ATMitch, шкідливе ПЗ з віддаленим керуванням
Отже, банкомат був порожній. Оглянувши машину, служба безпеки банку не знайшла ні шкідливих програм, ні дивних відбитків пальців, ні слідів фізичного злому або підключення будь-яких сторонніх пристроїв, здатних взяти банкомат під контроль. Грошей ніхто теж не знайшов.
Однак дещо співробітники банку все-таки виявили - текстовий файл kl.txt. Вони припустили, що «kl» може бути якось пов'язане з KL, тобто з «Лабораторією Касперського», і звернулися до нас з цим питанням. Ось так ми і почали розслідувати цей випадок.
Отримавши дані з того самого log.txt, наші дослідники змогли сформулювати правило для YARA, інструменту для дослідження шкідливих програм. Попросту кажучи, вони задали пошуковий запит для бази шкідливих файлів і стали чекати. Через день пошуки принесли плоди: був виявлений файл tv.dll, який встиг спливти аж двічі - вУкаіни і Казахстані. Цією ниточки вистачило, щоб розплутати весь вузол.
Ретельно дослідивши DLL-файл, наші фахівці змогли зрозуміти, як проводилася атака, і навіть відтворили її на спеціальному банкоматі, встановленому в нашій лабораторії. І все вийшло: тестований банкомат слухняно видав їм завантажені в нього підроблені гроші.
Атака почалася з того, що злочинці проникли на сервер банку, використавши для цього давно відому, але незамкнені вразливість (ми, пам'ятається, вже говорили, що оновлювати програмне забезпечення потрібно, важливо і корисно, - ось вам яскравий приклад).
Шахраї використовували відкритий код і загальнодоступні програми, щоб інфікувати банківські комп'ютери. Однак зловредів у них вийшов дуже хитрий: він зберігав свої дані в оперативній пам'яті системи, а не на жорсткому диску, так що для захисних рішень він залишався непомітним. Більш того, після перезавантаження зникали будь-які сліди зараження.
Взявши під контроль комп'ютери в банку, зловредів підключається до командного сервера і дозволяє шахраям віддалено завантажити шкідливе ПО прямо в систему банкоматів.
Так ATMitch добирається власне до банкомату. Завдяки налагодженій тунелю від командного сервера в банк це все виглядає як цілком легітимне оновлення ПЗ, так що ні один засіб захисту не піднімає тривогу. Потрапивши всередину, ATMitch відправляється на пошуки файлу по імені command.txt. У ньому містяться односимвольні команди, які використовуються для управління банкоматом. Наприклад, «О» означає «Відкрити лоток для видачі готівки».
Виявивши файл, ATMitch насамперед цікавиться, скільки грошей є в банкоматі, а потім просить машину видати певну кількість купюр. До цього моменту біля банкомату якраз виявляється спільник злочинців, який забирає готівку і зникає як ні в чому не бувало.
Злочинці намагалися замести всі сліди, тому фахівці банку не знайшли ніяких сторонніх виконуваних файлів на жорсткому диску пограбованого банкомату. Після отримання грошей ATMitch стер навіть файл command.txt.
Bl @ ckb0x_m @ g1k: простий, але дуже ефективний трюк
Ця історія коротший. Все почалося з ще одного дзвінка з банку. Класична тупикова ситуація: порожні логи, ніяких підозрілих файлів на жорсткому диску, більш того, шахрай навіть заклеїв об'єктив камери спостереження. Ну як відмовитися від такої справи?
Ми попросили представників банку доставити банкомат в наш офіс. Розібравши його, ми виявили (що б ви думали?) Підключений до USB-хабу банкомату Bluetooth-адаптер. А на жорсткому диску знайшлися драйвери для Bluetooth-клавіатури.
Цього вистачило, щоб реконструювати всю схему. Отже, спочатку шахрай підключив Bluetooth-адаптер до банкомату, а потім почекав три місяці, щоб логи очистилися (вони зберігаються саме стільки часу). Потім злочинець повернувся, заклеїв камеру спостереження, дістав Bluetooth-клавіатуру, підключив її і перезавантажив пристрій в режим обслуговування. Так він зміг запустити сервісну команду по спустошенню касет з грошима. Ось, власне, і вся історія номер два.
Дриль. Справжнісінька електродриль
Віддалений злом і підключення Bluetooth-клавіатури - це навіть в якійсь мірі витончено, але бувають і куди більш прямолінійні способи.
Ця історія почалася з ще одного звернення від банку: злочинці зламали банкомат, залишивши після себе ідеально круглий отвір діаметром близько 4 сантиметрів, прямо поруч із клавіатурою, з якої вводять PIN-код. Ви, швидше за все, думаєте, що банкомати зроблені з толстенной стали, але деякі частини пластикові, і їх досить легко просвердлити. Інших доказів фахівці банку не знайшли.
Потім було кілька схожих подій вУкаіни і Європі, хіба що отвори були не такими круглими. Зрештою поліція зловила підозрюваного, збройного ноутбуком і набором дротів.
Наші фахівці розібрали банкомат, встановлений в тестовій лабораторії, щоб зрозуміти, що ж шукали злочинці поруч із клавіатурою. Там знайшовся 10-контактний коннектор, підключений до шини, яка пов'язувала між собою практично всі компоненти банкомату, від комп'ютера до касет з купюрами.
Витративши цілих $ 15 і скільки-то часу, ми зробили просту мікросхему, за допомогою якої можна було управляти банкоматом. Підключивши її до серійної шини, ми змусили тестований банкомат видати нам фальшиві гроші, які використовували в тестових цілях. Схоже, злочинці зробили той же трюк, тільки в їх випадку банкомат був заряджений справжніми грошима, а замість мікросхеми вони використовували ноутбук.
Ми повідомили про виявлену уразливість в банк. На жаль, як пояснив Ігор Суменков, банкомати не можна оновити віддалено - потрібно міняти «залізо», тобто технічний фахівець повинен дістатися до кожного банкомату і скільки-то з ним повозитися. А банкоматів дуже, дуже багато ...
Банкомати ламають. І що?
Сформулюємо коротку мораль всіх трьох історій.
1. Йдете знімати зарплату? Залиште свою дриль і Bluetooth-клавіатуру будинку, а то співробітники банку можуть неправильно вас зрозуміти. Гей, ми пожартували, але дриль все одно покладіть!
2. Якщо ви не співробітник банку, жодна з цих загроз не повинна вас турбувати. Це проблеми банку, а не його клієнтів.