Avrete notato che ci piace molto parlare dei furti ai bancomat. No, non li hackeriamo noi, ma quando qualcuno lo fa, interveniamo subito. Alla conferenza SAS 2017, il principale evento di cybersicurezza dell\u2019anno, gli esperti di Kaspersky Lab Sergey Golovanov e Igor Soumenkov hanno trattato tre casi interessanti.<\/p>\n\n
https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/06\/30160538\/sas-atm-malware-featured-1.jpg<\/p>\n
Il bancomat era vuoto. I forensi della banca non hanno trovato file dannosi, n\u00e9 strane impronte digitali, n\u00e9 alcuna traccia di interazioni fisiche con il dispositivo, n\u00e9 alcun circuito stampato aggiuntivo e nemmeno altri dispositivi che potessero essere usati per prendere il controllo della macchina. Non hanno trovato nemmeno soldi.<\/p>\n
Gli impiegati della banca hanno trovato solo un file kl.txt e hanno pensato che \u201ckl\u201d avesse qualcosa a che fare con KL (Kaspersky Lab). Per questo motivo ci hanno contattato ed ecco come abbiamo iniziato a indagare sul caso.<\/p>\n
Dovevamo iniziare da qualche parte, quindi i nostri ricercatori hanno iniziato a dare un\u2019occhiata al file in questione. Basandosi sui contenuti del file di registro, sono stati in grado di creare una regola YARA (YARA \u00e8 uno strumento di ricerca malware); fondamentalmente, hanno effettuato una ricerca negli archivi pubblici di malware. L\u2019hanno usata per trovare il modello originale di malware e dopo un giorno la ricerca ha dato qualche risultato: un DLL chiamato tv.dll che fino ad allora era stato rilevato un paio di volte, una volta in Russia e una in Kazakistan. Tutto questo \u00e8 bastato per sciogliere la trama.<\/p>\n
Un\u2019indagine approfondita del DLL ha permesso ai nostri ricercatori di analizzare l\u2019attacco con l\u2019ingegneria inversa, di capire realmente come era stato eseguito e anche di riprodurre l\u2019attacco su un bancomat di prova con denaro falso nel nostro laboratorio di prova. Ecco quello che hanno scoperto.<\/p>\n
L\u2019attacco \u00e8 avvenuto perch\u00e9 i criminali hanno sfruttato una vulnerabilit\u00e0 molto conosciuta ma non risolta\u00a0e hanno avuto accesso ai server della banca presa di mira. (Non vi avevamo detto che aggiornare il software \u00e8 un must? Questo \u00e8 un buon esempio).<\/p>\n
I criminali hanno utilizzato un codice open-source e strumenti disponibili pubblicamente per infettare i computer della banca, ma il malware che hanno creato si nascondeva nella memoria dei computer, non nei loro hard drive. Non c\u2019erano file, quindi l\u2019attacco era molto difficile da localizzare (era fondamentalmente invisibile per le soluzioni di sicurezza). Ancora peggio, quasi tutte le tracce del malware scomparivano al\u00a0riavvio del sistema.<\/p>\n
I criminali hanno poi stabilito una connessione con il loro server command-and-control e questo ha permesso loro di installare il software in maniera remota sui bancomat.<\/p>\n
\n#ATMITCH<\/a> criminals leave the nicest notes for #security<\/a> researchers\u2026 #banking<\/a> #malware<\/a> #ATM<\/a> #TheSAS2017<\/a> pic.twitter.com\/SDgOFBTxFT<\/a><\/p>\n
\u2014 Kaspersky (@kaspersky) April 3, 2017<\/a><\/p><\/blockquote>\n