Mã độc tự hoại tấn công máy ATM

Vấn đề mà Kaspersky Lab nghiên cứu xoay quanh sự cố “Nhân viên ngân hàng phát hiện ra một máy ATM rỗng: không có tiền, không có dấu vết tương tác vật lý với máy, và cũng không có mã độc”.

Kết qủa nghiên cứu của các chuyên gia của Kaspersky Lab về trường hợp bí ẩn này đã giúp ngành ngân hàng không chỉ hiểu được các công cụ mà tội phạm mạng sử dụng trong vụ cướp, mà còn tái tạo lại cuộc tấn công, phát hiện ra sự vi phạm an ninh tại ngân hàng.

Hồi tháng 2/2017, Kaspersky Lab đã công bố kết quả điều tra vụ tấn công bí mật vào các ngân hàng: tội phạm mạng sử dụng mã độc trong bộ nhớ để xâm nhập vào mạng lưới ngân hàng.

Khi đó, câu hỏi được đặt ra là “Chúng đã làm điều đó như thế nào?”. Câu trả lời nằm ngay trong vụ ATMitch.

Việc điều tra bắt đầu ngay sau khi các chuyên gia pháp lý của ngân hàng khôi phục và chia sẻ 2 file (kl.txt và logfile.txt) chứa các bản ghi phần mềm độc hại từ ổ cứng của máy ATM với Kaspersky Lab. Đây là 2 tập tin còn sót lại sau cuộc tấn công, vì không thể khôi phục các tập tin dấu vết khác, tội phạm mạng đã dọn sạch mã độc. Dẫu vậy, từ những dữ liệu ít ỏi này đã không làm nản lòng các chuyên gia Kaspersky Lab.

Qua việc phân tích các file ghi nhật ký, các chuyên gia Kaspersky Lab đã có thể xác định được các thông tin bằng văn bản thuần túy đã giúp họ tạo ra các quy tắc YARA cho các nguồn mã độc công cộng và để tìm ra mẫu. Các quy tắc YARA (gồm các chuỗi tìm kiếm cơ bản) đã giúp các nhà phân tích tìm, gom nhóm và phân loại các mẫu mã độc có liên quan, cũng như thu thập các kết nối giữa chúng dựa trên các mô hình hoạt động đáng nghi ngờ trên hệ thống hoặc mạng lưới.

Sau một ngày chờ đợi, các chuyên gia đã tìm thấy mẫu phần mềm độc hại mong muốn trong gile "tv.dll", sau đó được đặt tên là ATMitch.

Phần mềm độc hại này được cài đặt và thực hiện từ xa trên một máy ATM của ngân hàng bị nhắm vào, thông qua việc quản lý các máy ATM từ xa. Sau khi cài đặt và kết nối với máy ATM, mã độc ATMitch liên lạc với máy ATM như thể nó là một phần mềm hợp pháp. Nó cho phép kẻ tấn công thực hiện một số lệnh, như thu thập thông tin về số tiền trong ATM. Hơn nữa, nó còn cung cấp khả năng phân phát tiền vào bất cứ lúc nào, chỉ với một nút bấm.

Thông thường, tội phạm mạng sẽ bắt đầu bằng cách lấy thông tin về số tiền đang có trong trong một máy. Sau đó, một tên tội phạm có thể gửi một lệnh để phân phát một số tiền mặt bất kỳ từ massette của ATM. Sau khi rút tiền theo cách kỳ lạ này, tội phạm mạng chỉ cần lấy tiền và đi. Một vụ cướp ATM như thế này chỉ mất khoảng vài giây.

Sau khi thực hiện trót lọt vụ cướp tiền từ máy ATM, mã độc mà tội phạm mạng sử dụng đã tự xóa dấu vết của nó.

Ai đứng đằng sau?

Theo Kaspersky Lab, vẫn chưa biết được ai đứng đằng sau những vụ tấn công này. Việc sử dụng mã khai thác nguồn mở, các tiện ích phổ biến của Windows và các tên miền không xác định trong suốt giai đoạn đầu của quá  trình hoạt động khiến việc xác định nhóm chịu trách nhiệm là gần như không thể. Tuy nhiên, mã độc trong file “tv.dll” được sử dụng trong giai đoạn tấn công ATM chứa các nguồn tiếng Nga, và các nhóm được biết đến có thể phù hợp với hồ sơ này là GCMAN và Carbanak.

Sergey Golovanov - nhà nghiên cứu bảo mật tại Kaspersky Lab, cho biết: “Những kẻ tấn công này có thể vẫn còn hoạt động. Nhưng đừng hoảng sợ! Các chuyên gia bảo mật có thể chống lại các cuộc tấn công dạng này. Một phản ứng gắn liền với hướng dẫn cẩn thận có thể giúp giải quyết ngay những tội phạm mạng được chuẩn bị hoàn hảo. Hơn nữa, các sản phẩm của Kaspersky Lab đã phát hiện thành công các hoạt động sử dụng các phương thức, kỹ thuật này”.