Phân tích hoạt động của mã độc độc tấn công máy ATM
Các loại mã độc độc tấn công máy ATM đã xuất hiện – Đầu năm nay, theo yêu cầu của một tổ chức tài chính, nhóm nghiên cứu toàn cầu của Kaspersky Lab và Analysis đã thực hiện một cuộc điều tra về một cuộc tấn công không gian mạng nhắm vào nhiều máy ATM. Trong quá trình điều tra này, các nhà ...
Các loại mã độc độc tấn công máy ATM đã xuất hiện – Đầu năm nay, theo yêu cầu của một tổ chức tài chính, nhóm nghiên cứu toàn cầu của Kaspersky Lab và Analysis đã thực hiện một cuộc điều tra về một cuộc tấn công không gian mạng nhắm vào nhiều máy ATM.
Trong quá trình điều tra này, các nhà nghiên cứu phát hiện một phần mềm độc hại cho phép kẻ tấn công lấy sạch cassett tiền mặt ATM qua thao tác trực tiếp.
Tại thời điểm điều tra, phần mềm độc hại đã hoạt động trên hơn 50 máy ATM tại các ngân hàng ở Đông Âu. Căn cứ vào kết quả của VirusTotal các nhà nghiên cứu tin rằng phần mềm độc hại đã lan rộng sang một số nước khác, bao gồm Mỹ, Ấn Độ và Trung Quốc.
Dựa trên số liệu thống kê được lựa chọn từ VirusTotal đã cho thấy thống kê phần mềm độc hại từ các nước như sau:
Phần mềm độc hại tấn công máy ATM mới này có tên Backdoor.MSIL.Tyupkin, được phát hiện bởi Kaspersky Lab có tác động lên các máy ATM từ một nhà sản xuất máy ATM lớn đang sử dụng hệ điều hành Microsoft Windows 32-bit.
Phần mềm độc hại sử dụng một số kỹ thuật vụng trộm để tránh bị phát hiện. Trước hết, nó chỉ hoạt động tại một thời điểm cụ thể vào ban đêm. Nó cũng sử dụng các khóa dựa trên một seed ngẫu nhiên cho mỗi phiên. Nếu không có key này, không ai có thể tương tác với các máy ATM bị lây nhiễm. Khi khóa được nhập chính xác, phần mềm độc hại sẽ hiển thị thông tin về lượng tiền có sẵn trong mỗi cassette và cho phép kẻ tấn công truy cập vật lý vào máy ATM để lấy tiền từ cassette được lựa chọn.
Hầu hết các mẫu phân tích được thu thập vào khoảng tháng 3 năm 2014. Tuy nhiên phần mềm độc hại này đã phát triển theo thời gian. Trong phiên bản cuối cùng phần mềm độc hại đã triển khai ác hình thức bảo vệ như kỹ thuật anti debug (gỡ lỗi), anti emulation (chống mô phỏng) và cũng có thể vô hiệu hóa McAfee Solidcore từ các hệ thống bị lây nhiễm.
Phân tích mã độc tấn công máy ATM
Theo cảnh quay từ camera an ninh tại địa điểm có các máy ATM bị lây nhiễm, những kẻ tấn công có thể đã thao tác các thiết bị và cài đặt phần mềm độc hại thông qua một đĩa CD Boot.
Những kẻ tấn công sao chép các tập tin sau đây vào máy ATM:
C:Windowssystem32ulssm.exe
%ALLUSERSPROFILE%Start MenuProgramsStartupAptraDebug.lnk
Sau một vài kiểm tra về môi trường, phần mềm độc hại loại bỏ các tập tin LNK và tạo ra một khóa trong registry:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
“AptraDebug” = “C:Windowssystem32ulssm.exe”
Phần mềm độc hại sau đó có thể tương tác với máy ATM thông qua thư viện chuẩn MSXFS.dll – Mở rộng các dịch vụ tài chính (XFS).
Phần mềm độc hại chạy trong một vòng lặp vô hạn chờ đợi người dùng nhập vào. Để khó phát hiện hơn, Tyupkin chấp nhận (mặc định) lệnh chỉ vào đêm chủ nhật và thứ 2.
Nó chấp nhận các lệnh sau:
XXXXXX – Hiển thị cửa sổ chính.
XXXXXX – Tự xóa một tập tin thực thi.
XXXXXX – Tăng thời gian hoạt động của phần mềm độc hại.
XXXXXX – Ẩn cửa sổ chính.
Sau mỗi lệnh nhà điều hành phải nhấn “Enter” trên pin pad của máy ATM.
Tyupkin cũng sử dụng các khóa theo phiên để ngăn chặn sự tương tác với người dùng ngẫu nhiên. Sau khi nhập vào lệnh “Hiển thị cửa sổ chính”, phần mềm độc hại hiển thị thông báo “nhập khóa theo phiên để tiếp tục” sử dụng một seed ngẫu nhiên cho mỗi phiên.
Những kẻ đứng sau phần mềm độc hại phải biết các thuật toán để tạo ra một khóa theo phiên dựa trên các seed được hiển thị. Chỉ khi chìa khóa này được nhập thành công nó mới có thể tương tác với các máy ATM bị lây nhiễm.
Sau đó, phần mềm độc hại hiển thị thông báo sau:
CASH OPERATION PERMITTED. CHO PHÉP HOẠT ĐỘNG TIỀN MẶT.
TO START DISPENSE OPERATION – BẮT ĐẦU PHÂN PHỐI HOẠT ĐỘNG –
ENTER CASSETTE NUMBER AND PRESS ENTER. NHẬP SỐ CASSETTE VÀ NHẤN ENTER.
Khi người vận hành chọn số cassette, máy ATM xuất 40 hóa đơn. Khi khóa theo phiên nhập vào không chính xác, phần mềm độc hại vô hiệu hóa mạng nội bộ và hiển thị thông báo:
DISABLING LOCAL AREA NETWORK… (mạng hiện đang bị vô hiệu hóa…)
PLEASE WAIT…(vui lòng đợi…)
Không rõ lý do tại sao các phần mềm độc hại vô hiệu hóa các mạng nội bộ. Điều này có thể thực hiện để trì hoãn hoặc cản trở điều tra từ xa.
Kết luận
Trong vài năm qua, các cuộc tấn công nhắm vào máy ATM ngày càng tăng mạnh, sử dụng các thiết bị quét và phần mềm độc hại.
Hiện chúng ta đang chứng kiến sự phát triển của hiểm họa này với kỹ thuật tinh vi của tội phạm và nhắm mục tiêu trực tiếp vào các tổ chức tài chính. Điều này được thực hiện bằng cách lây nhiễm các máy ATM một cách trực tiếp hoặc các cuộc tấn công trực tiếp APT nhắm tới các ngân hàng. Phần mềm độc hại Tyupkin là một ví dụ điển hình của kỹ thuật tinh vi của những kẻ tấn công và tìm ra những yếu kém trong cơ sở hạ tầng ATM.
Thực tế là nhiều máy ATM chạy trên hệ điều hành với các điểm yếu an ninh và thiếu các giải pháp bảo mật là một vấn đề cần sớm giải quyết. Các ngân hàng nên xem xét an ninh vật lý các máy ATM của họ và xem xét việc đầu tư các giải pháp bảo mật chất lượng.
Kiến nghị để hạn chế thiệt hại
Các tổ chức tài chính và các doanh nghiệp sử dụng máy ATM trên cơ sở xem xét các hướng dẫn giảm nhẹ sau đây:
- Xem lại an ninh vật lý các máy ATM của họ và xem xét đầu tư các giải pháp an ninh chất lượng.
- Thay đổi mặc định mã mở khóa trong tất cả các máy ATM. Tránh sử dụng các phím chủ mặc định được cung cấp bởi nhà sản xuất.
- Cài đặt và đảm bảo rằng báo động an ninh máy ATM đang hoạt động. Tội phạm mạng đằng sau Tyupkin chỉ lây nhiễm những máy ATM không được cài đặt báo động an ninh.
KASPERSKY