18.04.2017

Téměř dokonalá bankovní loupež

Scénář jako zkopírovaný ze starých westernových filmů, lupiči jen vyměnili punčochy a bambitky za supermoderní nevystopovatelný malware.

Cover 20

Vše začalo v červnu minulého roku, kdy si jednoho dne zaměstnanci nejmenované ruské banky ráno po příchodu do práce všimli, že z jejich bankomatů náhle zmizelo přibližně $800,000, tedy zhruba 20 milionů korun. Bezpečnostní tým banky prohledal fyzické prostředí okolo bankomatů i vnitřní bankovní síť, nenašel však žádnou stopu po útoku. Bankomaty nevykazovaly známky vniknutí, manipulace s přístrojem ani na nich nebyly nalezeny podezřelé otisky prstů. Také jak software bankomatů tak vnitřní bankovní síť fungovaly bez problémů, na discích nebyly žádné škodlivé soubory nebo známky nestandardní aktivity.

Jediným potvrzením, že se vůbec jednalo o loupež, byl zapomenutý textový soubor, který obsahoval řádek “Catch some money, bitch!”, a záznam z bezpečnostních kamer. Bankomat na nich začal v jednu chvíli z ničeho nic vydávat peníze. Během okamžiku přišel člověk, peníze vzal a odešel. S případem se tým banky obrátil na GReAT, výzkumný tým z laboratoří Kaspersky. Těm se i s takto minimálním množstvím informací povedlo danou záhadu rozlousknout a o celém případu nyní přednesli na konferenci Security Analyst Summit.

Sergey Golovanov a Igor Soumenkov, zastupující tým GReAT, ve své přednášce “Live in the ATM malware trenches” popsali celý postup své práce i rekonstrukci celé loupeže. Klíčovým prvkem byla skutečnost, že zmíněný malware používal stále stejné textové řetězce. Výzkumníci tedy využili speciální nástroj YARA, kterým daný textový řetězec porovnali s databází již známých vzorků malwaru. Tím byli schopni získat funkční vzorek škodlivého kódu a jeho analýzou zpětně určit průběh celé loupeže.


Útočníci nejprve využili dobře známé zranitelnosti jedné z komponent bankovního systému. Pro tuto zranitelnost již v době provedení loupeže existovala záplata, zmíněný bankovní systém však bohužel nebyl dostatečně aktualizovaný. Klasická chyba. Tímto do systému dostali škodlivý kód, který jim dále umožňoval vzdálený přístup k bankovnímu systému. Stačilo jim tedy touto vytvořenou cestou nahrát další malware, který zařídil vydávání peněz a po uskutečnění loupeže po sobě zametl všechny stopy.
Více na blog.kaspersky.com

Kam dál?