Вот на такую статью наткнулся в инете... Любопытная штука, ни кто не сталкивался?
В этом году по просьбе одной финансовой организации Глобальный центр исследований "Лаборатории Касперского" провел криминалистическое расследование атаки киберпреступников, направленной против банкоматов в Восточной Европе.
В ходе расследования мы обнаружили вредоносную программу, позволяющую злоумышленникам опустошать кассеты, в которых в банкоматах хранятся наличные деньги, путем выполнения прямых манипуляций с банкоматом.
На момент проведения расследования данная вредоносная программа была активна более чем на 50 банкоматах, принадлежащих восточноевропейским банкам. Изучив данные по объектам, присланным на проверку в VirusTotal, мы пришли к выводу, что вредоносная программа в процессе распространения попала и в некоторые страны из других регионов, в том числе США, Индию и Китай.
Эта новая вредоносная программа, детектируемая продуктами "Лаборатории Касперского" как Backdoor.MSIL.Tyupkin, актуальна для банкоматов, выпускаемых одним из крупнейших производителей подобных устройств, работающих под управлением 32-разрядной версии Microsoft Windows.
Чтобы избежать обнаружения, вредоносная программа использует несколько хитроумных приемов. Прежде всего, она активна только в определенное время ночью. Кроме того, для каждой сессии используется ключ, генерируемый из выбранного случайным образом числа. Без этого ключа взаимодействие с зараженным банкоматом невозможно.
При вводе правильного ключа вредоносная программа выводит на экран информацию о количестве денег, доступных в каждой кассете, и позволяет злоумышленнику, имеющему физический доступ к банкомату, получить 40 купюр из выбранной им кассеты.
Большинство проанализированных нами образцов скомпилированы в районе марта 2014 года. Однако авторы вредоносной программы не стояли на месте. В ее последнем варианте (версии .d) во вредоносном коде реализована защита от анализа, осуществляемого с применением отладчиков и эмуляторов; кроме того, эта версия отключает на зараженной системе защиту McAfee Solidcore.
Анализ
Согласно видеоматериалам с камер наблюдения, установленных в местах размещения зараженных банкоматов, злоумышленники имели возможность совершать манипуляции с банкоматами, устанавливая вредоносный код с загрузочного компакт-диска.
В процессе атаки преступники копировали на банкомат следующие файлы:
C:Windowssystem32ulssm.exe
%ALLUSERSPROFILE%Start MenuProgramsStartupAptraDebug.lnk
После определенных проверок среды, вредоносная программа удаляет файл с расширением .lnk и создает в системном реестре следующий ключ:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"AptraDebug" = "C:Windowssystem32ulssm.exe"
Далее вредоносная программа взаимодействует с банкоматом, используя стандартную библиотеку MSXFS.dll – расширение для финансовых сервисов (Extension for Financial Services – XFS).
Вредоносная программа запускает бесконечный цикл ожидания пользовательского ввода. Чтобы усложнить обнаружение, Tyupkin принимает (по умолчанию) команды только ночью в воскресенье и понедельник.
Допустимы следующие команды:XXXXXX – показать главное окно.XXXXXX – удалить вредоносную программу с устройства с помощью пакетного файла.XXXXXX – продлить период активности вредоносной программы.XXXXXX – скрыть главное окно.
После ввода каждой команды оператор должен нажать на клавишу "Enter" на цифровой панели банкомата.
Кроме того, Tyupkin использует сессионные ключи, чтобы исключить взаимодействие со случайными пользователями. После ввода команды "Показать главное окно" вредоносная программа выводит сообщение "ENTER SESSION KEY TO PROCEED!" (для продолжения введите сессионный ключ). При этом для каждой сессии ключ генерируется из выбранного случайным образом числа.
Оператор вредоносной программы должен знать алгоритм, позволяющий сгенерировать сессионный ключ из показанного на экране числа. Взаимодействие с зараженным банкоматом возможно только после успешного ввода этого ключа.
Затем вредоносная программа выводит следующее сообщение:
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER.
(Перевод: Кассовая операция разрешена.
Чтобы запустить операцию по выдаче наличных –
введите номер кассеты и нажмите Enter)
После выбора оператором номера кассеты банкомат выдает 40 купюр из нее.
Если введен неверный сессионный ключ, вредоносная программа отключает локальную сеть и выводит следующее сообщение:
DISABLING LOCAL AREA NETWORK...
PLEASE WAIT...
(Перевод: Отключаю локальную сеть…
Пожалуйста, подождите…)
Не вполне ясно, для чего вредоносная программа отключает локальную сеть. Вероятно, это делается для того, чтобы задержать или усложнить удаленное расследование инцидента.
Видео, демонстрирующее функционирование вредоносной программы на реально действующем банкомате:
www.youtube.com/watch?x-yt-cl=84503534&v=QZvdPM_h2o8&x-yt-ts=1421914688[/media]
Заключение
В последние несколько лет мы наблюдаем серьезный рост числа атак на банкоматы с использованием скиммеров и вредоносных программ. После появления наделавших шума сообщений о краже финансовых данных по всему миру через банкоматы с помощью скиммеров правоохранительные органы разных стран приняли серьезные меры, результатом которых стал арест и судебное преследование киберпреступников.
О том, что киберпреступникам удается с помощью скиммеров тайно считывать данные с кредитных и дебетовых карт, когда клиенты вставляют их в банкоматы, установленные в отделениях банков или на заправках, теперь хорошо известно. Благодаря этому многие клиенты банков поняли, что надо быть начеку и принимать необходимые меры предосторожности при пользовании банкоматами.
Теперь мы наблюдаем естественное развитие этой угрозы. Киберпреступники перемещаются по цепочке выше и атакуют сами финансовые учреждения – путем прямого заражения банкоматов или организации атак, подобных APT (Advanced Persistent Threat) непосредственно против банков. Вредоносная программа Tyupkin – это всего лишь один пример того, как злоумышленники переходят на более высокий уровень и находят слабые места в инфраструктуре банкоматов.
Тот факт, что многие банкоматы работают под управлением операционных систем с известными уязвимостями, а также без специализированных защитных решений – еще одна проблема, решение которой необходимо найти как можно скорее.
Мы рекомендуем банкам пересмотреть меры физической защиты своих банкоматов и подумать о вложении средств в качественные решения для защиты от киберугроз.
