«Лаборатория Касперского» по обращению одного из банков провела расследование новой кибератаки, в ходе которой злоумышленники опустошали банкоматы.
На первый взгляд, ситуация выглядела безнадёжной: следов физического повреждения или заражения банкомата вредоносными ПО не было заметно, а в банковской корпоративной сети свидетельства взлома обнаружить не удавалось.
И всё же специалисты смогли извлечь из жёсткого диска опустошённого банкомата два файла, которые содержали записи о вредоносном программном обеспечении. Все остальные следы кибератаки злоумышленники уничтожили.
При помощи специальных поисковых механизмов и алгоритмов эксперты обнаружили образец зловреда под названием ATMitch. Выяснилось, что с помощью этого вредоносного ПО были ограблены банки в России и Казахстане.
Зловред ATMitch устанавливался и запускался в банкоматах удалённо из заражённой корпоративной сети банка. Непосредственно в банкомате ATMitch вёл себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.
Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент. Причём весь процесс ограбления занимал считанные секунды. Сначала злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого отдавалась команда на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. По окончании операции вредоносная программа самоудалялась из банкомата.
Более подробно о проведённом расследовании можно узнать здесь.
Источник: 3DNews