Vieną dieną banko darbuotojai aptiko tuščią bankomatą: pinigai iš jo dingo, bet fizinio pažeidimo arba užkrėtimo kenkėjiška programine įranga nebuvo matyti. Banko korporatyviniame tinkle taip pat neaptikta įsilaužimo pėdsakų. Padėti ištirti šią, atrodytų, beviltišką bylą bankas kreipėsi į „Kaspersky Lab“. Bendrovės ekspertai ne tik sugebėjo ją išnarplioti, bet ir aptiko naują gerai pasirengusią kibernetinę grupuotę, kurioje tikriausiai gali būti rusiškai kalbančių užpuolikų iš pagarsėjusių grupuočių „GCMAN“ ir „Carbanak“.
Tyrimo pradžioje „Kaspersky Lab“ specialistai turėjo tik du iš ištuštinto bankomato kietojo disko išimtus failus: juose buvo įrašų apie kenkėjišką programinę įrangą, kuria buvo užkrėstas įrenginys. Visus kitus kibernetinio išpuolio pėdsakus sukčiai apdairiai pašalino. Atkurti virusų pavyzdžius iš turimos medžiagos buvo labai sudėtinga. Tačiau ekspertai sugebėjo iš teksto srauto išskirti reikalingą informaciją ir jos pagrindu sukūrė YARA taisykles – paieškos mechanizmus, kurie padeda aptikti ir kategorizuoti tam tikrus kenkėjiškų programų pavyzdžius ir aptikti ryšį tarp jų.
Jau kitą dieną po YARA taisyklių sukūrimo „Kaspersky Lab“ ekspertai aptiko kenkėjiškos programinės įrangos pavyzdį, pavadintą „ATMitch“. Analizė leido nustatyti, kad taikant šį virusą, buvo apvogti bankai Rusijoje ir Kazachstane.
Kenkėjiška programinė įranga „ATMitch“ bankomatuose buvo diegiama ir paleidžiama nuotoliniu būdu iš užkrėsto banko korporatyvinio tinklo: finansų organizacijų taikomi nuotolinės bankomatų kontrolės instrumentai lengvai tai leido padaryti. Bankomate virusas elgėsi kaip teisėta programinė įranga, atlikdamas įrenginiui įprastas komandas ir operacijas, pavyzdžiui, užklausdavo apie banknotų skaičių kasetėse.
Gavę bankomato kontrolę, užpuolikai galėjo išsigryninti pinigus bet kuriuo metu tiesiog paspaudę vieną mygtuką. Paprastai vagystė prasidėdavo nuo to, kad sukčiai užklausdavo apie pinigų kiekį skirstytuve. Paskui siuntė komandą išduoti bet kokį skaičių banknotų iš bet kurios kasetės. Toliau reikėjo tik prieiti prie bankomato, pasiimti pinigus ir dingti. Visas vagystės procesas tetruko kelias sekundes. Baigiantis operacijai, kenkėjiška programa pati pasišalindavo iš bankomato.
„Grupuotė greičiausiai iki šiol aktyvi. Tačiau tai ne priežastis panikuoti. Kad būtų užkirstas kelią tokiems kibernetiniams išpuoliams, nukentėjusios organizacijos informacinio saugumo specialistas turi turėti ypatingų žinių ir įgūdžių. Pirmiausia reikia žinoti, kad užpuolikai taiko įprastus teisėtus instrumentus, o po išpuolio kruopščiai pašalina visus buvimo sistemoje pėdsakus. Todėl reikia ypatingą dėmesį kreipti į atminties, kurioje dažniausiai ir slepiasi „ATMitch“, tyrimą, – „Security Analyst Summit“ tarptautinėje kibernetinio saugumo konferencijoje papasakojo Sergejus Golovanovas, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas.
„Kaspersky Lab“ apsaugos sprendimai sėkmingai aptinka ir blokuoja „ATMitch“ išpuolius.