Home Công nghệ số Bảo mật Mã độc giúp lấy sạch tiền trong ATM của ngân hàng

Mã độc giúp lấy sạch tiền trong ATM của ngân hàng

SHARE
ransomware

Tội phạm mạng tiếp tục nhắm đến các máy ATM . Vẫn chưa biết được ai đứng đằng sau những vụ này. “tv.dll” được sử dụng trong giai đoạn tấn công ATM chứa các nguồn tiếng Nga, và các nhà điều tra suy đoán chúng có thể là nhóm GCMAN hay Carbanak.

Một ngày các nhân viên ngân hàng phát hiện ra một máy ATM rỗng: không có tiền, không có dấu vết tương tác vật lý với máy, và không mã độc. Sau khi các chuyên gia của dành thời gian để giải quyết trường hợp bí ẩn này, họ phát hiện các công cụ sử dụng trong vụ cướp và tái tạo lại cuộc tấn công.

Sau khi tiền được rút sạch từ máy ATM, toàn bộ dữ liệu và quá trình tấn công bị hacker xóa dấu vết, tuy nhiên các chuyên gia của ngân hàng khôi phục được các bản ghi nhật ký từ ổ cứng của máy ATM (kl.txt và logfile.txt) và chia sẻ với Kaspersky Lab. Đây là các tệp duy nhất còn sót lại sau cuộc tấn công: không thể khôi phục các tệp nguy hiểm vì mạng đã quét sạch mã độc. Nhưng những dữ liệu ít ỏi này cũng đủ để Kaspersky Lab tiến hành điều tra thành công.

Trong các file nhật ký, các chuyên gia từ hãng bảo mật Nga đã tìm, nhóm và phân loại các mẫu mã độc có liên quan và thu thập các kết nối giữa chúng. Sau một ngày chờ đợi, các chuyên gia đã tìm thấy mẫu phần mềm độc hại mong muốn – “tv.dll”, sau đó được đặt tên là ‘ATMitch’.

Phần mềm độc hại này được cài đặt từ xa trên một máy ATM của ngân hàng thông qua cơ chế quản lý các máy ATM từ xa. Sau khi cài đặt và kết nối với máy ATM, mã độc ATMitch liên lạc với máy ATM như thể nó là một phần mềm hợp pháp. Nó cho phép kẻ tấn công thực hiện một số lệnh, ví dụ như thu thập thông tin về số tiền trong ATM.

Hơn thế nữa, nó cung cấp khả năng nhả tiền vào bất cứ lúc nào, chỉ với một nút bấm. Thông thường tội phạm tìm hiểu máy ATM có bao nhiêu tiền. Sau đó, một tên tội phạm có thể gửi lệnh để máy ATM nhả một số tiền bất kỳ. Sau khi rút tiền theo cách kì lạ này, tội phạm mạng chỉ cần lấy tiền và đi. Một vụ cướp ATM như thế này chỉ mất vài giây.

Vẫn chưa biết được ai đứng đằng sau những vụ tấn công này. Việc sử dụng mã khai thác nguồn mở, các tiện ích phổ biến của Windows và các tên miền không xác định trong suốt giai đoạn đầu của quá trình hoạt động khiến việc xác định nhóm chịu trách nhiệm là gần như không thể. Tuy nhiên, mã độc “tv.dll” được sử dụng trong giai đoạn tấn công ATM chứa các nguồn tiếng Nga, và các nhóm được biết đến có thể phù hợp với hồ sơ này là GCMAN và Carbanak.

Theo Sergey Golovanov, nhà nghiên cứu bảo mật tại Kaspersky Lab, cho biết: Những kẻ tấn công này có thể vẫn còn hoạt động. Việc chống lại các cuộc tấn công này đòi hỏi những kĩ năng cụ thể từ các chuyên gia bảo mật để bảo vệ các tổ chức bị nhắm đến. Sau vụ tấn công, bọn tội phạm có thể quét sạch tất cả dữ liệu có thể dẫn đến việc phát hiện ra chúng. Để giải quyết những vấn đề này, pháp lý bộ nhớ trở nên vô cùng quan trọng đối với việc phân tích phần mềm độc hại và các chức năng của nó.