Byla napadena více jak stovka bank a finančních institucí po celém světě – 2. díl

Nyní přišla druhá fáze útoku, která navazuje na první fázi z února, a která vyvrcholila tím, že se útočníkům podařilo z několika bankomatů během jedné jediné noci vybrat 800 000 USD.

Na bankovních počítačích, z kterých byl příkaz k vydání hotovosti odeslán, se žádný malware nenašel a jedinou stopou tak byl log, ve kterém se nacházely jen dva záznamy: „Take the Money Bitch!“ a „Dispense Success.“

Poté, co útočníci úspěšně napadli počítač na vnitřní síti a umístili na něm bezsouborový malware a vybudovali si bezpečné spojení s C&C serverem, došlo následně ke stažení výkonného kódu malwaru pojmenovaného ATMitch a jeho vzdálené instalaci a spuštění na bankomatu přes RDP. Tento malware pak umožňoval poslat řídící jednotce bankomatu instrukce k vydání veškeré hotovosti.

Typ bankomatu, na nějž bylo možné vzdáleně nainstalovat škodlivý kód, nebyl zveřejněn. Můžeme jen hádat, že se nejspíš jednalo o Windows XP, i když verze OS zde hraje celkem nepodstatnou roli. Jedno je jisté, v okamžiku, kdy se útočníkům podaří dostat bezsouborový malware na počítač banky a dostat se k takovému, z kterého je možné bankomaty vzdáleně ovládat, je konec.

Další techniky, jako že se jedná o bezsouborový malware, že se maximálně využívá nativních nástrojů samotného OS k navázání bezpečné komunikace s C&C, šifrování veškerých přenášených dat a jejich obfuskace, stejně jako mazání stop např. pomocí utility sdelete, je podružné.

To podstatné, tedy jak probíhal samotný APT útok, a jaký byl přesně vektor tohoto útoku, tj. zda bylo zneužito spolupráce někoho zevnitř anebo došlo k průniku kombinací technik sociálního inženýrství, spear phishingu, watering hole a zneužití nějaké zranitelnosti nultého dne, nevíme.

Stejně tak nevíme, zda byly od sebe odděleny jednotlivé sítě banky, nejspíš ne, když byl možný lateral movement, jak probíhala autentizace operátora banky, asi jen jednofaktorově. Těch otázek bez odpovědí, je spousta.

Jedno je jisté, bezsouborový malware využívající nativních prostředků samotného systému a obcházejících tak tradiční antimalware řešení, bude přibývat a jeho detekce tak bude čím dál obtížnější.

Více informací ohledně tohoto útoku najdete zde.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,


K článku “Byla napadena více jak stovka bank a finančních institucí po celém světě – 2. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: