Zainfekowane bankomaty pozwalaj膮 wyp艂aca膰 pieni膮dze bez kart kredytowych

Eksperci z Kaspersky Lab przeprowadzili 艣ledztwo dotycz膮ce atak贸w cyberprzest臋pczych, kt贸rych celem s膮 liczne bankomaty na ca艂ym 艣wiecie. Podczas dochodzenia badacze wykryli szkodliwe oprogramowanie infekuj膮ce bankomaty, kt贸re pozwala艂o atakuj膮cym opr贸偶nia膰 maszyny poprzez bezpo艣redni膮 manipulacj臋 i kra艣膰 miliony dolar贸w. Interpol ostrzeg艂 pa艅stwa cz艂onkowskie, w kt贸rych zaobserwowano ataki, i zapewnia pomoc w prowadzonych 艣ledztwach.

Cyberprzest臋pcy dzia艂aj膮 w nocy - wy艂膮cznie w niedziele i poniedzia艂ki. Bez wk艂adania karty p艂atniczej wprowadzaj膮 kombinacj臋 cyfr na klawiaturze bankomatu, dzwoni膮 w celu uzyskania dalszych instrukcji od operatora, wprowadzaj膮 kolejny zestaw liczb i bankomat zaczyna wydawa膰 got贸wk臋. Nast臋pnie opuszczaj膮 miejsce, nie wzbudzaj膮c 偶adnych podejrze艅.

Jak przebiega艂y ataki

Dzia艂anie przest臋pc贸w sk艂ada si臋 z dw贸ch etap贸w. Na pocz膮tku uzyskuj膮 dost臋p fizyczny do bankomatu i umieszczaj膮 w nim rozruchow膮 p艂yt臋 CD w celu zainstalowania szkodliwego oprogramowania, kt贸remu Kaspersky Lab nada艂 nazw臋 Tyupkin. Po powt贸rnym uruchomieniu systemu zainfekowany bankomat znajduje si臋 pod kontrol膮 atakuj膮cych.

Po udanej infekcji szkodliwe oprogramowanie uruchamia niesko艅czon膮 p臋tl臋, czekaj膮c na polecenie. Aby atak by艂 trudniejszy do rozpoznania, szkodliwe oprogramowanie Tyupkin przechwytuje polecenia jedynie w okre艣lonym czasie - w niedziel臋 i poniedzia艂ek w nocy. W tych godzinach przest臋pcy mog膮 ukra艣膰 pieni膮dze z zainfekowanej maszyny.

Nagrania uzyskane z kamer bezpiecze艅stwa w zainfekowanych bankomatach ukazywa艂y metod臋 stosowan膮 w celu uzyskiwania dost臋pu do got贸wki z maszyn. Dla ka偶dej sesji generowany jest na nowo klucz z艂o偶ony z unikatowej kombinacji cyfr (w oparciu o losowo wybrane liczby). Dzi臋ki temu 偶adna osoba spoza gangu nie b臋dzie mog艂a przypadkowo odnie艣膰 korzy艣ci z oszustwa. Nast臋pnie, osoba stoj膮ca przy bankomacie otrzymuje instrukcje przez telefon od innego cz艂onka gangu, kt贸ry zna algorytm i potrafi wygenerowa膰 klucz sesji w oparciu o pokazany numer. Ma to zapobiec pr贸bom samodzielnego pobierania got贸wki przez osoby po艣rednicz膮ce w infekowaniu bankomat贸w.

Je艣li klucz jest poprawnie wprowadzony, bankomat wy艣wietla informacje o tym, ile 艣rodk贸w jest dost臋pnych w ka偶dej kasetce z pieni臋dzmi, zach臋caj膮c operatora, aby wybra艂, kt贸r膮 kasetk臋 chce okra艣膰. Nast臋pnie, bankomat wydaje 40 banknot贸w za jednym razem z wybranej kasetki.

Szkodliwe oprogramowanie Tyupkin

Na pro艣b臋 jednej z instytucji finansowych Globalny Zesp贸艂 ds. Bada艅 i Analiz (GReAT) z Kaspersky Lab przeprowadzi艂 dochodzenie dotycz膮ce omawianego ataku cyberprzest臋pczego. Szkodliwe oprogramowanie zidentyfikowane i nazwane przez Kaspersky Lab Backdoor.MSIL.Tyupkin zosta艂o jak dot膮d wykryte w bankomatach w Ameryce 艁aci艅skiej, Europie i Azji.


Ekran zainfekowanego bankomatu.
殴r贸d艂o: Kaspersky Lab.

"W ostatnich kilku latach zaobserwowali艣my znaczny wzrost liczby atak贸w na bankomaty przy u偶yciu urz膮dze艅 do klonowania kart p艂atniczych oraz szkodliwego oprogramowania. Teraz jeste艣my 艣wiadkami naturalnej ewolucji tego zagro偶enia, w kt贸rej cyberprzest臋pcy pn膮 si臋 w g贸r臋 艂a艅cucha i atakuj膮 instytucje finansowe bezpo艣rednio. Dokonuj膮 tego poprzez samodzielne infekowanie bankomat贸w lub przeprowadzanie atak贸w ukierunkowanych na banki. Szkodliwe oprogramowanie Tyupkin jest przyk艂adem wykorzystywania przez osoby atakuj膮ce s艂abych punkt贸w infrastruktury bankomat贸w" - powiedzia艂 Vicente Diaz, g艂贸wny badacz ds. bezpiecze艅stwa, Globalny Zesp贸艂 ds. Bada艅 i Analiz (GReAT), Kaspersky Lab. "Zalecamy bankom zbadanie bezpiecze艅stwa fizycznego swoich bankomat贸w oraz infrastruktury sieci i rozwa偶enie zainwestowania w odpowiednie rozwi膮zania bezpiecze艅stwa".

"Przest臋pcy nieustannie identyfikuj膮 nowe sposoby rozwijania swoich metodologii w celu pope艂niania przest臋pstw. Istotne jest to, by pa艅stwa cz艂onkowskie by艂y w艂膮czone w dzia艂ania zapobiegawcze i informowane o aktualnych trendach w dziedzinie cyberzagro偶e艅" - powiedzia艂 Sanjaw Wirmani, dyrektor dzia艂u Digital Crime Centre, Interpol.

Jak banki mog膮 zmniejszy膰 ryzyko

  • Zbada膰 bezpiecze艅stwo fizyczne swoich bankomat贸w i rozwa偶y膰 zainwestowanie w wysokiej jako艣ci rozwi膮zania bezpiecze艅stwa.
  • Wymieni膰 wszystkie blokady oraz klucze uniwersalne w g贸rnej pokrywie bankomat贸w i zrezygnowa膰 z ustawie艅 domy艣lnych producenta.
  • Zainstalowa膰 alarm i dopilnowa膰, aby by艂 sprawny. Cyberprzest臋pcy stoj膮cy za oprogramowaniem Tyupkin zainfekowali tylko bankomaty, na kt贸rych nie zainstalowano alarmu bezpiecze艅stwa.
  • Zmieni膰 domy艣lne has艂o BIOS-u bankomat贸w.
  • Dopilnowa膰, aby maszyny posiada艂y uaktualnion膮 ochron臋 antywirusow膮.
  • Aby uzyska膰 wskaz贸wki odno艣nie metod sprawdzenia, czy bankomaty s膮 zainfekowane, mo偶na skontaktowa膰 si臋 bezpo艣rednio z ekspertami z Kaspersky Lab pod adresem intelreports@kaspersky.com. Do przeprowadzenia pe艂nego skanowania systemu bankomatu i usuni臋cia backdoora mo偶na wykorzysta膰 darmowe narz臋dzie Kaspersky Virus Removal Tool (do pobrania na stronie http://support.kaspersky.com/pl/viruses/avptool2011?level=2#downloads).
Film pokazuj膮cy atak przeprowadzony na prawdziwym bankomacie jest dost臋pny na oficjalnym kanale Kaspersky Lab Polska w serwisie YouTube: http://youtu.be/al_mvnKmpgk?list=UU1zb5UWR7ry_viBixWHnyaA.

殴ród艂o:
Kaspersky Lab