En dag upptäckte några bankanställda att en av företagets bankomater hade tömts på pengar. Det fanns inga sedlar alls kvar, inga spår av något fysiskt intrång i maskinen och inte heller spår av skadlig kod.
Kaspersky Labs experter kopplades in för att försöka gå till botten med detta mystiska fall, för att förstå hur nätbrottslingarna gått tillväga, men också för att kunna återskapa attacken, bara för att upptäcka att en säkerhetsöverträdelse gjorts internt på banken.
I februari 2017 publicerade Kaspersky Lab resultatet av utredningen kring de mystiska fillösa bankattackerna. Där framkom att brottslingarna använt sig av skadlig kod i minnesenheter för att infektera bankens nätverk. Men, varför gjorde de detta? Fallet ATMitch ger oss hela bilden.
Undersökningen inleddes efter att bankens kriminaltekniska specialister hade kunnat återskapa och förse Kaspersky Lab med två filer (kl.txt och logfile.txt) som innehöll loggar från bankomatens hårddisk. Detta var det enda som fanns kvar efter attacken, eftersom brottslingarna hade raderat de filer som använts under attacken. Men, även denna lilla mängd data var tillräcklig för att Kaspersky Lab skulle kunna genomföra en utredning.
Radera, spola tillbaka
I loggfilerna kunde Kaspersky Labs experter identifiera bitar av information i klartext, som hjälpte dem att skapa en YARA-regel för att kunna söka i arkivet för skadlig kod. YARA-regler är i grund och botten söksträngar som hjälper analytiker att hitta, gruppera och kategorisera olika typer av skadlig kod som kan vara relaterade till varandra, och ur detta kunna hitta mönster för misstänkt aktivitet i system och nätverk, som liknar varandra.
Efter en dags ledande hittade experterna ett exempel på typen av skadlig kod de letade efter – “tv.dll”, eller ’ATMitch’ som den senare döptes till. Typen hade tidigare bara identifierats två gånger, en gång i Kazakstan, och en gång i Ryssland.
Den skadliga koden hade fjärrinstallerats på bankomaten inifrån banken, genom att använda det fjärrstyrda administrationssystemet för bankomaten. Efter installationen kunde ATMitch kommunicera med bankomaten som om den var en tillåten programvara. Det gör det möjligt för angriparna att genomföra en rad olika kommandon, som att hämta information om antalet sedlar i maskinen. Det gjorde det också möjligt för de kriminella att ta ut pengar när som helst, bara genom att trycka på en knapp.
I vanliga fall börjar de kriminella med att samla information om mängden sedlar i automaten. Sen kan de kriminella skicka ett kommando för att ta ut hur många sedlar de vill från vilken sedelkassett som helst i automaten. Efter att ha tagit ut pengar på detta underliga sätt, behöver brottslingarna bara ta sedlarna och gå. Denna typ av rån tar bara några sekunder!
När en bankomat är tömd, raderar den skadliga koden sig själv och alla spår av den är borta.
Vem där?
Ingen vet ännu vem eller vilka som ligger bakom attackerna. Användandet av öppen källkod för angreppen, vanliga Windows-verktyg och okända domäner under den första delen av angreppet gör det nästan omöjligt att avgöra vilka som är ansvariga. Men, den “tv.dll”, som användes i attacken innehåller delar på ryska, och grupper som skulle kunna passa in på profilen är GCMAN och Carbanak.
¾ Angriparna kan fortfarande vara aktiva. Men, ingen panik! Att bekämpa dessa typer av attacker kräver att säkerhetsspecialisterna som säkrar verksamheten har en viss typ av kompetens. Lyckade brott och intrång kan bara göras med vanliga och legitima verktyg. Efter attacken utplånar de kriminella allt som kan lämna spår och leda till att de blir upptäckta. För att adressera detta blir det allt viktigare att minneskriminaltekniker är inblandade i analysen av skadlig kod och dess funktioner. Och som vårt fall visar, kan en noggrant riktad incidenthantering hjälpa till att lösa även det perfekta cyberbrottet, säger Sergey Golovanov, senior säkerhetsforskare på Kaspersky Lab.