Baki, FinanceTime. Bir gün bankın işçiləri boş bir bankomatla üzləşirlər: pullar yoxa çıxsa da, fiziki müdaxilə və ya zərərli proqrama yoluxma izinə rast gəlinmir. Bankın korporativ şəbəkəsində də sistem qırılması barədə iz yoxdur. Bu məsələni aydınlaşdırmaq üçün bank “Kaspersky Lab” şirkətinə müraciət edir. Şirkətin mütəxəssisləri sadəcə bu soyğunçuluğu araşdıraraq, həm də cinayətin arxasında rusdilli hücumçuların dayandığı GCMAN və Carbanak kimi məşhur kiberqruplaşmaların izinə düşə bilmişlər.
Araşdırmanın başladığı vaxt “Kaspersky Lab” şirkətinin mütəxəssislərinin əlində sadəcə boşaldılmış bankomatın sərt diskindən götürülmüş iki fayl var idi: onlarda isə cihazın yoluxduğu zərərli proqram təminatının qeydləri mövcud idi. Kiberhücumun digər bütün sübutlarını cinayətkarlar məhv etmişdilər. Mövcud materialdan zərərvericilərin nümunələrini bərpa etmək isə kifayət qədər mürəkkəb tapşırıq idi. Bununla belə, ekspertlər mətn yığımlarından lazımi informasiyanı ayırd etmiş və onun əsasında zərərli proqramların nümunələrini üzə çıxarmaq, katerqoriyalaşdırmaq və aralarındakı əlaqəni tapmağa kömək edən YARA axtarış mexanizmini ərsəyə gətirdilər.
YARA sisteminin yaradılmasından bir gün sonra “Kaspersky Lab” şirkətinin mütəxəssisləri “ATMitch” adını almış zərərli proqram təminatının nümunəsini aşkarladılar. Təhlil nəticəsində məlum oldu ki, bu proqram sayəsində bir neçə ölkədə banklar qarət olunub.
“ATMitch” zərərli proqram təminatı bankomata bankın virusa yoluxmuş korporativ şəbəkəsindən uzaqdan idarəetmə sayəsində yüklənir və işə salınırdı: maliyyə təşkilatlarının bankomatları uzaqdan idarəetmə alətləri bu cinayəti törətməyə asanlıqla imkan verirdi. Zərərverici kassetlərdə əskinaslarını yoxlamaq kimi cihazın bələd olduğu komanda və əməliyyatları yerinə yetirməklə bankomatda özünü tamamilə leqal proqram təminatı kimi aparırdı.
Bankomatın üzərində nəzarəti ələ aldıqdan sonra hücumçular sadəcə bir düyməyə basmaqla istənilən an pul çəkə bilirdilər. Bir qayda olaraq, soyğun cinayətkarların dispenserdə pulun miqdarı barədə informasiya almasından sonra başlayırdı. Bundan sonra kibercinayətkar istənilən kassetdən istənilən miqdarda əskinasların verilməsinə komanda verir. Daha sonra isə istənilən bir bankomata yaxınlaşmaq və pulu götürüb yoxa çıxmaq tələb olunurdu. Bununla da bütün oğurluq prosesi bir neçə saniyə ərzində baş tuturdu.Əməliyyatın sonunda zərərverici proqram özü avtomatik olaraq bankomatdan yox olur.
“Qruplaşma çox güman ki, hələ də aktivdir. Lakin bu, təşviş üçün səbəb deyil. Kiberhücumların qarşısını ala bilmək üçün təşkilatın informasiya təhlükəsizliyi üzrə mütəxəssisi xüsusi bilik və bacarıqlara malik olmalıdır. Yadda saxlamaq lazımdır ki, hücumçular leqal alətlərdən istifadə edir və hücumdan sonra sistemdən bütün izləri itirirlər. Bu səbəbdən problemin həlli üçün“ATMitch”n proqramının çox zaman gizləndiyi yaddaşın təhlilinə xüsusi diqqət yetirmək lazimdir”, - deyə “Kaspersky Lab” şirkətinin antivirus üzrə aparıcı eksperti Sergey Qolovanov bildirib.
“Kaspersky Lab” şirkəti iki ay bundan öncə “ATMitch” zərərverici əməliyyatının soyğunçuluq mərhələləri haqqında məlumat vermişdi. Araşdırma haqqında ətraflı məlumatı şirkətin hesabatından əldə edə bilərsiniz: https://securelist.ru/blog/issledovaniya/30511/atmitch-remote-administration-of-atms.
“Kaspersky Lab” şirkətinin qoruyucu həlləri “ATMitch” hücumlarını tanıyır və müvəffəqiyyətlə qarşısını alır.