Однажды сотрудники банка обнаружили пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. Для расследования этого дела банк обратился за помощью к «Лаборатории Касперского». Эксперты компании смогли не только распутать это ограбление, но также вышли на след новой хорошо подготовленной кибергруппировки, за которой могут стоять русскоговорящие хакеры из групп GCMAN и Carbanak.


На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники удалили. Эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA — поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь. На следующий день эксперты нашли образец вредоносного ПО, получившего название ATMitch. С помощью этого зловреда были ограблены банки в России и Казахстане.

Вирус ATMitch устанавливался и запускался в банкоматах удаленно из зараженной корпоративной сети банка. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах. Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент с помощью нажатия кнопки. Ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления укладывался в считаные секунды.

«Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», — рассказал на международной конференции по кибербезопасности Security Analyst Summit эксперт «Лаборатории Касперского» Сергей Голованов.