Tội phạm mạng lấy sạch tiền trong máy ATM bằng cách nào?

Bằng việc tái thiết lập lại một trường hợp ATMitch, các chuyên gia Kaspersky Lab đã khám phá ra một cách bí ẩn để rút tiền mặt với máy ATM mà các tội phạm mạng đã làm.

Sau khi tiếp nhận thông tin một nhân viên ngân hàng phát hiện ra một máy ATM bị rỗng: không có tiền, không có dấu vết tương tác vật lý với máy, và cũng không tìm thấy mã độc, các chuyên gia của Kaspersky Lab đã dành thời gian để nghiên cứu giải quyết trường hợp bí ẩn này bằng cách tìm hiểu công cụ tội phạm mạng sử dụng và tái tạo lại cuộc tấn công.
 

Vụ điều tra bắt đầu ngay sau khi các chuyên gia pháp lý của ngân hàng khôi phục và chia sẻ hai tệp chứa các bản ghi phần mềm độc hại từ ổ cứng của máy ATM (kl.txt và logfile.txt) với Kaspersky Lab. Đây là các tệp duy nhất còn sót lại sau cuộc tấn công: không thể khôi phục các tệp nguy hiểm thực thi được vì sau vụ cướp, tội phạm mạng đã quét sạch mã độc. Nhưng những dữ liệu ít ỏi này cũng đủ để Kaspersky Lab tiến hành điều tra thành công.
 

Trong các tệp nhật ký, các chuyên gia Kaspersky Lab đã có thể xác định được các phần thông tin bằng văn bản thuần túy đã giúp họ tạo ra các quy tắc YARA cho các nguồn mã độc công cộng và để tìm ra mẫu. Các quy tắc YARA – các chuỗi tìm kiếm cơ bản – giúp các nhà phân tích tìm, nhóm và phân loại các mẫu mã độc có liên quan và thu thập các kết nối giữa chúng dựa trên các mô hình hoạt động đáng ngờ trên hệ thống hoặc mạng lưới mà chia sẻ các điểm tương đồng.
 

Sau một ngày chờ đợi, các chuyên gia đã tìm thấy mẫu phần mềm độc hại mong muốn – “tv.dll”, sau đó được đặt tên là ‘ATMitch’. 
 

Tội phạm mạng lấy sạch tiền trong máy ATM bằng cách nào? - ATMitch Infograp


Phần mềm độc hại này được cài đặt và thực hiện từ xa trên một máy ATM của ngân hàng bị nhắm vào: thông qua việc quản lý các máy ATM từ xa. Sau khi cài đặt và kết nối với máy ATM, mã độc ATMitch liên lạc với máy ATM như thể nó là một phần mềm hợp pháp. Nó cho phép kẻ tấn công thực hiện một số lệnh, ví dụ như thu thập thông tin về số tiền trong ATM. Hơn thế nữa, nó cung cấp khả năng phân phát tiền vào bất cứ lúc nào, chỉ với một nút bấm.
 

Thông thường bọn tội phạm sẽ bắt đầu bằng cách lấy thông tin về số tiền mà một máy đang có. Sau đó, một tên tội phạm có thể gửi một lệnh để phân phát một số tiền mặt bất kỳ từ massette của ATM. Sau khi rút tiền theo cách kì lạ này, tội phạm mạng chỉ cần lấy tiền và đi. Một vụ cướp ATM như thế này chỉ mất vài giây. Và một khi máy ATM bị cướp xong, mã độc sẽ tự xóa dấu vết của nó.
 

Vẫn chưa biết được ai đứng đằng sau những vụ tấn công này. Việc sử dụng mã khai thác nguồn mở, các tiện ích phổ biến của Windows và các tên miền không xác định trong suốt giai đoạn đầu của quá trình hoạt động khiến việc xác định nhóm chịu trách nhiệm là gần như không thể. Tuy nhiên, mã độc “tv.dll” được sử dụng trong giai đoạn tấn công ATM chứa các nguồn tiếng Nga, và các nhóm được biết đến có thể phù hợp với hồ sơ này là GCMAN và Carbanak.

Sergey Golovanov, nhà nghiên cứu bảo mật tại Kaspersky Lab cho biết – “Những kẻ tấn công này có thể vẫn còn hoạt động. Nhưng đừng hoảng sợ! Việc chống lại các cuộc tấn công này đòi hỏi những kĩ năng cụ thể từ các chuyên gia bảo mật để bảo vệ các tổ chức bị nhắm đến. Việc vi phạm thành công và lôi kéo dữ liệu từ một mạng lưới chỉ có thể được thực hiện bằng các công cụ thông thường và hợp pháp. Sau vụ tấn công, bọn tội phạm có thể quét sạch tất cả dữ liệu có thể dẫn đến việc phát hiện ra chúng. Để giải quyết những vấn đề này, pháp lý bộ nhớ trở nên vô cùng quan trọng đối với việc phân tích phần mềm độc hại và các chức năng của nó. Và như trường hợp của chúng tôi đã chứng minh rằng, một phản ứng gắn liền với hướng dẫn cẩn thận có thể giúp giải quyết ngay cả những tội phạm mạng được chuẩn bị hoàn hảo.” 

Các sản phẩm của Kaspersky Lab đã phát hiện thành công các hoạt động sử dụng các phương thức, kĩ thuật này. Thông tin thêm về câu chuyện này và các quy tắc của Yara để phân tích pháp lý về những vụ tấn công này có thể tìm thấy trên Securelist.com.

Ô Lâu


 

Facebook bổ sung 2 tính năng chat nhóm hữu ích

Facebook vừa giới thiệu 2 tính năng Reactions và Mentions trong Messenger giúp các cuộc trò chuyện nhóm thú vị và hữu ích hơn.

Không dọn sạch ứng dụng, nguy cơ lộ thông tin cao

Việc có quá nhiều ứng dụng, phần mềm không cần thiết chạy trên thiết bị di động do người dùng tải về hoặc máy tự động cập nhật không chỉ dẫn đến hiệu suất hoạt động của máy bị giảm đi đáng kể mà quan trọng hơn, các mã độc đã nương theo những ứng dụng này để truy cập vào các dữ liệu nhạy cảm của người dùng như danh bạ, tin nhắn, và thậm chí có thể thực hiện cuộc gọi và gửi tin nhắn.

Samsung giới thiệu QLED TV và The Frame tại bảo tàng Louvre

Samsung ra mắt loạt sản phẩm TV cao cấp gồm QLED TV và The Frame trong sự kiện ra mắt TV toàn cầu được tổ chức tại phòng trưng bày Carrousel du Louvre thuộc Bảo tàng Louvre – nổi tiếng ở Paris.

Facebook công bố tính năng mới “Messenger Day”

Với tính năng này, người dùng có thể chọn hơn 5.000 khung hình, hiệu ứng và sticker để tạo nên NGÀY CỦA BẠN.

Google dịch sắp áp dụng trí tuệ nhân tạo cho dịch tiếng Việt

Google vừa cho biết trong vòng vài tuần tới, Google Translate (Google dịch) sẽ áp dụng trí thông minh nhân tạo dịch thuật cho nhiều ngôn ngữ như tiếng Nga, tiếng Ba Lan, tiếng Thái, tiếng Việt. tiếng Hindi…

Grab cho trả trước thông qua Grabpay Credit

Grab đã chính thức ra mắt GrabPay Credits, tùy chọn thanh toán phí dịch vụ đặt xe bằng hình thức trả trước thông qua các công cụ thanh toán được cấp phép Việt Nam vào hôm 6/3/2017.

MWC 2017 – 5G hấp dẫn qua nhiều trình diễn của Qualcomm

Tại MWC 2017 (Tây Ban Nha) Qualcomm đã khiến 5G gần hơn với cuộc sống khi công bố hàng loạt đợt trình diễn các vấn đề liên quan đến 5G từ kết nối đến thiết bị đầu cuối.

Thiết bị kiểm tra độ cồn KINGMAX giúp đỡ bị phạt, an toàn

“Không uống rượu bia khi lái xe” là khẩu hiệu nên tuân thủ để đảm bảo an toàn khi lưu thông, thêm vào đó mức phạt cho hành vi say xỉn khi lái xe rất cao, thiết bị kiểm tra độ cồn cầm tay nhỏ nhất thế giới của KINGMAX đảm bảo điều đó không xảy ra.

Mã độc Mirai – mối đe dọa lớn của những thị trường mới nổi

Tác giả phát tán mã độc Mirai có thể là người nói tiếng Trung, các dữ liệu cho thấy, phần mềm độc hại này đã tấn công khoảng 500 hệ thống trong những tháng đầu năm 2017, những thị trường mới nổi có đầu tư lớn vào công nghệ kết nối có thể gặp nguy hiểm cao – hãng bảo mật Kaspersky Lab tiến hành phân tích cho hay.

MWC 2017 – OPPO ra mắt công nghệ smartphone chụp ảnh zoom 5X

Tại MWC 2017 đang diễn ra, OPPO đã giới thiệu về công nghệ độc quyền “5x Dual-camera Zoom” – công nghệ zoom 5x dành cho camera kép trên smartphone đầu tiên trên thế giới.