اكتشاف طريقة سرقة أجهزة الصراف الآلي دون ترك أثر

  • 5/6/2017
  • 00:00
  • 16
  • 0
  • 0
news-picture

اكتشف موظفو أحد البنوك في يوم ما جهاز الصراف الآلي فارغاً؛ حيث لم يكن به أية أموال، ولا توجد آثار لهجوم فعلي على الجهاز، ولا برمجيات خبيثة، وبعد أن قضى خبراء كاسبرسكي لاب وقتاً لفك طلاسم هذه الحالة الغامضة، لم يستطيعوا معرفة الأدوات التي استخدمها مجرمو الإنترنت في السرقة فقط، ولكن تمكنوا أيضاً من معاودة الهجوم بأنفسهم على جهاز الصراف الآلي، واكتشفوا اختراقاً أمنياً في ذلك البنك.في شهر فبراير 2017 نشرت كاسبرسكي لاب نتائج التحقيق الذي أجرته حول الهجمات الغامضة ضد البنوك، والتي لم تترك وراءها أي أثر، كان المجرمون يستخدمون البرمجيات الخبيثة التي تهاجم ذاكرة النظام المصرفي، وتصيب الشبكات المصرفية، ولكن لماذا كانوا يفعلون ذلك؟ والإجابة الكاملة على هذا التساؤل نجده في حادثة «ATMitch» التي توضح الصورة الكاملة. بدأ التحقيق بعد أن حصل اختصاصيو المعمل الجنائي في البنك على ملفين يحتويان على سجلات للبرمجيات الخبيثة من القرص الصلب الخاص بجهاز الصراف الآلي «kl.txt و logfile.txt» بالتعاون مع كاسبرسكي لاب. كانت هذه هي الملفات الوحيدة التي تركها المهاجمون بعد الهجوم، ولم يكن من الممكن الوصول إلى البرمجيات الخبيثة القابلة للتنفيذ؛ وذلك لأن مجرمي الإنترنت قد قاموا بعد السرقة بمسح ملفات البرمجيات الخبيثة، ولكن مع ذلك كان هذا الكم القليل من البيانات كافياً لكاسبرسكي لاب لإجراء تحقيق ناجح. استهداف وقال محمد أمين حسبيني -باحث أمني أول في كاسبرسكي لاب-: «توصلت كاسبرسكي لاب إلى أن الهجمات قد استهدفت أكثر من 140 شبكة لشركات تنشط في عدد من مختلف قطاعات الأعمال، وقد شمل عدد الإصابات الإجمالي 40 دولة تركّزت في الشرق الأوسط، وتركيا، وإفريقيا، من ضمنها تركيا، والمملكة العربية السعودية، وإيران، وليبيا، وباكستان، وتونس، والمغرب، ومصر، وكينيا، وأوغندا، والكونغو، وتنزانيا. كما تم الإبلاغ عن هجمات «ATMich» في بلدين اثنين فقط حتى الآن، ولكن يبقى هناك احتمال بأن المهاجمين قد لا يزالون نشطين، وبدورنا ننصح الشركات بالتحقق من أنظمتها، مع الأخذ في الاعتبار أن بإمكانهم الكشف عن هذا الهجوم في ذاكرة الوصول العشوائي «RAM» والشبكة والسجل، وبالتالي فإن استخدام أنظمة «Yara» الصارمة القائمة على المسح الاستقصائي للملفات المصابة بالبرمجيات الخبيثة لن يكون مجدياً. وللحؤول دون حصول مثل هذه الهجمات، ننصح بتثبيت برنامج الأمن الشامل، وأود الإشارة إلى أن منتجات كاسبرسكي لاب قد تمكنت بنجاح من الكشف عن عصابات إلكترونية تستخدم تكتيكات من هذا النوع». مسح / استرجاع الملفات من خلال ملفات السجل، تمكن خبراء كاسبرسكي لاب من التعرف على أجزاء من المعلومات في صيغة نص عادي مما ساعدهم على إنشاء قاعدة «YARA» التي تستخدم لفحص الملفات المشبوهة بمصادر البرمجيات الخبيثة العامة، وتمكنوا من العثور على عينة، وتساعد قواعد «YARA» المكونة من سلاسل بحث، المحللين في إيجاد وجمع وتصنيف عينات البرمجيات الخبيثة ذات الصلة، ورسم الروابط التي تربط بينها على أساس أنماط النشاط المشبوه في النظم، أو الشبكات التي تشترك في سمات، وخصائص متشابهة. بعد يوم من الانتظار وجد الخبراء عينة من البرمجيات الخبيثة المطلوبة - «tv.dll»، أو «ATMitch» كما أطلق عليها لاحقاً، وقد رصدت هذه البرمجيات مرتين حول العالم، مرة في كازاخستان، ومرة أخرى في روسيا. ومن خلال إدارة أجهزة الصراف الآلي عن بعد، يتم تثبيت هذه البرمجيات الخبيثة عن بعد وتنفيذها على جهاز صراف آلي من داخل البنك المستهدف، وبعد تثبيتها وتوصيلها إلى أجهزة الصراف الآلي، فإن البرمجية الخبيثة «ATMitch» تتواصل مع أجهزة الصراف الآلي كما لو أنها برامج نظامية، مما يتيح للمهاجمين إصدار مجموعة من الأوامر مثل جمع معلومات عن عدد الأوراق النقدية في خزينة جهاز الصراف الآلي، بل أكثر من ذلك، فإن هذه البرمجية تمكن المهاجمين من صرف المال في أي وقت بلمسة زر واحدة. معلومات عادة ما يبدأ المهاجم بالحصول على معلومات عن كمية المال المودعة في جهاز الصراف الآلي، وبعد ذلك يمكن للمهاجم أن يرسل أمراً لصرف أي عدد من الأوراق النقدية من خزينة أي جهاز، وبعد سحب المال بهذه الطريقة الغريبة، كل ما يحتاجه المهاجم هو الاستيلاء على المال فقط والفرار به، ولا تستغرق عملية مثل هذه لسرقة جهاز صراف آلي إلا بضعة ثوان.! وبمجرد الانتهاء من عملية سرقة جهاز الصراف الآلي، تقوم البرمجية الخبيثة بإزالة أي أثر لها. من هم المهاجمون؟ لم يُعرف بعدُ من هم المهاجمون الذين يقفون وراء تلك الهجمات، وإن استغلال رمز استخدام المصدر المفتوح، ومرافق نظام ويندوز المشتركة، واستخدام نطاقات غير معروفة خلال المرحلة الأولى من العملية يجعل من المستحيل تقريباً تحديد المجموعة المسؤولة عن الهجوم، ومع ذلك فقد كانت برمجيات «tv.dll» المستخدمة في مرحلة جهاز الصراف الآلي من الهجوم تحتوي على مصدر باللغة الروسية، والمجموعات المعروفة التي يمكن أن تتناسب مع هذه المواصفات هي مجموعات «GCMAN» و»Carbanak».;

مشاركة :