ATMitch, malware cu telecomandă
Deci, bancomatul era gol. După inspectarea mașinii, serviciul de securitate al băncii nu a găsit programe rău intenționate, nicio amprentă ciudată, nici un semn de hacking fizic sau conectarea unor dispozitive terțe care ar putea lua ATM-ul sub control. Nimeni nu a găsit nici bani.
Cu toate acestea, unii angajați ai băncii au aflat încă - un fișier text kl.txt. Ei au sugerat că "kl" ar putea fi într-o anumită legătură cu KL, adică cu Kaspersky Lab, și ne-au apelat la această întrebare. Așa am început să investigăm acest caz.
După ce am primit date din același fișier log.txt, cercetătorii noștri au putut formula o regulă pentru YARA, un instrument pentru cercetarea programelor malware. Pur și simplu, au stabilit o interogare de căutare pentru baza de date a fișierelor rău intenționate și a așteptat. O zi mai târziu, căutarea a dat rezultate: a fost găsit un fișier tv.dll, care a reușit să plutească de două ori deja - în Rusia și Kazahstan. Acest fir era suficient pentru a dezlega întregul nod.
După examinarea cu atenție a fișierului DLL, specialiștii noștri au fost capabili să înțeleagă cum a fost efectuat atacul și chiar să îl reproducă pe un ATM special instalat în laboratorul nostru. Și totul sa dovedit: ATM-ul testat ascultător le-a dat bani falși încărcați în el.
Atacul a început odată cu faptul că infractorii au infiltrat serverul băncii, folosindu-se pentru această vulnerabilitate cunoscută, dar deschisă (am amintit deja că este necesar să actualizăm software-ul, este important și util - aici este un exemplu viu).
Scammers utiliza codul sursă și programele publice pentru a infecta calculatoarele bancare. Cu toate acestea, ei erau foarte inteligenți: ei și-au păstrat datele în memoria RAM a sistemului, nu pe hard disk, așa că a rămas invizibil pentru soluțiile de securitate. Mai mult, după repornire, orice urme de infecție au dispărut.
Având controlul asupra computerelor din bancă, se conectează în mod malefic la serverul de comandă și permite infractorilor să descarce de la distanță programe malware direct în sistemul ATM.
Deci, ATMitch ajunge la ATM-ul în sine. Datorită tunelului tunat de la serverul de comandă către bancă, totul arată ca o actualizare software legitimă, astfel încât niciun instrument de securitate să nu ridice alarma. Odată ajuns înăuntru, ATMitch este trimis să găsească un fișier numit command.txt. Acesta conține comenzi cu un singur caracter care sunt utilizate pentru a gestiona ATM-ul. De exemplu, "O" înseamnă "Dispenser deschis de numerar".
După ce a descoperit dosarul, ATMitch este în primul rând interesat de cât de mulți bani este în bancomat și apoi cere mașinii să emită un anumit număr de facturi. În acest moment, lângă ATM este doar un complice al criminalilor, care preia numerar și dispare ca și cum nimic nu s-ar fi întâmplat.
Criminalii au încercat să acopere toate urmele, așa că specialiștii bancari nu au găsit fișiere executabile terțe părți pe hard disk-ul ATM-ului rănit. După retragerea banilor, ATMitch chiar a șters fișierul command.txt.
Bl @ ckb0x_m @ g1k: Un truc simplu, dar foarte eficient
Această poveste este mai scurtă. Totul a început cu un alt apel de la bancă. Situația clară a blocajelor: jurnale goale, nici fișiere suspecte pe hard disk, în plus, fraudulatorul chiar a sigilat lentilele camerei de supraveghere. Ei bine, cum pot să abandonez un astfel de caz?
Am cerut reprezentanților băncii să livreze bancomatul la biroul nostru. După dezasamblare, am găsit (ce credeți că ați crezut?) Conectat la hub-ul USB al adaptorului ATM. Și pe hard disk erau drivere pentru tastatura Bluetooth.
A fost suficient să reconstruim întreaga schemă. Așadar, mai întâi scammerul a conectat adaptorul Bluetooth la bancomat și apoi a așteptat trei luni pentru ca jurnalele să fie eliminate (acestea sunt stocate la fel de lungi). Apoi criminalul sa întors, a sigilat camera de supraveghere, a scos tastatura Bluetooth, a conectat-o și a repornit dispozitivul în modul de întreținere. A reușit să lanseze o echipă de service pentru a goli casetele cu bani. Asta, de fapt, întreaga poveste numărul doi.
Masina de gaurit. O forță electrică reală
Hacking la distanță și conexiune prin Bluetooth-tastatură - este chiar elegant într-o oarecare măsură, dar există, de asemenea, moduri mai simple.
Această poveste a început cu un alt apel din partea băncii: infractorii au spart ATM-ul, lăsând în urmă o gaură perfect rotundă de circa 4 cm în diametru, chiar lângă tastatura cu care să introducă codul PIN. Probabil credeți că ATM-urile sunt fabricate din oțel gros, dar unele părți sunt din plastic și sunt destul de ușor de găurit. Alți experți nu au găsit niciun indiciu.
Apoi au urmat câteva incidente similare în Rusia și Europa, cu excepția faptului că găurile nu erau atât de rotunde. În cele din urmă, poliția a prins un suspect armat cu un laptop și un set de fire.
Specialiștii noștri au demonstrat ATM-ul instalat în laboratorul de testare pentru a înțelege ce au căutat criminali lângă tastatură. A fost conectat un conector cu 10 pini la magistrala, care a conectat aproape toate componentele ATM-ului, de la calculator la casetele cu facturi.
După ce am cheltuit mai mult de 15 $ și, pentru o vreme, am făcut un simplu microcircuit, cu ajutorul căruia am putea gestiona ATM-ul. Prin conectarea la un autobuz serial, am forțat ATM-ul testat să ne dea banii contrafăcuți care au fost folosiți în scopuri de testare. Se pare că criminali au făcut același truc, doar în cazul lor, ATM-ul a fost încărcat cu bani reali, iar în loc de un cip au folosit un laptop.
Am raportat vulnerabilitatea la bancă. Din păcate, așa cum explică Igor Sumenkov, ATM-urile nu pot fi modernizate de la distanță - trebuie să schimbați hardware-ul, adică un tehnician trebuie să ajungă la fiecare ATM și să aibă probleme cu el. Și bancomatele sunt foarte, foarte multe ...
ATM-urile se descompun. Și ce?
Să formăm o scurtă morală a celor trei povești.
1. Îți vei retrage salariul? Lăsați burghiul și tastatura Bluetooth acasă, iar apoi personalul băncii vă poate înțelege greșit. Hei, am glumit, dar încă punem un burghiu!
2. Dacă nu sunteți un angajat bancar, niciuna dintre aceste amenințări nu ar trebui să vă deranjeze. Acestea sunt problemele băncii, nu clienții săi.
Trimiteți-le prietenilor: