«Лаборатория Касперского» выпустила отчет о расследовании обстоятельств кибератаки, направленной на банкоматы. В ходе расследования специалисты центра глобальных исследований и анализа «Лаборатории Касперского» выяснили, что основой атаки является вредоносная программа (троянец), получившая обозначение Backdoor.MSIL.Tyupkin.
Основной функцией Тюпкина оказалась выдача банкнот путем прямой манипуляции диспенсером (раздатчиком) банкнот.
Расследование выявило более 50 зараженных банкоматов восточноевропейских банков, причем компания не сообщает, о каких банках и странах идет речь. Зато в исследовании приведена диаграмма с данными VirusTotal – сервиса, анализирующего подозрительные файлы с помощью множества антивирусов. И, судя по этой диаграмме, уже 20 пользователей с территории России присылали Backdoor.MSIL.Tyupkin. Из других стран образцов Тюпкина поступило гораздо меньше. Это позволяет сделать вывод, что российские банкоматы не только не избежали внимания создателей троянца, но и являются основной для них целью. «Жертвами» оказались банкоматы одной и той же компании из первой тройки производителей, с операционной системой WindowsXP на борту, пишет banki.ru.
Процесс заражения банкомата удалось отследить с помощью видеокамер, установленных в помещениях с атакованными банкоматами. Преступники действуют «в лоб», просто открывая верхнюю часть банкомата ключом, затем устанавливают в оптический привод компьютера банкомата компакт-диск с вредоносной программой. Где они берут ключи – особый вопрос. Но известно, что самым простым способом раздобыть копию ключа является подкуп инженера технической поддержки, обслуживающего эти банкоматы. Кроме того, если замок в банкомате не менялся со времен приобретения аппарата у производителя, к нему может подходить общий для этой модели мастер-ключ.
«Лаборатория Касперского» не сообщила подробностей способа заражения. Скорее всего, злоумышленники перезагружают компьютер банкомата, входят в настройки BIOS, включают загрузку с компакт-диска и загружаются с диска с троянцем. После перезагрузки операционная система заражается Тюпкиным. Кроме того, троянец отключает встроенное защитное решение McAfee Solidcore. После этого преступники извлекают диск, запирают банкомат и покидают сцену. Очередь за дропами – сборщиками денег.
Работа дропов тоже оказалась «засвечена» камерами. Зараженный банкомат внешне работает точно так же, как раньше, но по воскресеньям и понедельникам строго с 01:00 до 05:00 он принимает дополнительные команды, которые нужно вводить с пинпада аппарата. В один из этих периодов дроп навещает банкомат и вводит команду, показывающую главное меню троянца на экране устройства. Помимо этой команды, как установили эксперты «Лаборатории Касперского», можно ввести команду на самоудаление троянца и команду на продление периода активности до 10:00. Специалисты компании даже сняли видеоролик, как это происходит.
Знания основных команд троянца недостаточно для обогащения. Создатели вредоносной программы позаботились о том, чтобы их детище оставалось под их контролем. При входе в главное меню троянец запрашивает одноразовый сессионный ключ, который выдают дропу его вышестоящие подельники.
Если введенный ключ оказался верным, троянец показывает содержимое кассет с банкнотами и запрашивает номер кассеты, из которой нужно извлечь деньги. После ввода номера диспенсер банкомата получает команду на выдачу 40 банкнот. Если код неверен, зловред отключает доступ банкомата к сети. Зачем он это делает, эксперты пока не выяснили. Предположительно, это должно затруднить расследование инцидента.
По мнению представителей «Лаборатории Касперского», Тюпкин относится к угрозам нового поколения, которые в скором будущем придут на смену традиционному кардерскому бизнесу – скиммингу. Скимминг приносил и приносит хорошие деньги, но имеет ряд проблем, предрекающих падение его популярности: сложная многоэтапная схема обогащения, относительно рискованная для ее участников (об этом говорит и растущее число арестов кардеров), неприменимость для карт с EMV-чипами, а также все более изощренные антискимминговые системы, применяющиеся производителями банкоматов. Тюпкин работает проще, грубее и прибыльнее, атакуя не карты, а саму карточную инфраструктуру.
Первые образцы троянца, проанализированные «Лабораторией Касперского», были скомпилированы в марте 2014 года. Это косвенно свидетельствует о том, что злоумышленники практически беспрепятственно «доят» банкоматы на протяжении многих месяцев. Точные потери банков неизвестны и никогда известны не будут, ясно лишь, что речь идет как минимум о миллионах долларов.
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Висенте Диаза, это не первый троянец такого рода: «Мы уже видели несколько подобных образцов, таких как Ploutus. Этот вид троянцев отличается тем, что при удачном заражении обеспечивает преступникам немедленное обогащение».
Backdoor.Ploutus.B, модульный троянец, обнаруженный в конце 2013 года в мексиканских банкоматах, также умеет выдавать наличные деньги. Принципиальным его отличием от Tyupkin является получение команд через СМС-сообщения с помощью мобильного телефона, подключенного к USB-порту компьютера банкомата. Телефон неизбежно привлекает внимание инженеров и тем самым демаскирует заражение в случае, если банкомат нуждается в каком-то обслуживании, требующем открытия верхней части. Tyupkin этого недостатка лишен, поскольку внешне никак себя не проявляет до получения специальной команды.
«Злоумышленники научились заражать своим троянцем аппараты лишь одного производителя, – говорит Диаз. – Как только им удалось изобрести метод заражения банкомата определенной модели, они могут испробовать то же самое и с другими банкоматами данной модели. Атака будет успешно проходить до тех пор, пока банки не внедрят дополнительные защитные механизмы».
Эксперты «Лаборатории Касперского» призвали банки пересмотреть меры физической защиты своих банкоматов и инвестировать деньги в защитные решения, установить сигнализацию, а также заменить замки верхнего отсека. Удалить вредоносную программу с зараженного устройства можно с помощью бесплатных антивирусных инструментов.
