بدافزار ATMJaDi، دشمن جان دستگاه‌های خودپرداز

31 تیر 1398 بدافزار ATMJaDi، دشمن جان دستگاه‌های خودپرداز

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بهار 2019 بود که به نمونه‌ای از بدافزار جدیدِ ATM برخوردیم. این بدافزار درقالب جاوا نوشته و در یک سرویس اسکنر چندگانه آپلود شده بود. خاستگاه این بدافزار ابتدا مکزیک بود و بعد در کلمبیا نیز دیده شد. بعد از تحلیلی کوتاه پی بردیم نام این بدافزار ATMJaDi است و می‌تواند دخل دستگاه‌های خودپرداز را دربیاورد و همه‌ی نقدینگی‌اش را غارت کند. با این حال برای این کار از آرشیوهای استاندارد  XFS، JXFS یا CSC استفاده نمی‌کند؛ بلکه در عوض این بدافزار تنها با زیر مجموعه‌ی کوچکی از دستگاه‌های خودپرداز سازگاری خواهد داشت. از همین روست که می‌گوییم این بدافزار بسیار هدف‌دار عمل کرده و حلقه‌ی قربانیانش بسیار محدود و خاص است.

یکی از محصولات ما در کسپرسکی توانست این نمونه تروجان را مورد شناسایی قرار دهد.

جزئیات فنی  

نخست اینکه، درست مانند هر بدافزار دستگاه خودپردازی، مهاجمین باید راهی پیدا کنند تا بتوانند بدافزار خود را روی ATMها نصب کنند. این بدافزار را نمی‌توان از طریق کیبورد یا تاچ‌اسکرین ATM کنترل کرد زیرا برای اهدافی که دارد در خود رابط وبِ سرور  HTTP درون‌سازه‌ای اجرا می‌کند. بنابراین مجرمین باید به منظور دسترسی به دستگاه خودپرداز مورد هدف خود شبکه‌ی اینترنتی داشته باشند. این باعث شده تا فکر کنیم مجرمان زیرساخت بانک را برای دسترسی پیدا کردن به شبکه‌ای که دستگاه‌های خودپرداز بدان وصلند دستکاری کرده‌اند.

وقتی بدافزار نصب و اجرا شد (در قالب فایل آرشیو جاوا موسوم به INJX_PURE.jar) آنوقت به دنبال پروسه‌ای خواهد گشت که  ATM را بتوان با آن تحت کنترل درآورد و به داخل آن رخنه کرد؛ بطوریکه انگار این فرآیند دارد کاملاً قانونی عمل می‌کند. بعد از این تزریق، بدافزار به طور همزمان پیامی را به چند زبان روی پایانه پرینت می‌کند: روسی، پرتغالی، اسپانیایی و چینی. با این وجود، تمام پیام‌ها یا رشته‌های دیگر که توسط این بدافزار استفاده شده‌اند به زبان انگلیسی است. تمام این عبارات که به زبان‌های مختلف نمایش داده شده‌اند به انگلیسی «آزادی و شکوه» ترجمه می‌شوند. این عبارت در ادامه‌اش یک پیام اضافی به زبان روسی هم دارد و آن این است: «отдельный» به معنای «جداگانه». گمان داریم این یک‌ عملیات پرچم دروغین[1] باشد؛ زیرا روسی‌زبانانِ بومی هیچوقت در این شرایط از این واژه‌ی بخصوص استفاده نمی‌کنند.

  • Свобода и слава
  • Liberdade e glória
  • Libertad y Gloria
  • 自由与荣耀
  • Отдельный

سپس، یک سرور HTTP با استفاده از مسیرهای از پیش تعریف‌شده‌ی URL  شروع می‌کند به پذیرش فرمان‌ها. آن‌ها از قرار زیر می‌باشند:

  • /d برای دریافت کاستِ دستگاه خودپرداز به منظور انجام اقدامات (اقدام درست را پارامترهای موفقیت‌آمیز رقم می‌زند)
  • /eva برای ارزیابی (اجرای) کد تأمین‌شده توسط کاربر روی خودپردازِ قربانی
  • /mgr برای مدیر که اجازه می‌دهد مجرمان به فهرستی از دسته‌های در حال اجرا (برای ماشین مجازی جاوای مربوطه) دسترسی پیدا کنند تا بدین‌ترتیب بتوانند هر کارکردی را از آن طلب کرده و درصورت نیاز نیز هر نوع استدلالی را به نفع خود تمام کنند.
  • /core به مجرمین اجازه می‌دهد تا از فایل سیستم قربانی یک فایل بخصوصِ .jar لود کنند
  •  /root این مسیر، بدنه‌ی درخواست POST را قبول می‌کند و آن را در قالب یک فرمان Shell به cmd.exe تحویل می‌دهد (که خروجی نهایی را بازمی‌گرداند).

این مسیر run a shell و توزیع از هیچ صفحه‌ی رابط (با فرم و دکمه) برخوردار نیستند اما در عوض تنها درخواست‌های از پیش آماده‌شده‌ی HTTP POST را قبول  و نتایج خامی را به صورت متنی در پیج پرینت می‌کنند (بدین‌ترتیب تگ‌های  HTML نیز حذف می‌شود). بنابراین، اگر مورد، درخواست توزیع بود پاسخ بدافزار، این رشته خواهد بود: «ok». درخواست get cash units information نیز در ادامه با خود رشته‌ای دارد که شرایط واحدهای نقدینگیِ دستگاه‌های خودپرداز را شرح می‌دهد (همانطور که در نمونه‌ی زیر مشاهده می‌کنید).

; 20:30; 10:100; 5:700; 1:1000

این رشته عبارت است از چهار گروه که هر یک بواسطه‌ی نقطه ویرگول از هم جدا شده‌اند. این فهرستی است که به کاست نقدینگی دستگاه خودپرداز مربوط می‌شود و متشکل است از دو ارزش؛ که هر یک با دو نقطه از هم جدا شده‌اند: یکی واحد پول و دیگری تعداد دقیق و واقعی اسکناس‌های داخل کاست. در نمونه‌ی بالا اولین کاست در خود 1000 یادداشت بانکی از واحد 1 و 700 یادداشت بانکی از واحد 5 و غیره.

جدا از مسیرهای  “run a shell”، “dispense” و “get cash unit”، مسیرهای “eva”، “mgr” و “core” از صفحات رابط برخورداند. در زیر اسکرین‌شاتی از پیج ارزیابی را خدمتتان ارائه داده‌ایم:

 

 

بدین‌ترتیب، به مجرمان اجازه داده می‌شود تا هر کد جاوااسکریپتی را روی دستگاه خودپرداز قربانی اجرا کنند و ببینند آیا جواب می‌دهد یا خیر. حالا چرا جاوااسکریپت؟ چون جاوا استفاده از موتورهای خارجی را برای مجرمان آزاد گذاشته. در زیر، قابلیتی را مشاهده می‌کنید که بدافزار از آن برای اجرای کد پذیرفته‌شده‌ی جاوااسکریپت استفاده می‌کند.

 

 

نتیجه‌گیری

طبیعت هدف‌دارِ بدافزار ATMJaDi نشان می‌دهد مجرمان پیش از نوشتن بدافزارشان، قربانی را به خوبی می‌شناسند. پر واضح است که حتماً به ATM -که در آن دسته‌های سفارشی جاوا و تازه به احتمال قوی کد منبع برنامه‌ی جاوا نیز اجرا می‌شود- دسترسی داشته‌اند. همچنین اینکه، روشی که بدافزار تحت کنترل قرار می‌گیرد نشان می‌دهد مجرمین در نظر داشتند برای دسترسی به دستگاه خودپردازِ آلوده، شبکه‌ی اینترنتی آن را نشانه روند (احتمالاً از طریق شبکه‌ی اینترنتی داخلی بانک).

بانک‌ها برای جلوگیری از این نوع حملات باید چه اقداماتی را انجام دهند؟

  • بکارگیریِ راه‌حل‌های ضد حملاتِ هدف‌دار (نظیر  KATA[2]) به منظور محافظت از شبکه‌ی اینترنتی بانک و سایر راه‌حل‌ها جهت محفظت از دستگاه‌های خودپرداز خود در مقابل این بدافزار.
  • تهیه‌ی لیست سفید از ATM
  • شبکه‌ی بانکی ATM باید جداگانه و دسترسی به آن نیز می‌بایست به شدت محدود باشد.

البته این موارد را گلچین کردیم و البته که فهرست راهکارهای پیشگیرانه بلند بالاتر از اینهاست. این را به یاد داشته باشید که امنیت اطلاعات نیازمند واکنش‌دهیِ به موقع و توجه توأمان دارد. 

 

[1]  false flag، به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.

[2] Kaspersky Anti Targeted Attack Platform

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد