Hakeri ukrali 800.000 dolara sa bankomata pomoću malvera bez fajla!

Na kamerama se videla jedna osoba koja prilazi bankomatu i uzima novac bez dodirivanja bankomata.

Hakeri ukrali 800.000 dolara sa bankomata pomoću malvera bez fajla!

Hakeri su za samo jedno veče ukrali 800.000 dolara sa 8 bankomata u Rusiji! Međutim, metod koji su koristili je u početku bio misterija za istraživače s obzirom na to da se na kamerama mogla videti jedna osoba koja prilazi bankomatu i uzima novac bez dodirivanja bankomata. Ni banke čiji su bankomati nisu mogle da pronađu nikakav trag da postoji malver u bankomatima i u povezanoj mreži niti bilo kakav znak upada u sistem. Jedino što je istraživač jedne od banaka pronašao u hard disku bankomata su dva fajla koji sadrže logove malvera. Log fajlovi su sadržali dva procesna niza sa frazama: „Uzmi novac, kuč**!“ i „Podeli uspeh“.

Ovaj mali trag je bio dovoljan da se kasnije otkrije šta stoji iza napada – malver bez fajla. U februaru ove godine otkriveno je da je ovom metodom pogođeno preko 140 velikih organizacija, uključujući banke, telekomunikacione kompanije i vladine organizacije u SAD-u, Evropi i u još nekim delovima sveta.

Malver bez fajla koji je korišćen za napade postoji samo u memoriji (RAM-u) zaraženog bankomata, a ne na hard disku.

Detalji napada na bankomate malverom bez fajla

Malver nosi ime ATMitch, a ranije je primećen u Kazahstanu i Rusiji. Ubacuje se sa udaljene lokacije i izvršava na bankomatu pomoću udaljenog administratorskog modula koji daje hakerima mogućnost da naprave SSH tunel, ubace malver i pošalju komandu bankomatu da izbaci gotovinu. Malver bez fajla koristi postojeće legitimne alate kako ne bi došlo do instaliranja malvera u sistem i zbog toga bankomat tretira ovaj maliciozni kod kao legitiman softver i dopušta slanje komande sa udaljene lokacije u momentu kada je saradnik napadača fizički prisutan kod bankomata kako bi pokupio novac. Operacija traje svega nekoliko sekundi i napadač, odnosno njegov saradnik na terenu nema potrebe da bilo šta ukucava na samom uređaju. Kada se bankomat isprazni, saradnik odlazi sa novcem, a gotovo da ne ostaju nikakvi tragovi da je u pitanju malver.

Treba dodati i to da je ova operacija moguća samo ako napadač dobije pristup mreži banke u kojoj je umrežen bankomat. U pitanju je proces koji zahteva sofisticirane veštine upada u mrežu.

Veoma precizna operacija fizičkog upada u bankomat

Direktno otvaranje panela bankomata može pokrenuti alarm. Zato su napadači osmislili veoma preciznu tehniku fizičkog upada u bankomat tako što su probušili rupu veličine golf loptice na prednjem panelu kako bi dobili direktan pristup cash dispenser panelu pomoću serial distributed control (SDC RS485 standard) žice. Ovaj metod je otkriven postupkom obrnutog inženjeringa koji su istraživači sproveli nakon hapšenja čoveka koji je bušio rupu na bankomatu u sred bela dana kako bi ubacio maliciozne komande i aktivirao cash dispenser. Čovek je bio obučen kao građevinski radnik, a kod sebe je imao laptop, kablove i malu kutiju.

Ovakvi napadi su se već dešavali u Rusiji i Evropi. Za sada ostaje nepoznanica koja hakerska grupa stoji iza ovakvih napada. Međutim, kodiranje koje je korišćeno u napadima ima reference ruskog jezika, a taktike, tehnike i procedure imaju sličnosti sa onima koje su Carbanak grupa i GCMAN grupa koristili u pljačkanju banaka.

Izvor: thehackernews.com