«Лаборатория Касперского» выпустила отчет о расследовании обстоятельств кибератаки, направленной на банкоматы. Портал Банки.ру разбирался, как можно заставить банкомат выдать деньги без всякой карты.
В ходе расследования специалисты центра глобальных исследований и анализа «Лаборатории Касперского» выяснили, что основой атаки является вредоносная программа (троянец), получившая обозначение Backdoor.MSIL.Tyupkin (в честь сотрудницы компании, у которой в тот день был день рождения). Основной функцией Тюпкина оказалась выдача банкнот путем прямой манипуляции диспенсером (раздатчиком) банкнот.
Расследование выявило более 50 зараженных банкоматов восточноевропейских банков, причем компания не сообщает, о каких банках и странах идет речь. Зато в исследовании приведена диаграмма с данными VirusTotal – сервиса, анализирующего подозрительные файлы с помощью множества антивирусов. И, судя по этой диаграмме, уже 20 пользователей с территории России присылали Backdoor.MSIL.Tyupkin. Из других стран образцов Тюпкина поступило гораздо меньше. Это позволяет сделать вывод, что российские банкоматы не только не избежали внимания создателей троянца, но и являются основной для них целью. «Жертвами» оказались банкоматы одной и той же компании из первой тройки производителей, с операционной системой WindowsXP на борту.
Фото: Fotolia/asife
Процесс заражения банкомата удалось отследить с помощью видеокамер, установленных в помещениях с атакованными банкоматами. Преступники действуют «в лоб», просто открывая верхнюю часть банкомата ключом, затем устанавливают в оптический привод компьютера банкомата компакт-диск с вредоносной программой. Где они берут ключи – особый вопрос. Но известно, что самым простым способом раздобыть копию ключа является подкуп инженера технической поддержки, обслуживающего эти банкоматы. Кроме того, если замок в банкомате не менялся со времен приобретения аппарата у производителя, к нему может подходить общий для этой модели мастер-ключ.
«Лаборатория Касперского» не сообщила подробностей способа заражения. Скорее всего, злоумышленники перезагружают компьютер банкомата, входят в настройки BIOS, включают загрузку с компакт-диска и загружаются с диска с троянцем. После перезагрузки операционная система заражается Тюпкиным. Кроме того, троянец отключает встроенное защитное решение McAfee Solidcore. После этого преступники извлекают диск, запирают банкомат и покидают сцену. Очередь за дропами – сборщиками денег.
Работа дропов тоже оказалась «засвечена» камерами. Зараженный банкомат внешне работает точно так же, как раньше, но по воскресеньям и понедельникам строго с 01:00 до 05:00 он принимает дополнительные команды, которые нужно вводить с пинпада аппарата. В один из этих периодов дроп навещает банкомат и вводит команду, показывающую главное меню троянца на экране устройства. Помимо этой команды, как установили эксперты «Лаборатории Касперского», можно ввести команду на самоудаление троянца и команду на продление периода активности до 10:00.
Знания основных команд троянца недостаточно для обогащения. Создатели вредоносной программы позаботились о том, чтобы их детище оставалось под их контролем. При входе в главное меню троянец запрашивает одноразовый сессионный ключ, который выдают дропу его вышестоящие подельники.
Если введенный ключ оказался верным, троянец показывает содержимое кассет с банкнотами и запрашивает номер кассеты, из которой нужно извлечь деньги. После ввода номера диспенсер банкомата получает команду на выдачу 40 банкнот. Если код неверен, зловред отключает доступ банкомата к сети. Зачем он это делает, эксперты пока не выяснили. Предположительно, это должно затруднить расследование инцидента.
По мнению представителей «Лаборатории Касперского», Тюпкин относится к угрозам нового поколения, которые в скором будущем придут на смену традиционному кардерскому бизнесу – скиммингу. Скимминг приносил и приносит хорошие деньги, но имеет ряд проблем, предрекающих падение его популярности: сложная многоэтапная схема обогащения, относительно рискованная для ее участников (об этом говорит и растущее число арестов кардеров), неприменимость для карт с EMV-чипами, а также все более изощренные антискимминговые системы, применяющиеся производителями банкоматов. Тюпкин работает проще, грубее и прибыльнее, атакуя не карты, а саму карточную инфраструктуру.
Первые образцы троянца, проанализированные «Лабораторией Касперского», были скомпилированы в марте 2014 года. Это косвенно свидетельствует о том, что злоумышленники практически беспрепятственно «доят» банкоматы на протяжении многих месяцев. Точные потери банков неизвестны и никогда известны не будут, ясно лишь, что речь идет как минимум о миллионах долларов.
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Висенте Диаза, это не первый троянец такого рода: «Мы уже видели несколько подобных образцов, таких как Ploutus. Этот вид троянцев отличается тем, что при удачном заражении обеспечивает преступникам немедленное обогащение».
Backdoor.Ploutus.B, модульный троянец, обнаруженный в конце 2013 года в мексиканских банкоматах, также умеет выдавать наличные деньги. Принципиальным его отличием от Tyupkin является получение команд через СМС-сообщения с помощью мобильного телефона, подключенного к USB-порту компьютера банкомата. Телефон неизбежно привлекает внимание инженеров и тем самым демаскирует заражение в случае, если банкомат нуждается в каком-то обслуживании, требующем открытия верхней части. Tyupkin этого недостатка лишен, поскольку внешне никак себя не проявляет до получения специальной команды.
«Злоумышленники научились заражать своим троянцем аппараты лишь одного производителя, – говорит Диаз. – Как только им удалось изобрести метод заражения банкомата определенной модели, они могут испробовать то же самое и с другими банкоматами данной модели. Атака будет успешно проходить до тех пор, пока банки не внедрят дополнительные защитные механизмы».
Эксперты «Лаборатории Касперского» призвали банки пересмотреть меры физической защиты своих банкоматов и инвестировать деньги в защитные решения, установить сигнализацию, а также заменить замки верхнего отсека. Удалить вредоносную программу с зараженного устройства можно с помощью бесплатных антивирусных инструментов.
Михаил ДЬЯКОВ, Banki.ru
Источник: Banki.ru
Тюпкин грабит банкоматы