wechatimg011529

“无文件攻击”威力初显:仅需一夜轻松窃走俄罗斯 ATM 80 万美元

  • 浏览次数 21942
  • 喜欢 0
  • 评分 12345

据卡巴斯基安全实验室消息,黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式,一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。

这起网络劫持事件成功引起了安全专家的注意,他们在分析闭路电视录像时发现一名男子至 ATM 机旁并未与机器交互即可获取现金。据悉,受影响银行的安全团队并未发现任何恶意软件入侵迹象,唯有一家目标银行表示曾在 ATM 中发现两份入侵日志:

“Take the Money Bitch!”
“Dispense Success.”

卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示,黑客曾利用恶意软件 ATMitch 攻击 140 家机构,其中包括银行、电信公司与 40 余家政府单位。

2017041020

银行安全团队表示,他们不仅发现 Microsoft 域控制器( DC )的物理内存中存在其代码副本,还发现黑客将恶意代码直接注入受感染内存中与恶意软件一同在 RAM 系统中运行。目前卡巴斯基安全专家已将该此类恶意软件标记为 MEM:Trojan.Win32.Cometer 与 MEM:Trojan.Win32.Metasploit。

近期,在圣马丁举行的卡巴斯基安全分析高峰会期间,安全专家 Sergey Golovanov 和 Igor Soumenkov  提供了两家俄罗斯银行 ATM 机被黑客攻击的进一步调查。安全专家表示,该恶意软件首次在俄罗斯和哈萨克斯坦被发现。攻击者通过 SSH 隧道连接 ATM 机、安装恶意代码,并指示 ATM 机分配现金。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金,所以只需几秒即可快速运行,致使清空 ATM 机而不留痕迹。

2017041021

安全专家强调,为避免触发警报,攻击者在 ATM 上钻出高尔夫球大小的洞孔,通过物理方式访问 ATM 机面板获取钞票。

研究人员提醒设备制造商与银行,黑客已横跨俄罗斯和欧洲银行对其采取 “ATM 电钻攻击”。目前不能确定攻击 ATM 机背后的具体犯罪团伙,但他们注意到攻击使用的源代码中包含俄语内容。此外,卡巴斯基发现该黑客组织使用的技术方法与网络犯罪团伙 Carbanak 和 GCMAN 存在相似之处。

原作者:Pierluigi Paganini , 译者:青楚 ,审核:狐狸酱
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot