ارتفاع طفيف لأسعار الذهب في ختام تعاملات اليوم    شركة الغاز تصدر توضيحا عاجلا بشأن رائحة غريبة في مناطق بالشرقية    بيان أوروبي: ضمانات أمنية قوية لأوكرانيا شرط أساسي لإنهاء الحرب وتحقيق سلام مستدام    سلة – الأهلي يهزم الجزيرة في ثاني جولات دوري السوبر    وفاة شخص وإصابة آخر إثر تصادم موتوسكلين بقنا    سكك حديد مصر: حادث اصطدام قطار بسيارة نقل بالضبعة لم يسفر عن أي إصابات    إبراهيم المعلم: الفن والثقافة والإبداع حرية وتنوع.. ولم أمارس رقابة ذاتية في النشر    مصطفى كامل يكشف تفاصيل ملفات الفساد في نقابة المهن الموسيقية (فيديو)    يا أعز من عينى.. إحساس راق من نسمة محجوب فى برنامج كاستنج.. فيديو    متحدث الوزراء: لا مساس بأسعار الخدمات الطبية المقدمة لمحدودي الدخل    بدء تطبيق المرحلة الثانية من منظومة التأمين الصحى الشامل في هذا الموعد    الإدارية العليا ترفض الطعون المقدمة في بطلان الدوائر الانتخابية في قنا    بوتين يصادق على اتفاقية روسية-هندية لتنظيم نشر القوات وحركة السفن والطائرات العسكرية    ضبط 20 طن أجبان غير صالحة بأحد الثلاجات بغرب الإسكندرية    عيد البحرين ال 26 |القاهرة تثمن مواقف المنامة تجاه القضية الفلسطينية    خبير استراتيجي: داعش يعيد بناء نفسه في البادية السورية.. وواشنطن تستثمر حادث تدمر لشرعنة قاعدة عسكرية    تركيا تسقط طائرة مسيّرة اقتربت من مجالها الجوي فوق البحر الأسود    شعبان يوسف: تجاهل معارك طه حسين مع درية شفيق غير جائز    هل الزيادة في الشراء بالتقسيط تُعد فائدة ربوية؟.. "الإفتاء" تُجيب    الانتهاء من التصالح على مخالفات البناء ل 15 ألف طلب للمواطنين بسوهاج    البعثة المصرية ترفع رصيدها إلى 20 ميدالية فى دورة الألعاب الأفريقية للشباب    اللمسة «الخبيثة» | «لا للتحرش.. بيئة مدرسية آمنة» حملات توعية بالإسكندرية    الأهلي يستعد لضربة هجومية كبرى في الشتاء    "الوطنية للانتخابات": إغلاق 31 مقرًا باليوم الأول من جولة الإعادة للمرحلة الثانية من انتخابات النواب بالخارج    الدور التنفسي المنتشر بين الأطفال.. نصائح طبية للحماية من العدوى    عاهل الأردن يلتقي رئيس الوزراء الهندي لتنسيق الجهود الإنسانية والإقليمية    تقارير إعلامية: القبض على نيك راينر بتهمة قتل والده المخرج روب راينر ووالدته ميشيل سينجر    اجتماع منتظر بين وكيل صلاح وليفربول لحسم مستقبله    الأردن يدعو لحشد دولي عاجل لحماية دور الأونروا وضمان استمرار عملها في غزة    محمد دياب يرد على هجوم محمد صبحي ضد فيلم «الست»: عيب وغير مقبول    منذ قليل.. فتح لجان تصويت المصريين فى لوس أنجلوس بجولة الإعادة بانتخابات النواب    السيطرة على حريق بمخبز دون خسائر بشرية في أسوان    وزير الأوقاف: الانضباط المؤسسي ومجابهة التطرف في صدارة أولويات المرحلة    نائب رئيس جامعة عين شمس: تقديم أوجه الدعم والرعاية للطلاب الوافدين    كيف أرشد الإسلام لأهمية اختيار الصديق؟ الأزهر للفتوي يوضح    ضبط المتهمين في مشاجرة دامية بالبحيرة| فيديو    الجيش الإسرائيلي يعتزم هدم 25 مبنى سكنياً في الضفة الغربية    البحيرة تستعد لأمطار اليوم: المحافظ ترفع درجة التأهب بجميع المراكز والمدن    رضوى الشربيني تهاجم أحمد العوضي بعد تصريحه الأخير: "كل واحد وتربيته"    تأجيل محاكمة 56 متهما بالهيكل الإداري للإخوان لجلسة 11 فبراير    عاجل- رؤساء المجالس التصديرية خلال اجتماع مع رئيس الوزراء: توطين الصناعة وخفض الواردات لتعزيز الصادرات المصرية    سعر طن حديد عز.....اسعار الحديد اليوم الإثنين 15ديسمبر 2025 فى المنيا    الدليل الكامل لامتحان اللغة العربية نصف العام 2025–2026 للمرحلة الابتدائية    "صحة الشيوخ" تُسرّع دراسة إنشاء مستشفى جديد بحلوان بعد توقف القرار 3 سنوات    اتحاد التمويل الاستهلاكي: نمو مستدام وتراجع ملحوظ في التعثر رغم زيادة عدد العملاء 208%    آخر موعد للتقديم الكترونياً لوظيفة معاون نيابة إدارية دفعة 2024    تصدير 37 ألف طن بضائع عامة من ميناء دمياط    رئيس جامعة القاهرة يصدر قرارات بتعيين وتجديد تعيين 14 رئيسًا لمجالس الأقسام العلمية بطب قصر العيني    الزمالك ينتظر انتظام عدي الدباغ في التدريبات الجماعية اليوم    جوجل توقع اتفاقاً للطاقة الشمسية فى ماليزيا ضمن خطتها لتأمين كهرباء نظيفة    جامعة بنها تطلق مبادرة لدعم الأطفال والتوعية بحقوقهم    انطلاق اجتماعات الاتحاد الأفريقي لكرة السلة في مصر    تعرف على مواقيت الصلاة اليوم الإثنين 15-12-2025 في محافظة قنا    إصابة نجم ريال مدريد تعكر صفو العودة للانتصارات    الأزهر يدين الهجوم الإرهابي الذي استهدف تجمعًا لأستراليين يهود ويؤكد رفضه الكامل لاستهداف المدنيين    حُسن الخاتمة.. مفتش تموين يلقى ربه ساجدًا في صلاة العشاء بالإسماعيلية    وفد من لجنة الصحة بمقاطعة هوبي الصينية يزور مستشفى قصر العيني التعليمي    محمد صلاح يوجه رسالة للمصريين من خلال ابنته "كيان" قبل أمم إفريقيا    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



كاسبرسكي تكشف طريقة سرقة أجهزة الصرافة الآلية بدون ترك أي أثر
الفجر نشر في الفجر يوم 01 - 05 - 2017

استطاع خبراء كاسبرسكي معرفة الأدوات التي استخدمها مجرمو الإنترنت في السرقة فقط، ولكن تمكنوا أيضًا من معاودة الهجوم بأنفسهم على جهاز الصراف الآلي، واكتشفوا اختراقًا أمنيًا في ذلك البنك.
وفي شهر فبراير 2017 نشرت كاسبرسكي لاب نتائج التحقيق الذي أجرته بشأن الهجمات الغامضة على البنوك والتي لم تترك وراءها أي أثر: كان المجرمون يستخدمون البرمجيات الخبيثة التي تهاجم ذاكرة النظام المصرفي وتصيب الشبكات المصرفية. ولكن لماذا كانوا يفعلون ذلك؟ والإجابة الكاملة على هذا التساؤل توجد في حادثة ATMitch التي توضح الصورة الكاملة.
بدأ التحقيق بعد أن حصل مختصو المعمل الجنائي في البنك على ملفين يحتويان على سجلات للبرمجيات الخبيثة من القرص الصلب الخاص بجهاز الصراف الآلي kl.txt و logfile.txt بالتعاون مع كاسبرسكي لاب، كانت هذه هي الملفات الوحيدة التي تركها المهاجمون بعد الهجوم ولم يكن من الممكن الوصول إلى البرمجيات الخبيثة القابلة للتنفيذ، وذلك لأن مجرمي الإنترنت قد قاموا بعد السرقة بمسح ملفات البرمجيات الخبيثة، ولكن مع ذلك كان هذا الكم القليل من البيانات كافيًا لكاسبرسكي لاب لإجراء تحقيق ناجح.
وقال محمد أمين حسبيني، باحث أمني أول في كاسبرسكي لاب، توصلت كاسبرسكي لاب، إن الهجمات قد استهدفت أكثر من 140 شبكة لشركات تنشط في عدد من مختلف قطاعات الأعمال. وقد شمل عدد الإصابات الإجمالي 40 دولة تركّزت في الشرق الأوسط وتركيا وأفريقيا، من ضمنها تركيا والمملكة العربية السعودية وإيران وليبيا وباكستان وتونس والمغرب ومصر وكينيا وأوغندا والكونغو وتنزانيا. كما تم الإبلاغ عن هجمات ATMich في بلدين اثنين فقط حتى الآن، ولكن يبقى هناك احتمال بأن المهاجمين قد لا يزالون نشطين.
وأضاف حسبيني: "وبدورنا، ننصح الشركات بالتحقق من أنظمتها، مع الأخذ في الاعتبار أن بإمكانهم الكشف عن هذا الهجوم في ذاكرة الوصول العشوائي RAM والشبكة والسجل، وبالتالي، فإن استخدام أنظمة Yara الصارمة القائمة على مسح الاستقصائي للملفات المصابة بالبرمجيات الخبيثة لن يكون مجديًا. وللحؤول دون حصول مثل هذه الهجمات، ننصح بتثبيت برنامج الأمن الشامل. وأود الإشارة إلى منتجات كاسبرسكي لاب قد تمكنت بنجاح من الكشف عن عصابات إلكترونية تستخدم تكتيكات من هذا النوع".
مسح / استرجاع الملفات
من خلال ملفات السجل، تمكن خبراء كاسبرسكي لاب من التعرف على أجزاء من المعلومات في صيغة نص عادي مما ساعدهم على إنشاء قاعدة YARA التي تستخدم لفحص الملفات المشبوهة بمصادر البرمجيات الخبيثة العامة وتمكنوا من العثور على عينة. وتساعد قواعد YARA- المكونة من سلاسل بحث – المحللين في إيجاد وجمع وتصنيف عينات البرمجيات الخبيثة ذات الصلة ورسم الروابط التي تربط بينها على أساس أنماط النشاط المشبوه في النظم أو الشبكات التي تشترك في سمات وخصائص متشابهة.
وبعد يوم من الانتظار، وجد الخبراء عينة من البرمجيات الخبيثة المطلوبة – tv.dll، أو ATMitch كما أطلق عليها لاحقًا. وقد رصدت هذه البرمجيات مرتين حول العالم: مرة في كازاخستان، ومرة أخرى في روسيا.
ومن خلال إدارة أجهزة الصراف الآلي عن بعد، يتم تثبيت هذه البرمجيات الخبيثة عن بعد وتنفيذها على جهاز صراف آلي من داخل البنك المستهدف. بعد تثبيتها وتوصيلها إلى أجهزة الصراف الآلي، فإن البرمجية الخبيثة ATMitch تتواصل مع أجهزة الصراف الآلي كما لو أنها برامج نظامية، مما يتيح للمهاجمين إصدار مجموعة من الأوامر مثل جمع معلومات عن عدد الأوراق النقدية في خزينة جهاز الصراف الآلي، بل أكثر من ذلك، فإن هذه البرمجية تمكن المهاجمين من صرف المال في أي وقت بلمسة زر واحدة.
عادة ما يبدأ المهاجم بالحصول على معلومات عن كمية المال المودعة في جهاز الصراف الآلي. بعد ذلك، يمكن للمهاجم أن يرسل أمرًا لصرف أي عدد من الأوراق النقدية من خزينة أي جهاز. بعد سحب المال بهذه الطريقة الغريبة، كل ما يحتاجه المهاجم هو الاستيلاء على المال فقط والفرار به. لا تستغرق عملية مثل هذه لسرقة جهاز صراف آلي إلا بضعة ثوانٍ! وبمجرد الانتهاء من عملية سرقة جهاز الصراف الآلي، تقوم البرمجية الخبيثة بإزالة أي أثر لها.
من هم المهاجمون؟
لم يُعرف بعد من هم المهاجمون الذين يقفون وراء تلك الهجمات، إن استغلال رمز استخدام المصدر المفتوح، ومرافق نظام ويندوز المشتركة واستخدام نطاقات غير معروفة خلال المرحلة الأولى من العملية يجعل من المستحيل تقريبًا تحديد المجموعة المسؤولة عن الهجوم، ومع ذلك فقد كانت برمجيات tv.dll المستخدمة في مرحلة جهاز الصراف الآلي من الهجوم تحتوي على مصدر باللغة الروسية، والمجموعات المعروفة التي يمكن أن تتناسب مع هذه المواصفات هي مجموعات GCMAN و Carbanak.
وصرح سيرجي غولوفانوف، الباحث الأمني الرئيسي في كاسبرسكي لاب بالقول: "نتطلب مكافحة هذه الأنواع من الهجمات مجموعة محددة من المهارات من المختصين في الأمن الذين يحرسون المؤسسة المستهدفة. لا يمكن تنفيذ اختراق ناجح والحصول على تدفق للبيانات من الشبكة إلا بأدوات مشتركة ونظامية؛ وبعد الهجوم قد يقوم المهاجمون بمسح جميع البيانات التي قد تؤدي إلى تتبعهم، وبذلك لا يتركون خلفهم أي آثر أو دليل يرشد إليهم. لمعالجة هذه المشاكل، يصبح التحليل الجنائي للذاكرة حاسمًا في تحليل البرمجيات الخبيثة ووظائفها، وكما أثبت هذا الهجوم فإن الاستجابة الموجهة بعناية للحوادث يمكن أن تساعد في حل الجرائم الإلكترونية التي يتم التخطيط لها بإتقان تام".

انقر هنا لقراءة الخبر من مصدره.