كيف يمكن للقراصنة سرقة أجهزة الصرافة الآلية دون ترك أي أثر

كاسبرسكيتكشفكيفيمكنللقراصنةسرقةأجهزةالصرافةالآليةدونتركأيأثر

بواسطةأحمدالخضربتاريخ Apr 30, 2017 10:44 pm

البوابةالعربيةللأخبارالتقنية

 

اكتشفموظفوأحدالبنوكفييومماجهازالصرافالآليفارغًاحيثلميكنبهأيةأموال،ولاتوجدآثارلهجومفعليعلىالجهاز،ولابرمجياتخبيثة. بعدأنقضىخبراء كاسبرسكيلابوقتًالفكطلاسمهذهالحالةالغامضة،لميستطيعوامعرفةالأدواتالتياستخدمهامجرموالإنترنتفيالسرقةفقط،ولكنتمكنواأيضًامنمعاودةالهجومبأنفسهمعلىجهازالصرافالآلي،واكتشفوااختراقًاأمنيًافيذلكالبنك.

وفيشهرشباط/فبراير 2017 نشرتكاسبرسكيلاب نتائجالتحقيق الذيأجرتهبشأنالهجماتالغامضةعلىالبنوكوالتيلمتتركوراءهاأيأثر: كانالمجرمونيستخدمونالبرمجياتالخبيثةالتيتهاجمذاكرةالنظامالمصرفيوتصيبالشبكاتالمصرفية. ولكنلماذاكانوايفعلونذلك؟والإجابةالكاملةعلىهذاالتساؤلتوجدفيحادثة ATMitch التيتوضحالصورةالكاملة.

بدأالتحقيقبعدأنحصلمختصوالمعملالجنائيفيالبنكعلىملفينيحتويانعلىسجلاتللبرمجياتالخبيثةمنالقرصالصلبالخاصبجهازالصرافالآلي kl.txt و logfile.txt بالتعاونمعكاسبرسكيلاب. كانتهذههيالملفاتالوحيدةالتيتركهاالمهاجمونبعدالهجومولميكنمنالممكنالوصولإلىالبرمجياتالخبيثةالقابلةللتنفيذ،وذلكلأنمجرميالإنترنتقدقاموابعدالسرقةبمسحملفاتالبرمجياتالخبيثة،ولكنمعذلككانهذاالكمالقليلمنالبياناتكافيًالكاسبرسكيلابلإجراءتحقيقناجح.

وقالمحمدأمينحسبيني،باحثأمنيأولفيكاسبرسكيلاب،توصلتكاسبرسكيلابإلىأنالهجماتقداستهدفتأكثرمن 140 شبكةلشركاتتنشطفيعددمنمختلفقطاعاتالأعمال. وقدشملعددالإصاباتالإجمالي 40 دولةتركّزتفيالشرقالأوسطوتركياوأفريقيا،منضمنهاتركياوالمملكةالعربيةالسعوديةوإيرانوليبياوباكستانوتونسوالمغربومصروكينياوأوغنداوالكونغووتنزانيا. كماتمالإبلاغعنهجمات ATMich فيبلديناثنينفقطحتىالآن،ولكنيبقىهناكاحتمالبأنالمهاجمينقدلايزالوننشطين.

وأضافحسبيني: “وبدورنا،ننصحالشركاتبالتحققمنأنظمتها،معالأخذفيالاعتبارأنبإمكانهمالكشفعنهذاالهجومفيذاكرةالوصولالعشوائي RAM والشبكةوالسجل،وبالتالي،فإناستخدامأنظمة Yara الصارمةالقائمةعلىمسحالاستقصائيللملفاتالمصابةبالبرمجياتالخبيثةلنيكونمجديًا. وللحؤولدونحصولمثلهذهالهجمات،ننصحبتثبيتبرنامجالأمنالشامل. وأودالإشارةإلىمنتجاتكاسبرسكيلابقدتمكنتبنجاحمنالكشفعنعصاباتإلكترونيةتستخدمتكتيكاتمنهذاالنوع”.

مسح / استرجاعالملفات

منخلالملفاتالسجل،تمكنخبراءكاسبرسكيلابمنالتعرفعلىأجزاءمنالمعلوماتفيصيغةنصعاديمماساعدهمعلىإنشاءقاعدة YARA التيتستخدملفحصالملفاتالمشبوهةبمصادرالبرمجياتالخبيثةالعامةوتمكنوامنالعثورعلىعينة. وتساعدقواعد YARA- المكونةمنسلاسلبحثالمحللينفيإيجادوجمعوتصنيفعيناتالبرمجياتالخبيثةذاتالصلةورسمالروابطالتيتربطبينهاعلىأساسأنماطالنشاطالمشبوهفيالنظمأوالشبكاتالتيتشتركفيسماتوخصائصمتشابهة.

وبعديوممنالانتظار،وجدالخبراءعينةمنالبرمجياتالخبيثةالمطلوبة – tv.dll،أو ATMitch كماأطلقعليهالاحقًا. وقدرصدتهذهالبرمجياتمرتينحولالعالم: مرةفيكازاخستان،ومرةأخرىفيروسيا.

ومنخلالإدارةأجهزةالصرافالآليعنبعد،يتمتثبيتهذهالبرمجياتالخبيثةعنبعدوتنفيذهاعلىجهازصرافآليمنداخلالبنكالمستهدف. بعدتثبيتهاوتوصيلهاإلىأجهزةالصرافالآلي،فإنالبرمجيةالخبيثة ATMitch تتواصلمعأجهزةالصرافالآليكمالوأنهابرامجنظامية،ممايتيحللمهاجمينإصدارمجموعةمنالأوامرمثلجمعمعلوماتعنعددالأوراقالنقديةفيخزينةجهازالصرافالآلي،بلأكثرمنذلك،فإنهذهالبرمجيةتمكنالمهاجمينمنصرفالمالفيأيوقتبلمسةزرواحدة.

عادةمايبدأالمهاجمبالحصولعلىمعلوماتعنكميةالمالالمودعةفيجهازالصرافالآلي. بعدذلك،يمكنللمهاجمأنيرسلأمرًالصرفأيعددمنالأوراقالنقديةمنخزينةأيجهاز. بعدسحبالمالبهذهالطريقةالغريبة،كلمايحتاجهالمهاجمهوالاستيلاءعلىالمالفقطوالفراربه. لاتستغرقعمليةمثلهذهلسرقةجهازصرافآليإلابضعةثوانٍ! وبمجردالانتهاءمنعمليةسرقةجهازالصرافالآلي،تقومالبرمجيةالخبيثةبإزالةأيأثرلها.

منهمالمهاجمون؟

لميُعرفبعدمنهمالمهاجمونالذينيقفونوراءتلكالهجمات. إناستغلالرمزاستخدامالمصدرالمفتوح،ومرافقنظامويندوزالمشتركةواستخدامنطاقاتغيرمعروفةخلالالمرحلةالأولىمنالعمليةيجعلمنالمستحيلتقريبًاتحديدالمجموعةالمسؤولةعنالهجوم. ومعذلكفقدكانتبرمجيات tv.dll المستخدمةفيمرحلةجهازالصرافالآليمنالهجومتحتويعلىمصدرباللغةالروسية،والمجموعاتالمعروفةالتييمكنأنتتناسبمعهذهالمواصفاتهيمجموعات GCMAN و Carbanak.

وصرحسيرجيغولوفانوف،الباحثالأمنيالرئيسيفيكاسبرسكيلاببالقول: “تتطلبمكافحةهذهالأنواعمنالهجماتمجموعةمحددةمنالمهاراتمنالمختصينفيالأمنالذينيحرسونالمؤسسةالمستهدفة. لايمكنتنفيذاختراقناجحوالحصولعلىتدفقللبياناتمنالشبكةإلابأدواتمشتركةونظامية؛وبعدالهجومقديقومالمهاجمونبمسحجميعالبياناتالتيقدتؤديإلىتتبعهم،وبذلكلايتركونخلفهمأيآثرأودليليرشدإليهم. لمعالجةهذهالمشاكل،يصبحالتحليلالجنائيللذاكرةحاسمًافيتحليلالبرمجياتالخبيثةووظائفها،وكماأثبتهذاالهجومفإنالاستجابةالموجهةبعنايةللحوادثيمكنأنتساعدفيحلالجرائمالإلكترونيةالتييتمالتخطيطلهابإتقانتام”.