無論是在專業機構的資安產品評比,又或者研究機構的調查中,卡巴斯基一直都有非常優異的表現。甚至在 2020 年 Gartner Peer Insights 客戶選擇的端點檢測和回應解決方案中,且被評為是歐洲、中東、非洲和亞太地區等客戶首選。因此,當印度當地銀行的 ATM 遭到駭客攻擊時,第一時間自然是尋求卡巴斯基協助,也因此躲過背後更嚴重的資安威脅,避免 2013 年 DarkSeoul事 件重演。
2018 年印度金融機構爆發 ATMDtrack 惡意程式被植入 ATM 機器的事件,該惡意軟體會讀取與讀取和儲存插入 ATM 機器的金融卡資料,對銀行客戶造成極大影響。為解決此事件,印度當地銀行向卡巴斯基技術團隊求援,為進一步解該惡意程式的運作流程,技術團隊建立一套惡意程式特徵規則(YARA rule),以及運用 Kaspersky Attribution Engine 進行分析,結果進一步找到 Dtrack 間諜工具,以及其所產生的 180 多個新惡意軟件樣本,且相關資料均透過 Dropper 加密。由於 Dtrack 尚且未印度銀行發動攻擊,所以資安人員根本察覺不到異常。
卡巴斯基顧問團隊之所以能夠察覺 Dtrack,在於此惡意程式與 ATMDtrack 共享 memory dumps,所以才能被技術團隊察覺。技術人員在破解加密資料後,發現裡面有許多程式,如 fontview.exe、dwwin.exe、runonce.exe、等。且前述惡意程式正在收集鍵盤記錄、檢索瀏覽器歷史記錄、收集主機 IP 地址、有關可用網路和活動連接的信息、所有正在運行的應用程式、所有可用磁碟機上的文件等資訊。
當時,有些惡意程式正在將收集到的資料,打包到受密碼保護的檔案中,並存到磁碟機中的特定資料夾中,而其他間諜程式則將前述資料傳送到 C&C 中繼站。不光如此,技術團隊也找到可提供遠端存取服務的木馬程式,讓駭客可藉此在受害主機上,執行上傳/下載、執行文件等操作。最後。顧問團隊順利將 ATMDtrack、Dtrack 惡意軟體清除,讓印度當地銀行免除一場可能造成重大損失的資安事件。
在本次協助印度當地銀行清除 ATMDtrack 專案過程中,卡巴斯基認為有兩件事情需要注意。首先,建立一套合宜的 YARA 規則,並搭配可靠歸因引擎,如卡巴斯基的 KATA 平台,可快速找出惡意程式之間的關聯與聯繫狀態。其次,ATMDtrack、Dtrack 都是源自於 Lazarus 集團,該集團是 2013 年發動 DarkSeoul 事件的幕後黑手。因為該集團在 ATMDtrack、Dtrack 中重複運用部分舊程式,藉此攻擊印度的金融部門和研究中心。
面對無孔不入的惡意程式,卡巴斯基建議應該從三部分強化資安防護力,首先是強化密碼管理機制、引進新世代的病毒防護方案,最後則是引進卡巴斯基的 KATA 平台,建立一套可監控網路流量的機制,自然才能將資安威脅降到最低。