الطاقة تُحلّق في فضاءات الذكاء الاصطناعي 3/2    كوشنر: تسوية ملف مقاتلي حماس في رفح مدخل للانتقال إلى المرحلة الثانية    سوق الأسهم يواصل التراجع تحت ضغوط النفط وتراجع السيولة    "أمانة حائل" تحصد جائزة الشمولية الرقمية    استبعاد تمبكتي من معسكر الأخضر.. واستدعاء الشهراني وكادش    المدرهم يطير ببرونزية الأثقال في إسلامية الرياض 2025    ناجلزمان: لا وقت للتجارب وهدفنا التأهل للمونديال    «الشورى» يدعو مركز المناطق الاقتصادية في الرياض لاستكمال البناء المؤسسي والخطة الإستراتيجية    ضبط 21647 مخالفاً للإقامة والعمل وأمن الحدود    «التواصل الحضاري» ينظّم ملتقى التسامح    95 مليون ريال لصيانة ونظافة وتشغيل 1400 مسجد وجامع في المملكة    ثمن دعم القيادة الرشيدة للقطاع.. العوهلي: 24.89 % ارتفاع توطين الإنفاق العسكري    تعاون سعودي- إماراتي لمكافحة جرائم الفساد    أكد أن المنظومة تشهد تحولاً نوعياً.. وزير البلديات: تشغيل ذكي وإدارة رقمية لخدمة ضيوف الرحمن    لجان الكرة وقرارات غائبة أو متأخرة    شلوتربيك أولوية لبرشلونة في يناير    في ختام دور المجموعات بمونديال الناشئين 2025.. الأخضر يواجه نظيره المالي للعبور لدور ال 32    الديوان الملكي: وفاة وفاء بنت بندر    وسط ضغوط على المرحلة الثانية من اتفاق غزة.. الاحتلال يمنع خروج المحاصرين في أنفاق رفح    خادم الحرمين يدعو لإقامة صلاة الاستسقاء الخميس    تحت رعاية ولي العهد.. تنظيم المؤتمر العدلي الدولي الثاني بالرياض    تحت رعاية سمو ولي العهد.. وزارة العدل تُنظم المؤتمر العدلي الدولي الثاني 23 نوفمبر في الرياض    علامات تكشف مقاطع الفيديو المولدة بال AI    يوثق التحولات التاريخية والحضارية للمشاعر.. «الدارة» تطلق ملتقى تاريخ الحج والحرمين    وعكة صحية تدخل محمد صبحي المستشفى    1.7 مليون دولار تعويضاً على تنمر النظارات    أمريكي يبحر 95 كيلومتراً داخل يقطينة    يتباهون بما لا يملكون    تقديراً لجهودها في إبراز خدمات المملكة لضيوف الرحمن.. نائب أمير مكة يكرم وزارة الإعلام بمؤتمر الحج    ممرض ألماني يخدر المرضى ليهنأ بليلة هادئة    موانع حمل للرجال (1)!!؟    الأخضر تحت 19 عاماً يدشن تدريباته في معسكر الأحساء استعداداً لكأس آسيا    خديعة القيمة المعنوية    أزمة الأطباء الإداريين    "مسام" ينزع (1.044) لغمًا من الأراضي اليمنية خلال أسبوع    «الرياض الصحي»: البحث العلمي شريكٌ محوري في التحول الصحي    القصيم: فرع الشؤون الإسلامية يُتعامل مع 1169 بلاغًا خلال الربع الثالث    رئيس جامعة جازان يطلق منصة "ركز" للاستثمار المعرفي    المملكة وسورية.. شراكة ومستقبل مزدهر    البنيان يرعى «التعليم المنافس» في «الملك سعود»    «سعود الطبية» تعيد الحركة لمفصل كوع بعد 10 أعوام من العجز    إصابة جديدة في تدريبات المنتخب السعودي    مفاوضات عالقة والاحتلال يتعنت    تصاعد أرقام نازحي السودان    جامعة أمِّ القُرى الشَّريك المعرفي والابتكاري لمؤتمر ومعرض الحج في نسخته الخامسة    تكامل الجهود أبرز محفزات الجذب السياحي في القصيم    مطالبة المناطق الاقتصادية بالرياض باستكمال البناء المؤسسي    الحقيل: منظومة البلديات تنتقل إلى التشغيل الذكي لخدمة ضيوف الرحمن    الملك يدعو إلى إقامة صلاة الاستسقاء الخميس المقبل    رجال أمن الحرمين قصص نجاح تروى للتاريخ    نائب أمير المنطقة الشرقية يستقبل مدير فرع الهيئة العامة لتنظيم الإعلام بالمنطقة    مكتبة الملك عبدالعزيز العامة ذاكرة بصرية لتأريخ الحج وعمارة الحرمين    إنفاذًا لأمر خادم الحرمين الشريفين.. رئيس هيئة الأركان العامة يُقلِّد رئيس هيئة الأركان المشتركة الباكستاني وسام الملك عبدالعزيز من الدرجة الممتازة    إنفاذاً لأمر خادم الحرمين الشريفين.. منح رئيس «الأركان» الباكستاني وسام الملك عبدالعزيز    أمير نجران يلتقي مدير فرع «عقارات الدولة»    فهد بن سلطان: هيئة كبار العلماء لها جهود علمية ودعوية في بيان وسطية الإسلام    تناولوا الزنجبيل بحذر!    أمير تبوك يستقبل عضو هيئة كبار العلماء الشيخ يوسف بن سعيد    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



كيف يمكن للقراصنة سرقة أجهزة الصرافة الآلية دون ترك أي أثر؟
خبراء اكتشفوا الطريقة الغامضة
الوئام نشر في الوئام يوم 02 - 05 - 2017

اكتشف موظفو أحد البنوك في يوم ما جهاز الصراف الآلي فارغًا حيث لم يكن به أية أموال، ولا توجد آثار لهجوم فعلي على الجهاز، ولا برمجيات خبيثة. بعد أن قضى خبراء كاسبرسكي لاب وقتًا لفك طلاسم هذه الحالة الغامضة، لم يستطيعوا معرفة الأدوات التي استخدمها مجرمو الإنترنت في السرقة فقط، ولكن تمكنوا أيضًا من معاودة الهجوم بأنفسهم على جهاز الصراف الآلي، واكتشفوا اختراقًا أمنيًا في ذلك البنك.
وفي شهر فبراير 2017 نشرت كاسبرسكي لاب نتائج التحقيق الذي أجرته بشأن الهجمات الغامضة على البنوك والتي لم تترك وراءها أي أثر: كان المجرمون يستخدمون البرمجيات الخبيثة التي تهاجم ذاكرة النظام المصرفي وتصيب الشبكات المصرفية.
ولكن لماذا كانوا يفعلون ذلك؟ والإجابة الكاملة على هذا التساؤل توجد في حادثة AT Mitch التي توضح الصورة الكاملة.
بدأ التحقيق بعد أن حصل مختصو المعمل الجنائي في البنك على ملفين يحتويان على سجلات للبرمجيات الخبيثة من القرص الصلب الخاص بجهاز الصراف الآلي kl.txt و logfile.txt بالتعاون مع كاسبرسكي لاب.
كانت هذه هي الملفات الوحيدة التي تركها المهاجمون بعد الهجوم ولم يكن من الممكن الوصول إلى البرمجيات الخبيثة القابلة للتنفيذ، وذلك لأن مجرمي الإنترنت قد قاموا بعد السرقة بمسح ملفات البرمجيات الخبيثة، ولكن مع ذلك كان هذا الكم القليل من البيانات كافيًا لكاسبرسكي لاب لإجراء تحقيق ناجح.
وقال محمد أمين حسبيني، باحث أمني أول في كاسبرسكي لاب، توصلت كاسبرسكي لاب إلى أن الهجمات قد استهدفت أكثر من 140 شبكة لشركات تنشط في عدد من مختلف قطاعات الأعمال.
وقد شمل عدد الإصابات الإجمالي 40 دولة تركّزت في الشرق الأوسط وتركيا وأفريقيا، من ضمنها تركيا والمملكة العربية السعودية وإيران وليبيا وباكستان وتونس والمغرب ومصر وكينيا وأوغندا والكونغو وتنزانيا.
كما تم الإبلاغ عن هجمات ATMich في بلدين اثنين فقط حتى الآن، ولكن يبقى هناك احتمال بأن المهاجمين قد لا يزالون نشطين.
وأضاف حسبيني: "وبدورنا، ننصح الشركات بالتحقق من أنظمتها، مع الأخذ في الاعتبار أن بإمكانهم الكشف عن هذا الهجوم في ذاكرة الوصول العشوائي RAM والشبكة والسجل، وبالتالي، فإن استخدام أنظمة Yara الصارمة القائمة على مسح الاستقصائي للملفات المصابة بالبرمجيات الخبيثة لن يكون مجديًا.
وللحؤول دون حصول مثل هذه الهجمات، ننصح بتثبيت برنامج الأمن الشامل. وأود الإشارة إلى منتجات كاسبرسكي لاب قد تمكنت بنجاح من الكشف عن عصابات إلكترونية تستخدم تكتيكات من هذا النوع".
مسح واسترجاع الملفات
من خلال ملفات السجل، تمكن خبراء كاسبرسكي لاب من التعرف على أجزاء من المعلومات في صيغة نص عادي مما ساعدهم على إنشاء قاعدة YARA التي تستخدم لفحص الملفات المشبوهة بمصادر البرمجيات الخبيثة العامة وتمكنوا من العثور على عينة.
وتساعد قواعد YARA- المكونة من سلاسل بحث – المحللين في إيجاد وجمع وتصنيف عينات البرمجيات الخبيثة ذات الصلة ورسم الروابط التي تربط بينها على أساس أنماط النشاط المشبوه في النظم أو الشبكات التي تشترك في سمات وخصائص متشابهة.
وبعد يوم من الانتظار، وجد الخبراء عينة من البرمجيات الخبيثة المطلوبة – tv.dll، أو ATMitch كما أطلق عليها لاحقًا. وقد رصدت هذه البرمجيات مرتين حول العالم: مرة في كازاخستان، ومرة أخرى في روسيا.
ومن خلال إدارة أجهزة الصراف الآلي عن بعد، يتم تثبيت هذه البرمجيات الخبيثة عن بعد وتنفيذها على جهاز صراف آلي من داخل البنك المستهدف.
بعد تثبيتها وتوصيلها إلى أجهزة الصراف الآلي، فإن البرمجية الخبيثة ATMitch تتواصل مع أجهزة الصراف الآلي كما لو أنها برامج نظامية، مما يتيح للمهاجمين إصدار مجموعة من الأوامر مثل جمع معلومات عن عدد الأوراق النقدية في خزينة جهاز الصراف الآلي، بل أكثر من ذلك، فإن هذه البرمجية تمكن المهاجمين من صرف المال في أي وقت بلمسة زر واحدة.
عادة ما يبدأ المهاجم بالحصول على معلومات عن كمية المال المودعة في جهاز الصراف الآلي.
بعد ذلك، يمكن للمهاجم أن يرسل أمرًا لصرف أي عدد من الأوراق النقدية من خزينة أي جهاز.
بعد سحب المال بهذه الطريقة الغريبة، كل ما يحتاجه المهاجم هو الاستيلاء على المال فقط والفرار به.
لا تستغرق عملية مثل هذه لسرقة جهاز صراف آلي إلا بضعة ثوانٍ! وبمجرد الانتهاء من عملية سرقة جهاز الصراف الآلي، تقوم البرمجية الخبيثة بإزالة أي أثر لها.
من هم المهاجمون؟
لم يُعرف بعد من هم المهاجمون الذين يقفون وراء تلك الهجمات. إن استغلال رمز استخدام المصدر المفتوح، ومرافق نظام ويندوز المشتركة واستخدام نطاقات غير معروفة خلال المرحلة الأولى من العملية يجعل من المستحيل تقريبًا تحديد المجموعة المسئولة عن الهجوم.
ومع ذلك فقد كانت برمجيات tv.dll المستخدمة في مرحلة جهاز الصراف الآلي من الهجوم تحتوي على مصدر باللغة الروسية، والمجموعات المعروفة التي يمكن أن تتناسب مع هذه المواصفات هي مجموعات GCMAN و Carbanak.
وصرح سيرجي غولوفانوف، الباحث الأمني الرئيسي في كاسبرسكي لاب بالقول: "تتطلب مكافحة هذه الأنواع من الهجمات مجموعة محددة من المهارات من المختصين في الأمن الذين يحرسون المؤسسة المستهدفة.
لا يمكن تنفيذ اختراق ناجح والحصول على تدفق للبيانات من الشبكة إلا بأدوات مشتركة ونظامية؛ وبعد الهجوم قد يقوم المهاجمون بمسح جميع البيانات التي قد تؤدي إلى تتبعهم، وبذلك لا يتركون خلفهم أي آثر أو دليل يرشد إليهم. لمعالجة هذه المشاكل.
يصبح التحليل الجنائي للذاكرة حاسمًا في تحليل البرمجيات الخبيثة ووظائفها، وكما أثبت هذا الهجوم فإن الاستجابة الموجهة بعناية للحوادث يمكن أن تساعد في حل الجرائم الإلكترونية التي يتم التخطيط لها بإتقان تام".

انقر هنا لقراءة الخبر من مصدره.