Saldırganlar Atm’leri Boşaltıp Milyon Dolarları Çaldı, İnterpol Ülkeleri Uyardı

Kaspersky Lab uzmanları, dünya genelinde çok sayıda ATM’yi hedef alan siber suç saldırıları ile ilgili adli bir soruşturma gerçekleştirdi. Soruşturma sırasında şirketin araştırmacıları, saldırganların ATM’leri etkileyerek doğrudan manipülasyon yoluyla bankamatikleri

Kaspersky Lab uzmanları, dünya genelinde çok sayıda ATM’yi hedef alan siber suç saldırıları ile ilgili adli bir soruşturma gerçekleştirdi. Soruşturma sırasında şirketin araştırmacıları, saldırganların ATM’leri etkileyerek doğrudan manipülasyon yoluyla bankamatikleri boşaltıp milyonlarca dolar çalmasını sağlayan kötü amaçlı bir yazılım parçası keşfetti. Etkilenen üye ülkeleri uyaran INTERPOL, devam eden soruşturmalara da yardımcı oluyor.

Saldırganlar, yalnızca Pazar ve Pazartesi günleri gece geç saatlerde çalışıyor. Herhangi bir kredi kartı kullanmadan ATM’nin klavyesini kullanarak bir parolayı tuşlayan saldırganlar, bir operatörden diğer talimatları almak için bir arama gerçekleştiriyor ve bir dizi başka sayıyı tuşladıktan sonra ATM bir sürü nakit para vermeye başlıyor. Ardından saldırganlar olay yerinden ayrılıyor.

Peki saldırılar nasıl gerçekleştiriliyor

Suçlular iki aşamalı çalışıyor. Öncelikle, ATM’lere fiziksel olarak erişerek kötü amaçlı yazılımı yüklemek için, Kaspersky Lab tarafından Tyupkin kod adı verilen, önyüklenebilir bir CD yerleştiriyor. Sistemi yeniden başlattıktan sonra etkilenen ATM, artık suçluların kontrolüne geçmiş oluyor.

Başarılı bir işlemden sonra kötü amaçlı yazılım, bir komut bekleyen sonsuz bir döngü içinde çalışmaya başlıyor. Dolandırıcılığın tespit edilmesini zorlaştırmak amacıyla Tyupkin kod adlı kötü amaçlı yazılım, komutları yalnızca Pazar ve Pazartesi geceleri belli saatlerde kabul ediyor. Yalnızca o saatlerde saldırganlar etkilenen makineden para çalabiliyor.

Etkilenen ATM’lerdeki güvenlik kameralarından elde edilen video görüntüleri, makinelerden nakit çekmek için kullanılan metodolojiyi ortaya çıkardı. Her oturum için, rasgele sayılarla benzersiz bir rakam kombinasyonundan oluşan yeni bir parola oluşturuluyor. Böylelikle, bu çetenin dışında herhangi birinin yanlışlıkla yapılan dolandırıcılık işinden kar sağlaması engelleniyor. Ardından kötü niyetli saldırgan, algoritma bilen ve gösterilen sayıya göre bir oturum parolası üretebilecek bir başka çete üyesinden telefonla talimat alıyor. Bu işlem, parayı tahsil eden kuryenin parayla birlikte tek başına ortadan kaybolmamasını garanti ediyor.

Parola doğru girildiğinde ATM, her bir para kutusunda toplam ne kadar nakit olduğunu gösteriyor ve saldırgan bu bilgiye göre hangi kaseti soyacağına karar veriyor. Bundan sonra ATM, seçilen kutudan tek seferde 40 adet banknot veriyor.

Tyupkin Zararlı Yazılımı

Bir finansal kurumun talebi üzerine Kaspersky Lab’ın Global Araştırma ve Analiz Ekibi bu siber suç saldırısı ile ilgili adli soruşturma yürüttü. Belirlenen zararlı yazılım, Kaspersky Lab tarafından Backdoor.MSIL.Tyupkin olarak adlandırıldı ve bugüne kadar Latin Amerika, Avrupa ve Asya’daki ATM’lerde tespit edildi

Kaspersky Lab Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Vicente Diaz; “Son birkaç yıldır, yüzey tarama cihazları ve kötü amaçlı yazılımları aracılığıyla yapılan ATM saldırılarında önemli bir artış gözlemledik. Şimdi de bu tehdidin siber suçlularla birlikte zincirin yukarısına doğru hareket ettiğine ve doğrudan finans kurumlarını hedef alan doğal evrimine şahit oluyoruz. Bu, ATM’leri etkileyerek veya doğrudan bankalara karşı APT tarzı saldırılar gerçekleştirilerek yapılmaktadır. Tyupkin zararlı yazılımı, saldırganların ATM altyapısındaki zayıflıklardan yararlanmasına bir örnektir” şeklinde konuştu.

INTERPOL Dijital Suç Merkezi Direktörü Sanjay Virmani ise şunları söyledi:”Bankalara şiddetle ATM’lerinin fiziksel güvenliğini ve ağ altyapılarını gözden geçirmelerini ve bu bağlamda kaliteli güvenlik çözümlerini değerlendirmelerini tavsiye ediyoruz.Suçlular suç işleme yöntemlerini geliştirmenin sürekli yeni yollarını tespit ediyor ve bizim de üye ülkelerimizdeki emniyet kurumlarını işin içine dahil etmemiz ve onları güncel trendler ve işleyiş biçimleri hakkında bilgilendirmemiz oldukça önemlidir.”

Bankaların riski azaltmak için yapabilecekleri:

  • ATM’lerinin fiziksel güvenliğini gözden geçirmek ve kaliteli güvenlik çözümlerine yatırım yapmak.
  • ATM makinelerinin üst kapağında bulunan tüm kilitleri, ana anahtarları ve üretici tarafından sağlanan varsayılan ayarları değiştirmek.
  • Bir alarm sistemi kurmak ve iyi bir şekilde çalışır olduğundan emin olmak. Tyupkin yazılımını kullanan siber suçlular, yalnızca güvenlik alarmı olmayan ATM’leri etkileyebilmiştir.
  • Varsayılan BIOS parolasını değiştirmek.
  • Makinelerin güncel bir antivirüs programı tarafından korunduğundan emin olmak
  • ATM’lerinizin etkilenmiş olup olmadığını nasıl anlayacağınızı öğrenmek için intelreports@kaspersky.com adresinden Kaspersky Lab uzmanları ile irtibata geçebilirsiniz.ATM sisteminde tam bir tarama yapmak ve arka kapıyı silmek için ücretsiz Kaspersky Virüs Temizleme Aracı’nı kullanabilirsiniz (indirmek için buraya tıklayın).

Bu saldırının gerçek bir ATM üzerinde nasıl çalıştığını gösteren bir videoya buradan ulaşabilirsiniz.

Tyupkin zararlı ATM yazılımı ile ilgili daha fazla bilgi için bkz. Securelist.com

İpuçları