מתקפות סייבר
האקרים רוקנו כספומט, אבל השאירו מאחור שני קבצים
יום אחד גילו עובדי בנק מסוים כספומט ריק: לא היה כסף, גם לא עקבות של פריצה פיזית למכשיר ולא קוד זדוני. רק שני קבצים קטנים שנשכחו מאחור הספיקו למומחי קספרסקי למקד את החיפוש ולפתור את תעלומת ההיעלמות.
המחקר החל לאחר שמומחי הפורנזיקה של הבנק חילצו מהדיסק הקשיח של הכספומט שני קבצים שהכילו נתוני לוגים של קוד זדוני (Kl.txt ו- logfile.txt). הקבצים, שהועברו לחוקרי מעבדת קספרסקי, היו היחידים שנותרו אחרי המתקפה: לא ניתן היה לאחזר את קוד ההפעלה הזדוני, מכיוון שלאחר השוד הוא נמחק על ידי הפורצים. אבל גם כמות הנתונים הזעירה שנותרו הספיקה לניהול המחקר.
בקבצי הלוגים הצליחו מומחי מעבדת קספרסקי לזהות פיסות של נתונים שנכתבו בשפה פשוטה, ואשר סייעו להם ליצור חוק YARA עבור בסיסי נתונים ציבוריים של קוד זדוני. חוקי YARA, בעיקרם מחרוזות חיפוש, מסייעים לאנליסטים למצוא, לקבץ, ולקטלג דוגמיות של קוד זדוני, ולמצוא קווי דימיון ביניהם לבין תבניות של פעילות חשודה במערכות וברשתות שלהם. לאחר ניתוח לא ארוך נמצאה דוגמית הקוד הזדוני – tv.dll או ATMitch. היא זוהתה בשטח פעמיים, פעם בקזחסטן ופעם נוספת ברוסיה.
קוד זדוני זה מותקן מרחוק ומופעל על כספומטים דרך הרשת של הבנק המותקף: באמצעות מערכת הניהול מרחוק של מכשירי הכספומט. לאחר שהוא מותקן ומקושר לכספומט, הקוד הזדוני ATMitch מתקשר עם הכספומט כאילו היה תוכנה חוקית. הוא מאפשר לתוקפים לבצע רשימה של פקודות – כגון איסוף מידע אודות מספר השטרות הזמין במחסניות הכספומט. הוא גם מספק לעבריינים את היכולת להוציא את השטרות בכל רגע נתון, בלחיצת כפתור.
בדרך כלל, מתחילים עבריינים באיסוף מידע לגבי כמות הכסף שיש במכשיר. לאחר מכן, העבריין יכול לשלוח פקודה להוציא את כל כמות השטרות מהמחסניות. לאחר משיכת הכסף בדרך זו, נותר לעבריינים רק לקחת את הכסף וללכת. שוד כספומט שכזה אורך מספר שניות בדיוק. ואז, ברגע שכספומט נשדד, הקוד הזדוני מוחק את כל העקבות.
מי שם?
עדיין לא ידוע מי עומד מאחורי ההתקפה. השימוש בקוד פריצה בקוד פתוח, בכלים מוכרים של מערכת חלונות ודומיינים שאינם מוכרים במהלך השלבים הראשונים של המתקפה, מונע כמעט לחלוטין את האפשרות לקבוע מי העומד מאחוריה. עם זאת, קובץ ה- tv.dll שנעשה בו שימוש בשלב הכספומט בהתקפה מכיל מקורות של שפה רוסית, וקבוצות מוכרות שיכולות להתאים לפרופיל שכזה הן Carbanakו- GCMAN.
"ייתכן והתוקפים עדיין פעילים. אבל בלי פאניקה! לחימה בסוג זה של התקפות דורשת מערך יכולות של מקצועני אבטחה השומרים על הארגון המותקף. הפריצה המוצלחת וחילוץ הנתונים יכול להתבצע רק באמצעות כלים נפוצים ולגיטימיים. לאחר ההתקפה, עבריינים עלולים למחוק את כל הנתונים אשר יכולים להוביל לזיהויים, והם אינם משאירים עקבות. שום דבר. כדי לטפל בבעיה זו, פורנזיקה של זיכרון הופכת לחלק חשוב בניתוח של קוד זדוני ושל יכולותיו. כפי שהמקרה שבידינו מוכיח, תגובה מנוהלת היטב של אירוע יכולה לסייע לפתור אפילו פשע סייבר שהוכן בקפידה", אמר סרגיי גולבנוב, חוקר אבטחה ראשי במעבדת קספרסקי.