ATM’leri saniyeler içinde boşaltan zararlı yazılım deşifre edildi

Siber güvenlik kuruluşu Kaspersky Lab, hırsızların ATM soygunu yaparken kullandığı gizemli bir yolu keşfetti. Bir süre önce bir bankanın çalışanları ATM’lerinden birini boşaltılmış olarak buldu. Yaşanan bu ATM soygunu sonrasında ne paradan, ne ATM’ye verilmiş fiziksel bir zarardan, ne de zararlı bir yazılımdan eser vardı. Esrarengiz olayı inceleyen Kaspersky Lab uzmanları, saldırı sürecini de yeniden canlandırarak bankadaki bir güvenlik ihlalini tespit ettiler.

Kaspersky Lab, Şubat 2017’de bankalara karşı düzenlenen gizemli bir takım ‘dosyasız’ saldırı üzerine yaptığı araştırmanın sonuçlarını yayınladı: saldırganlar banka ağlarına bellek-içi zararlı yazılımlar aracılığıyla giriyordu. Saldırı metodunun detayları ve arkasındaki sebepler ATMitch vakası sayesinde gün yüzüne çıktı.

İnceleme, zararlı yazılım logları içeren iki dosyanın (kl.txt ve logfile.txt) bankanın adli uzmanlarınca ATM’nin sabit sürücüsünden kurtarılıp Kaspersky Lab uzmanlarıyla paylaşılması sonucu başladı. Siber suçluların (hacker) soygun sonrasında zararlı yazılımı silmiş olması sebebiyle saldırıdan geriye sadece bu iki dosya kalmasına rağmen, uzmanlar eser miktarda sayılabilecek bu verilerle başarılı bir inceleme gerçekleştirebildi.

Türkiye’de de tespit edildi

Saldırıların iş sektöründeki 140’tan fazla şirket ağına etki ettiğini belirten Kaspersky Lab Kıdemli Güvenlik Araştırmacısı Amin Hasbini, “Virüsler, META Bölgesi, Türkiye, Suudi Arabistan, İran, Libya, Pakistan, Tunus, Fas, Mısır, Kenya, Uganda, Kongo ve Tanzanya dahil olmak üzere, toplamda 40 ülkede tespit edildi. ATMich olayları sadece iki ülkede ortaya çıkmış olsa da, saldırganlar hala aktif olabilir” uyarısı yaptı.

Soygundan sonra kendini siliyor

Söz konusu zararlı yazılım, ATM’lere hedef banka içerisinden uzaktan yüklenip, uzaktan çalıştırılıyor. Bunun için de ATM’lerin uzaktan yönetim sistemi kullanılıyor. ATMitch, ATM’ye yüklenip bağlandıktan sonra meşru bir yazılımmışçasına ATM’yle iletişim kuruyor ve saldırganların bir takım komutlar yürütmesine fırsat veriyor. Mesela hırsızların ATM’nin kasetleri içerisinde bulunan banknotların sayısı hakkında bilgi toplamalarına, dahası, tek bir tuşla ve istedikleri zaman para çekmelerine izin veriyor.

Suçlular işe genellikle ATM içerisinde ne kadar para olduğuna bakarak başlıyor. Ardından, herhangi bir kasetten, herhangi miktarda banknotun verilmesini sağlayan bir komut gönderebiliyorlar. Bu ilginç şekilde istedikleri miktarda parayı çeken suçlulara sadece parayı alıp gitmek kalıyor. Böyle bir ATM soygunu sadece birkaç saniyede gerçekleşiyor. ATM soyulduktan sonra zararlı yazılım kendini siliyor.

ATM’leri nasıl soyuyorlar?

Saldırıların arkasında kimin olduğu hala bilinmiyor. Açık kaynaklı zararlı kodların kullanımı, sıradan Windows uygulamaları ve saldırının ilk aşamasında bilinmeyen alan adlarının kullanılması gibi faktörler, saldırılardan sorumlu grubu tespit etmeyi neredeyse imkansız hale getiriyor.

Ancak, saldırının ATM aşamasında kullanılan “tv.dll” Rusça bir dil kaynağı içerdiğinden, bu profile uygun gruplar olan GCMAN ve Carbanak gruplarını akıllara getiriyor.


Yorumlar

yorum

Bir Cevap Yazın