מחקר של מעבדת קספרסקי שנערך בחודשים האחרונים הוביל לאיתור ATM-Zombie – נוזקה אשר מטרתה העיקרית היתה גניבת כספים מלקוחות בנקים גדולים בישראל. פושעי הסייבר הספיקו להעביר לחשבונם מאות אלפי שקלים אך עירנות הלקוחות והבנקים בישראל וחקירה של מעבדת קספרסקי עצרו את המתקפה בשלבים מוקדמים. מומחי קספרסקי זיהו עשרות קורבנות של הנוזקה ברבעון האחרון של 2015. דרך הפעולה העידה על איסוף מודיעין מתוכנן היטב. בהתקפה שולבו מספר גורמים, ביניהם קבצים זדוניים ושיתופי פעולה עם מעבירי כספים (money mules) ישראלים, אשר משכו את הכסף ושלחו אותו אל התוקפים.
את החקירה ביצע עידו נאור, חוקר בכיר בצוות החוקרים של מעבדת קספרסקי (GReAT). מחקירת דרך הפעולה של התוקפים עולה כי הנוזקה משתמשת במאפיינים של הדפדפן האחראים על הגדרת שרת מתווך (Proxy) בין מחשב הלקוח לבין השרת אליו הוא מעוניין לפנות. מדובר בשימוש מוכר לצורכי בדיקות תעבורת רשת בארגונים.זו אינה הפעם הראשונה שחוקרים של חברת קספרסקי מתעדים את הפעילות של נוזקה כזו, המשתייכת למשפחת נוזקות מסוג Proxy-changer. שיוך הנוזקה נקבע בגלל היכולת שלה ליצור נתיב באמצע (מתווך), בין הדפדפן של הלקוח לשרת הבנק. בשנת 2013, תיעד פאביו אסוליני, חוקר בכיר בצוות GReAT, בפירוט את יכולות הנוזקה, דרכי ההידבקות האפשריים ודרכי ההתגוננות.
“חשוב לציין כי מוסדות פיננסיים בישראל ידועים ביכולותיהם הגבוהות למגר פעילות עוינת. הם מגובים במוצרים הנמצאים בחזית הטכנולוגיה, נותנים מקום לחדשנות טכנולוגית, במיוחד בתחום הסייבר ואף פותחים את דלתם בפני סטארטאפים, על מנת לנסות ולהגביר את יכולות ההגנה, הזיהוי והמיגור בהתקפות בהן לא קיים מודיעין מוקדם על סוג התקיפה או מטרותיה. היכולות הגבוהות של מערכות ההגנה סייעו אף הן לעצור את המתקפה בשלביה הראשונים”, אומר עידו נאור.
“עם זאת, במקרה זה, התוקפים הצליחו משום שתקפו את הלקוח הסופי ולא את הבנקים עצמם. הם ניצלו את החוליה החלשה. למזלנו, יכולותיהן הגבוהות של מערכות ההגנה של הבנקים סייעו לעצור את ההתקפה בשלביה הראשונים “, מסביר נאור. ואכן, מיד אחרי שעודכנו, נקטו הבנקים שנפגעו באמצעים הנדרשים על מנת לסכל את המתקפה, מה שהביא לעצירתה המוחלטת.
אופן ביצוע המתקפה
הנוזקה שנחשפה מתחלקת לארבעה שלבים:
1. שלב ההדבקה
2. שלב ההמתנה לקורבן שיתחבר לשרת הבנק וינותב לשרת עוין
3. שלב ההשתלטות על החשבון של הקורבן ע”י התוקף
4.שלב גניבת הכסף והעברתו אל מחוץ לגבולות המדינה
ההדבקה – ההערכה היא כי מדובר ב-spear phishing – מיילים אשר מטרתם למשוך את הקורא, דרך תוכן אישי, ללחוץ על לינק או להפעיל קובץ שהוצמד למייל המכיל קריאה להורדה של הנוזקה. פעולה זו מפעילה את הנוזקה על מחשב הקורבן.
ההמתנה – לאחר הרצת הנוזקה, מחשב הקורבן מכיל את פרטי השרת המתווך בהגדרות הדפדפן, ואף מכיל תעודה דיגיטלית חתומה, על מנת שיוכל לתקשר עם שרת הבנק. ללא התעודה שרתי הבנק ידחו את תעבורת המידע, מפני שהטווח בין הלקוח לשרת לא יהיה מוצפן. היה והחליט הקורבן להתחבר לחשבון הבנק שלו, המאפיינים בדפדפן ינתבו את הקורבן לשרת התוקף הנראה בדיוק כמו שרת הבנק. ניסיון ההתחברות של הקורבן יהיה ניסיון התחברות לשרת התוקף וכך יגנוב התוקף את הפרטים המזהים.
ההשתלטות – בשלב זה מתחבר התוקף לחשבונו של הקורבן ומשתמש במודיעין שאסף על מנת להוציא כסף מהחשבון. הדרך בה בחר התוקף מעידה על דרך איסוף המודיעין ועל שימוש בגורמים פנים ארציים. במקרה זה בחר התוקף לנצל פיצ’ר לגיטימי המאפשר העברת כסף באמצעות הודעת טקסט. ההודעה נשלחת לאחר מילוי טופס באתר, טופס המכיל את פרטי המקבל,
תעודת הזהות שלו, מספר הטלפון אליו ישלח אישור העברה בצורת קוד משתמש, סכום, תאריך משיכה ופרטים נוספים. מה שנדרש כעת הוא למשוך את הכסף מהכספומט.
גניבת הכסף – מכיוון שהתוקף הנמצא במרחב הפיזי מופעל מרחוק על ידי התוקף שפרץ את החשבון, נקרא הראשון “זומבי”. הנוזקה נקראה על ידי חוקרי קספרסקי ATM-Zombie מפני שתפקידו של אותו “זומבי” – שהוא גם מעביר הכספים – הוא למשוך את הכסף מהכספומט על פי קריאה, ובינו ובין הנוזקה אין לכאורה חיבור ישיר.
בשלב זה שולח התוקף פרטים אל ה”זומבי”, וזה ניגש לכספומט הנקבע מראש ומושך את הכסף במזומן. לאחר המשיכה מעביר ה”זומבי” את הכסף אל התוקף דרך מדיום נוסף. ישנן מספר דרכים להעביר את הכסף ללא כל עקבות.