سرقت اطلاعات کارت بانکی هندی‌ها توسط یک بدافزار

اخیراً یک بدافزار در هند کشف شده که توانسته فیلترهای امنیتی عابر بانک‌های این کشور را پشت سر بگذارد. بر اساس گزارشات منتشر شده، گفته می‌شود این بدافزار را گروه Lazarus تولید کرده است. طبق آخرین اسناد، گروه نامبرده توسط سازمان Reconnaissance General Bureau وابسته به وزارت اطلاعات کره شمالی کنترل می‌گردد.

پیش از این هم چنین اتفاقاتی افتاده بود. برای مثال، در سال ۲۰۱۷ گروه Lazarus باج‌افزار WannaCry را به کشورهای ایالات متحده و انگلیس ارسال کرد و پیش از آن نیز در سال ۲۰۱۴ حملات سایبری به شرکت ژاپنی سونی شرکت کرده بود. لازم به ذکر است که در اوایل ماه جاری میلادی، دولت آمریکا Lazarus را به لیست کمپانی‌های تحریم شده خود افزوده بود.

کنستانتین زایکوف (Konstantin Zykov) محقق امنیتی تیم تحقیقاتی Kaspersky و Analysis Team در این‌باره می‌گوید:

Lazarus یک گروه بی‌فایده است که توسط دولت یکی از کشورها حمایت می‌شود. از یک سو، این شرکت مانند بسیاری از سازمان‌های دیگر جاسوسی سایبری را دستورکار خود قرار داده و فعالیت‌های خرابکارانه‌ای انجام می‌دهد و از سویی دیگر، در حملاتی نقش دارد که مستقیماً باعث می‌شوند پول‌هایی از حساب‌های بانکی افراد به سرقت بروند

زایکوف قبل هم ATMDtrack که نوعی بدافزار طراحی شده برای حمله به بانک‌های هند به شمار می‌رفت را کشف کرده بود و بررسی‌های بیشتر نشان داد که این بدافزار در عابر بانک‌ها حضور پیدا می‌کند تا اطلاعات کارت‌های اعتباری وارد شده به درون دستگاه‌های خودپرداز را بدزدد.

در ادامه فعالیت‌های تحقیقاتی خود، دانشمندان متوجه شدند که بیش از ۱۸۰ نمونه بدافزار مشاهده گردیده که همه آنها شباهت‌هایی به ATMDtrack داشتند اما در مراحل اولیه حمله کسی از وجود آنها باخبر نبود به همین دلیل سیستم‌های امنیتی بدافزار نامبرده را نوعی ابزار جاسوسی می‌پنداشتند تا یک عامل حملات سایبری.

مؤسسات مالی و مراکز تحقیقاتی هند هم اخیراً به این نتیجه رسیده‌اند که ابزار جاسوسی ATMDtrack فایل‌های مشکوک خود را به خودپردازهای مشکل‌دار آپلود و دانلود می‌کرد و اطلاعات کلیدی و سایر اقدامات خرابکارانه را به صورت از راه دور به عابر بانک‌ها می‌فرستاد.

باید به این نکته اشاره کنیم که Dtrack را می‌توان به عنوان یک ابزار مدیریتی به کار برد تا حمله کنندگان سایبری کنترل دستگاه‌های مشکل‌دار را در اختیار بگیرند. سپس مجرمان اقدامات مختلفی نظیر آپلود و دانلود فایل‌ها را انجام می‌دهند تا در انجام فعالیت‌های بانکی اختلال ایجاد کنند.

Kaspersky ادامه می‌دهد:

قربانیانی که هدف حمله مجرمان اینترنتی قرار می‌گیرند و مورد سو استفاده ابزار مدیریتی کنترل از راه دور Dtrack واقع می‌شوند، معمولاً از امنیت پایینی برخوردار بوده و استانداردهای مربوط به کلمات عبور را به خوبی رعایت نکرده‌اند و به خاطر نبود امکان ردیابی ترافیک، بسیار ناامن هستند

اگر بدافزار نامبرده با موفقیت به هدف شوم خود برسد، می‌تواند تمام فایل‌های در حال استفاده، اطلاعات کلیدی، تاریخچه جستجو و آدرس IP سیستم‌های میزبان را دریافت کند و داده‌های مربوط به اتصالات فعال اینترنتی را به دست آورد.

Kaspersky همچنین هشدار می‌دهد که Dtrack همچنان در حال استفاده است و حمله کنندگان سایبری از آن سو استفاده می‌کنند.

زایکوف خاطرنشان می‌کند:

نمونه‌های متعدد پیدا شده از Dtrack نشان می‌دهند که چگونه Lazarus یکی از مهم‌ترین و فعال‌ترین گروه‌های جاسوسی اینترنتی خطرناک است و مدام پیشرفت می‌کند و در حملات سایبری شرکت دارد و بر صنایع مختلف تأثیرات منفی می‌گذارد. اقدامات موفقیت‌آمیز آنها ثابت می‌کند که حتی وقتی به نظر می‌رسد که یک بدافزار از بین رفته، چگونه با اشکال و اسامی مختلف می‌تواند مجدداً حملات دیگری را ترتیب دهد

برای اینکه هدف حملات و بدافزارهای این‌چنینی قرار نگیریم، بهتر است از نرم‌افزارهای نشان‌دهنده ترافیک اینترنت استفاده کنیم و ابزارهای ایجاد کننده امنیت که به تکنولوژی‌های تشخیص رفتارهای مجازی مجهز هستند را به کار ببریم و مدام زیرساخت‌های امنیتی سازمانی را بروز کنیم و کارکنان و مشتریان را با جدیدترین روش‌های حفاظت از خود در برابر کلاه‌برداری اینترنتی آشنا سازیم.

لازم به ذکر است که بزرگ‌ترین حمله سایبری به زیرساخت‌های بانکی هند در سال ۲۰۱۶ انجام و طی آن اطلاعات ۳ میلیون و ۲۰۰ هزار هندی فاش شد. کارت‌های اعتباری این افراد در بین بازه زمانی ۲۱ می تا ۱۱ جولای ۲۰۱۶ صادر شده بودند و بعدها به اثبات رسید که بدافزار مربوطه وارد سیستم‌های Hitachi Payment Services شده است.