Rút tiền bí ẩn đằng sau các máy ATM

14:2710/04/2017

(ĐTTD) Các chuyên gia của Kaspersky Lab vừa công bố kết quả điều tra vụ tấn công bí mật vào các ngân hàng trong tháng 2 vừa qua.

Nhóm tội phạm mạng đã sử dụng mã độc trong bộ nhớ để xâm nhập vào mạng lưới ngân hàng. Và vụ ATMitch đã cho chúng ta hiểu toàn bộ bức tranh.

Điều tra vụ việc ngay sau khi các chuyên gia pháp lý của ngân hàng khôi phục và chia sẻ hai tệp chứa các bản ghi phần mềm độc hại từ ổ cứng của máy ATM (kl.txt và logfile.txt) với các chuyên gia của Kaspersky Lab.

Đây là các tệp duy nhất còn sót lại sau cuộc tấn công. Nhưng những dữ liệu ít ỏi này cũng đủ để Kaspersky Lab tiến hành điều tra thành công. Mẫu phần mềm độc hại được tìm thấy sau đó được đặt tên là ‘ATMitch’

Phần mềm độc hại này được cài đặt và thực hiện từ xa trên một máy ATM của ngân hàng bị tấn công, thông qua việc quản lý các máy ATM từ xa. Sau khi cài đặt và kết nối với máy ATM, mã độc ATMitch liên lạc với máy ATM như thể nó là một phần mềm hợp pháp. Nó cho phép kẻ tấn công thực hiện một số lệnh, ví dụ như thu thập thông tin về số tiền trong ATM. Hơn thế nữa, nó cung cấp khả năng phân phát tiền vào bất cứ lúc nào, chỉ với một nút bấm.

Thông thường bọn tội phạm sẽ bắt đầu bằng cách lấy thông tin về số tiền mà một máy đang có. Sau đó, một tên tội phạm có thể gửi một lệnh để phân phát một số tiền mặt bất kỳ từ massette của ATM. Sau khi rút tiền theo cách kì lạ này, tội phạm mạng chỉ cần lấy tiền và đi. Một vụ cướp ATM như thế này chỉ mất vài giây!

Vậy ai đứng đằng sau các cuộc tấn công từ ATM này?

Hiện chưa biết được ai đứng đằng sau những vụ tấn công này. Việc sử dụng mã khai thác nguồn mở, các tiện ích phổ biến của Windows và các tên miền không xác định trong suốt giai đoạn đầu của quá trình hoạt động khiến việc xác định nhóm chịu trách nhiệm là gần như không thể. Tuy nhiên, mã độc “tv.dll” được sử dụng trong giai đoạn tấn công ATM chứa các nguồn tiếng Nga, và các nhóm được biết đến có thể phù hợp với hồ sơ này là GCMAN và Carbanak.

Hiện nay các sản phẩm của Kaspersky Lab đã phát hiện thành công các hoạt động sử dụng các phương thức, kĩ thuật này. Thông tin có tại Securelist.com.

ĐTTD





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • DTTD