信息來(lái)源:hackernews
據(jù)卡巴斯基安全實(shí)驗(yàn)室消息��,黑客通過(guò)新型惡意軟件 “ATMitch” 采用“無(wú)文件攻擊”方式��,一夜之間成功劫持俄羅斯 8 臺(tái) ATM 機(jī)竊走 80 萬(wàn)美元��。
這起網(wǎng)絡(luò)劫持事件成功引起了安全專(zhuān)家的注意��,他們?cè)诜治鲩]路電視錄像時(shí)發(fā)現(xiàn)一名男子至 ATM 機(jī)旁并未與機(jī)器交互即可獲取現(xiàn)金��。據(jù)悉��,受影響銀行的安全團(tuán)隊(duì)并未發(fā)現(xiàn)任何惡意軟件入侵跡象��,唯有一家目標(biāo)銀行表示曾在 ATM 中發(fā)現(xiàn)兩份入侵日志:
“Take the Money Bitch!”
“Dispense Success.”
卡巴斯基 2017 年 2 月就 “ATMitch” 惡意軟件發(fā)布分析報(bào)告表示,黑客曾利用惡意軟件 ATMitch 攻擊 140 家機(jī)構(gòu)��,其中包括銀行��、電信公司與 40 余家政府單位��。
銀行安全團(tuán)隊(duì)表示��,他們不僅發(fā)現(xiàn) Microsoft 域控制器( DC )的物理內(nèi)存中存在其代碼副本��,還發(fā)現(xiàn)黑客將惡意代碼直接注入受感染內(nèi)存中與惡意軟件一同在 RAM 系統(tǒng)中運(yùn)行��。目前卡巴斯基安全專(zhuān)家已將該此類(lèi)惡意軟件標(biāo)記為 MEM:Trojan.Win32.Cometer 與 MEM:Trojan.Win32.Metasploit��。
近期��,在圣馬丁舉行的卡巴斯基安全分析高峰會(huì)期間��,安全專(zhuān)家 Sergey Golovanov 和 Igor Soumenkov 提供了兩家俄羅斯銀行 ATM 機(jī)被黑客攻擊的進(jìn)一步調(diào)查��。安全專(zhuān)家表示��,該惡意軟件首次在俄羅斯和哈薩克斯坦被發(fā)現(xiàn)��。攻擊者通過(guò) SSH 隧道連接 ATM 機(jī)��、安裝惡意代碼��,并指示 ATM 機(jī)分配現(xiàn)金��。由于惡意軟件 ATMitch 利用機(jī)器現(xiàn)有的合法工具遠(yuǎn)程發(fā)送命令以分配資金��,所以只需幾秒即可快速運(yùn)行��,致使清空 ATM 機(jī)而不留痕跡��。
安全專(zhuān)家強(qiáng)調(diào)��,為避免觸發(fā)警報(bào)��,攻擊者在 ATM 上鉆出高爾夫球大小的洞孔��,通過(guò)物理方式訪問(wèn) ATM 機(jī)面板獲取鈔票��。
研究人員提醒設(shè)備制造商與銀行��,黑客已橫跨俄羅斯和歐洲銀行對(duì)其采取 “ATM 電鉆攻擊”��。目前不能確定攻擊 ATM 機(jī)背后的具體犯罪團(tuán)伙��,但他們注意到攻擊使用的源代碼中包含俄語(yǔ)內(nèi)容��。此外,卡巴斯基發(fā)現(xiàn)該黑客組織使用的技術(shù)方法與網(wǎng)絡(luò)犯罪團(tuán)伙 Carbanak 和 GCMAN 存在相似之處��。
原作者:Pierluigi Paganini ��, 譯者:青楚 ��,審核:狐貍醬
本文由 HackerNews.cc 翻譯整理��,封面來(lái)源于網(wǎng)絡(luò)��。
轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自 HackerNews.cc ” 并附上原文鏈接��。
