampla in cateva secunde

Povestile de la Kaspersky Security Analyst Summit 2017 continua. Intr-o zi, angajatii unei banci au gasit un ATM gol: nu mai exista niciun ban, nici nu se vedeau urmele vreunei interactiuni fizice cu dispozitivul sau ale vreunui program malware.

In februarie 2017, Kaspersky Lab a publicat rezultatele investigatiei asupra misterioaselor atacuri fara niciun fisier (“fileless”) impotriva bancilor: infractorii au folosit in-memory malware ca sa infecteze retelele bancilor.

Investigatia a inceput dupa ce specialistii bancii au recuperat si distribuit catre Kaspersky Lab doua fisiere continand inregistrari malware de pe hard drive-ul ATM-urilor (kl.txt si logfile.txt). Acestea au fost singurele fisiere ramase in urma atacului. Nu a fost posibila recuperarea malware-ului, deoarece, dupa efectuarea jafului, infractorii l-au sters. Dar chiar si aceasta cantitate infima de informatie s-a dovedit suficienta pentru a afla unde a fost bresa de securitate.

Printre fisierele-jurnal, expertii Kaspersky Lab au reusit sa identifice fragmente de informatii in plain text care i-au ajutat sa creeze o regula Yara si sa gaseasca o mostra. Regulile YARA – simplificat, siruri de caractere de cautare – ii ajuta pe analisti sa gaseasca, sa grupeze, sa clasifice mostre de malware similare si sa creeze conexiuni intre ele. Acestea se bazeaza pe tipare de activitate suspecte in cadrul unor sisteme sau retele ce prezinta similitudini.

Dupa o zi de asteptare, expertii au gasit o mostra de malware: „tv.dll” sau ”ATMitch”, cum a fost denumita mai tarziu. Aceasta a fost detectata de doua ori: o data in Kazahstan si o data in Rusia.

Programul malware este instalat de la distanta si pus in executare pe un bancomat al bancii vizate, care este administrat remote. Dupa ce este instalat si conectat la ATM, malware-ul ”ATMitch” comunica cu bancomatul ca si cum ar fi un program legitim. Acest lucru face posibil ca atacatorii sa puna in aplicare o lista de comenzi, cum ar fi sa colecteze informatii despre numarul bancnotelor din ATM-uri. Mai mult, le permite infractorilor sa retraga bani la orice ora, doar prin atingerea unui buton.

In general, infractorii incep prin a afla informatii despre suma de bani pe care un aparat o are. Dupa aceasta, un infractor poate sa trimita o comanda pentru a scoate orice numar de bancnote, de la orice bancomat. Dupa ce retrag banii in acest mod, infractorii nu mai trebuie decat sa ii ia si sa plece. Un jaf de acest gen la un ATM dureaza doar cateva secunde. O data ce un ATM este jefuit, malware-ul ii sterge urmele.

Inca nu se stie cine este in spatele atacurilor. Utilizarea exploit-urilor open source, a utilitarelor din Windows si a domeniilor necunoscute, in timpul primei etape a operatiunii, face aproape imposibila aflarea grupului responsabil. Insa, „tv.dll”, folosit in faza ATM a atacului, contine elemente de limba rusa, iar grupurile cunoscute care par sa corespunda acestui profil sunt GCMAN si Carbanak.

”S-ar putea ca atacatorii sa fie activi inca, dar nu va ingrijorati! Combaterea acestor tipuri de atacuri necesita anumite cunostinte din partea specialistilor in securitate care protejeaza organizatia vizata”, spune Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.

“O bresa reusita si extragerea informatiilor dintr-o retea pot sa fie efectuate doar cu instrumente comune si legitime; dupa atac, infractorii pot sa stearga toate informatiile care ar conduce la detectarea lor si sa nu lase nicio urma. Pentru a raspunde acestor probleme, analiza memoriei devine o parte critica din analiza malware-ului si a functiilor sale. Si, asa cum dovedeste cazul nostru, un raspuns eficient la incident poate sa contribuie chiar si la rezolvarea unei infractiuni cibernetice aparent perfecte. ”

Compania precizeaza ca produsele Kaspersky Lab detecteaza operatiunile folosind tacticile, tehnicile si procedurile de mai sus.