Hackeri ukradli 800 000 dolárov z bankomatov za použitia FileLess Malware
Falošná stránka Finančnej správy Slovenskej republiky
1. marca 2017
Čudo Správy 7
30. apríla 2017
Hackeri v Rusku zaútočili na 8 bankomatov z ktorých za jednu noc vytiahli zhruba 800 00 dolárov, no to akým spôsobom to spravili je zatiaľ ukryté pod rúškom tajomstva. Záznamy z bezpečnostných kamier ukazujú páchateľa ako len pristupuje k bankomatu a vyberá peniaze bez toho, aby sa vôbec dotkol bankomatu.
Dokonca ani postihnuté banky nedokázali nájsť nijakú stopu po útoku ani žiadny malware. Jedinú stopu našiel bankový špecialista na pevnom disku bankomatu a tou sú dva súbory, logy (záznamy) vírusu. V záznamoch našli dva procesné stringy s frázami „Take the money bitch“ a „Dispense Success“.
Tieto dve stopy stačili odborníkom z firmy Kaspersky, ktorí vyšetrujú útoky na to, aby hrozbu identifikovali. Vo februári informovali o útočníkoch, ktorý úspešne napadli zhruba 140 spoločností, medzi ktorými sa nachádzajú banky, telekomunikačné spoločnosti a rôzne vládne organizácie v Spojených štátoch Amerických a Európe. Podarilo sa im to za pomoci „FileLess Malware“ (nekopíruje sa a ani nevytvára ďalšie súbory, útočí rovno na bežiace procesy v pamäti), ktorý úž dávnejšie Kaspersky našli a informovali o ňom.
Malware prezývaný ATMitch, spozorovaný v Kazachstane a Rusku je vzdialene inštalovaný a spustený na bankomate cez administračný modul na vzdialené ovládanie, čo dáva hackerovi možnosť vytvoriť SSH tunel (sieťové tunelovanie je technika používaná v počítačových sieťach, ktorá pre prenos jedného alebo viacerých sieťových spojení používa iné sieťové spojenie, čím sa dá napr. obísť administračné obmedzenie určitej siete), vypustiť malware a odoslať príkazy na vyberanie hotovosti.
Nakoľko Fileless Malware pri útoku používa legitímne nástroje, ktoré sa nachádzajú v mašine (v bankomate), žiadny malware nie je potrebné inštalovať do systému, nakoľko tento škodlivý kód berie mašina ako legitímny softvér, dovoľujúc vzdialenému operátorovi (hackerovi) poslať potrebné príkazy v okamžiku, kedy sa nachádza pri bankomate, aby si vyzdvihol hotovosť, nakoľko celá táto parádička trvá len niekoľko sekúnd a keď je dokonané (v bankomate už nie sú žiadne peniaze), operátor (hacker) sa odhlási a zanechá len naozaj malinkú stopu (to čo ste čítali na začiatku článku), teda ak vôbec nejakú. Aby si niekto nemyslel, že hacknúť bankomat je také jednoduché, tak je takýto útok možný len ak útočník vytvorí tunel naskrz back-end sieťou banky a tento proces vyžaduje naozaj riadnu skúsenosť v prieniku do sietí.
Hackeri stojaci za týmito útokmi sú zatiaľ neznámi, ale kódovanie znakov poukazuje na ruský jazyk a taktika, technika... vlastne celkové prevedenie poukazuje na bankové gangy Carbanak (požičali si už okolo miliardy dolárov) a GCMAN. Ďalším Fileless Malware útokom je DNSMessanger, ktorý používa DNS dopyty na riadenie skodlivých príkazov v PowerShell, ktorý sa nachádza na infikovaných počítačoch.
Zdroj: The Hacker News
Tieto dve stopy stačili odborníkom z firmy Kaspersky, ktorí vyšetrujú útoky na to, aby hrozbu identifikovali. Vo februári informovali o útočníkoch, ktorý úspešne napadli zhruba 140 spoločností, medzi ktorými sa nachádzajú banky, telekomunikačné spoločnosti a rôzne vládne organizácie v Spojených štátoch Amerických a Európe. Podarilo sa im to za pomoci „FileLess Malware“ (nekopíruje sa a ani nevytvára ďalšie súbory, útočí rovno na bežiace procesy v pamäti), ktorý úž dávnejšie Kaspersky našli a informovali o ňom.
Malware prezývaný ATMitch, spozorovaný v Kazachstane a Rusku je vzdialene inštalovaný a spustený na bankomate cez administračný modul na vzdialené ovládanie, čo dáva hackerovi možnosť vytvoriť SSH tunel (sieťové tunelovanie je technika používaná v počítačových sieťach, ktorá pre prenos jedného alebo viacerých sieťových spojení používa iné sieťové spojenie, čím sa dá napr. obísť administračné obmedzenie určitej siete), vypustiť malware a odoslať príkazy na vyberanie hotovosti.
Nakoľko Fileless Malware pri útoku používa legitímne nástroje, ktoré sa nachádzajú v mašine (v bankomate), žiadny malware nie je potrebné inštalovať do systému, nakoľko tento škodlivý kód berie mašina ako legitímny softvér, dovoľujúc vzdialenému operátorovi (hackerovi) poslať potrebné príkazy v okamžiku, kedy sa nachádza pri bankomate, aby si vyzdvihol hotovosť, nakoľko celá táto parádička trvá len niekoľko sekúnd a keď je dokonané (v bankomate už nie sú žiadne peniaze), operátor (hacker) sa odhlási a zanechá len naozaj malinkú stopu (to čo ste čítali na začiatku článku), teda ak vôbec nejakú. Aby si niekto nemyslel, že hacknúť bankomat je také jednoduché, tak je takýto útok možný len ak útočník vytvorí tunel naskrz back-end sieťou banky a tento proces vyžaduje naozaj riadnu skúsenosť v prieniku do sietí.
Hackeri stojaci za týmito útokmi sú zatiaľ neznámi, ale kódovanie znakov poukazuje na ruský jazyk a taktika, technika... vlastne celkové prevedenie poukazuje na bankové gangy Carbanak (požičali si už okolo miliardy dolárov) a GCMAN. Ďalším Fileless Malware útokom je DNSMessanger, ktorý používa DNS dopyty na riadenie skodlivých príkazov v PowerShell, ktorý sa nachádza na infikovaných počítačoch.
Zdroj: The Hacker News
