Как заразить вирусом банкомат

Обновлено: 28.03.2024

“Лаборатория Касперского” расследует разные способы взлома банкоматов: с помощью удаленно контролируемого зловреда, а также с использованием Bluetooth-клавиатуры и дрели.

ATMitch, вредоносное ПО с удаленным управлением

Итак, банкомат был пуст. Осмотрев машину, служба безопасности банка не нашла ни вредоносных программ, ни странных отпечатков пальцев, ни следов физического взлома или подключения каких-либо сторонних устройств, способных взять банкомат под контроль. Денег никто тоже не нашел.

Получив данные из того самого log.txt, наши исследователи смогли сформулировать правило для YARA, инструмента для исследования вредоносных программ. Попросту говоря, они задали поисковый запрос для базы вредоносных файлов и стали ждать. Спустя день поиски принесли плоды: был обнаружен файл tv.dll, который успел всплыть аж дважды — в России и Казахстане. Этой ниточки хватило, чтобы распутать весь узел.

Тщательно исследовав DLL-файл, наши специалисты смогли понять, как проводилась атака, и даже воспроизвели ее на специальном банкомате, установленном в нашей лаборатории. И все получилось: тестируемый банкомат послушно выдал им загруженные в него банкноты.

ATMitch в деле

Атака началась с того, что преступники проникли на сервер банка, использовав для этого давно известную, но незакрытую уязвимость (мы, помнится, уже говорили, что обновлять программное обеспечение нужно, важно и полезно, — вот вам яркий пример).

Мошенники использовали открытый код и общедоступные программы, чтобы инфицировать банковские компьютеры. Однако зловред у них получился очень хитрый: он хранил свои данные в оперативной памяти системы, а не на жестком диске, так что для защитных решений он оставался незаметным. Более того, после перезагрузки исчезали какие-либо следы заражения.

Взяв под контроль компьютеры в банке, зловред подключается к командному серверу и позволяет мошенникам удаленно загрузить вредоносное ПО прямо в систему банкоматов.

Обнаружив файл, ATMitch первым делом интересуется, сколько денег есть в банкомате, а затем просит машину выдать определенное количество купюр. К этому моменту возле банкомата как раз оказывается сообщник преступников, который забирает наличные и исчезает как ни в чем не бывало.

Преступники постарались замести все следы, поэтому специалисты банка не нашли никаких сторонних исполняемых файлов на жестком диске ограбленного банкомата. После извлечения денег ATMitch стер даже файл command.txt.

Bl@ckb0x_m@g1k: простой, но очень эффективный трюк

Эта история покороче. Все началось с еще одного звонка из банка. Классическая тупиковая ситуация: пустые логи, никаких подозрительных файлов на жестком диске, более того, мошенник даже заклеил объектив камеры наблюдения. Ну как отказаться от такого дела?

Мы попросили представителей банка доставить банкомат в наш офис. Разобрав его, мы обнаружили (что бы вы думали?) подключенный к USB-хабу банкомата Bluetooth-адаптер. А на жестком диске нашлись драйверы для Bluetooth-клавиатуры.

Этого хватило, чтобы реконструировать всю схему. Итак, сначала мошенник подключил Bluetooth-адаптер к банкомату, а потом подождал три месяца, чтобы логи очистились (они хранятся как раз столько времени). Затем преступник вернулся, заклеил камеру наблюдения, достал Bluetooth-клавиатуру, подключил ее и перезагрузил устройство в режим обслуживания. Так он смог запустить сервисную команду по опустошению кассет с деньгами. Вот, собственно, и вся история номер два.

Дрель. Самая настоящая электродрель

Удаленный взлом и подключение Bluetooth-клавиатуры — это даже в какой-то степени изящно, но бывают и куда более прямолинейные способы.

Эта история началась с еще одного обращения от банка: преступники взломали банкомат, оставив после себя идеально круглое отверстие диаметром около 4 сантиметров, прямо рядом с клавиатурой, с которой вводят PIN-код. Вы, скорее всего, думаете, что банкоматы сделаны из толстенной стали, но некоторые части пластиковые, и их довольно легко просверлить. Других улик специалисты банка не нашли.

Затем последовало несколько похожих происшествий в России и Европе, разве что отверстия были не такими круглыми. В конце концов полиция поймала подозреваемого, вооруженного ноутбуком и набором проводов.

Наши специалисты разобрали банкомат, установленный в тестовой лаборатории, чтобы понять, что же искали преступники рядом с клавиатурой. Там нашелся 10-контактный коннектор, подключенный к шине, которая связывала между собой практически все компоненты банкомата, от компьютера до кассет с купюрами.

Кроме того, в банкомате использовалось очень слабое шифрование, которое можно было без особого труда взломать. Итак, еще раз вкратце описываем ситуацию: шифрования практически нет, так что в командах разобраться не проблема; подключившись к любой части банкомата, можно управлять всеми его компонентами, между которыми нет никакой системы авторизации, так что любую часть можно заменить незаметно для всех остальных. Звучит ну очень безопасно, правда?

Потратив целых $15 и сколько-то времени, мы сделали простую микросхему, с помощью которой можно было управлять банкоматом. Подключив ее к последовательной шине, мы заставили тестируемый банкомат выдать нам фальшивые деньги, которые использовали в тестовых целях. Похоже, преступники проделали тот же трюк, только в их случае банкомат был заряжен настоящими деньгами, а вместо микросхемы они использовали ноутбук.

Банкоматы ломают. И что?

Сформулируем краткую мораль всех трех историй.

1. Идете снимать зарплату? Оставьте свою дрель и Bluetooth-клавиатуру дома, а то сотрудники банка могут неправильно вас понять. Эй, мы пошутили, но дрель все равно положите!

2. Если вы не сотрудник банка, ни одна из этих угроз не должна вас беспокоить. Это проблемы банка, а не его клиентов.

Как заразить банкомат - один из них уже болеет чем-то

Среди пользователей бытует мнение, что заразить банкомат довольно просто. Пользователи думают, что есть некая специальная карта с которой считывается некий вирус и появляется секретное меню для управления компьютером и банкоматом. На самом деле — нет, ничего подобного. Дело даже не в накладке из левой клавиатуры, а в самой простой жадности банкиров. На службе Банков в одной только Москве установлено около 10000 различных банкоматов. А программное обеспечение в них следующее: Windows XP SP1, с каким-нибудь бесплатным старым Macafee (тот что идёт с CD-диском 10 лет назад). По понятным причинам, одновременно произвести модернизацию банкоматов — не возможно. Во-первых это большие финансовые затраты, временные затраты (поехать ногами поменять) или где-то на улице с ноутом в руках (под дождём), по удалёнке — не поставить такие объёмы, так как там стоит обычный 3G модем (не выделенка). А вот что касается того как заразить банкомат — это просто. По той же удалёнке установить программку снифер, сканирующую: Ф.И.О., пароль, номер карты… по 21-23 порту, который как правило (с паролем 123456) если повезёт — открыт, или RDP. Некоторые хакеры ставят сканировать IP-адреса и видя нужный отклик программы понимают, что на адресе висит чей-то банкомат. Виной всему — лень и жадность Руководства, которое не даёт деньги на модернизацию банкоматов. А именно это и есть прямая угроза. Не прыщавый ботаник хакер, не сотрудник банка, не мужики с тросом от ГАЗели — а Руководство Банков. Так как стоит старая винда — вот тебе из дыра в ПО. Не говорю уже про Антивирус. Работает и ладно! Лучше во фраке с девочками на вечеринке отплясять, или на яхте, на вас клали все, куда полезнее чем решить вопрос безопасности. Ну подумаешь, всё же не украдут хакеры, ну стырят 200-300 т. рублей, с пары банкоматов — ну подлатаем, а виновных — накажем и уволим. А вам же говорили, предупреждали, пофигу. Вот вам и ответ. Теперь другой ответ: как заразить банкомат. Идя в Банк снимать деньги с карты обязательно помойте руки, так как клавиатуру кто только не тыкает и негры, и потные таджики, и китайцы, проститутки, бомжи, пройдохи, алкаши — грязными руками и вся эта иноземная зараза переносится к вам и в банкомат от вас. Вот он и заражается и болеет всякими вирусами. А вы как думали? Зараза, только в резиновых одноразовых перчатках это можно делать. Шутка конечно 🙂

3 thoughts on “ Как заразить банкомат ”

1) Жадность Руководства
2) Древнее ПО
3) Результат

можно аккуратно оторвать внешнюю антенну, вернее кабель и за место этого кабеля подключить свой блок с антенной с переадресацией к провайдеру, таким образом сидя в машине по блютус можно получать пакеты транзакций между банкоматом и провайдером типа своей точки доступа с тем же именем и ссид

Проще заложить (приклееть на скотче) старую мобилу в корпус компьютера и подсоединить её шнурком USB на стадии установки, мобила будет постоянно питаться и выходить в сеть по GPRS — давая доступ по TiamViewer к файлам. Симку можно купить у Таджиков левую. Думаю, это делают инкассаторы сами скорее всего — ведь у них есть доступ к телу системного блока. Вот до чего народ дошёл.

Как заразить банкомат - один из них уже болеет чем-то

Среди пользователей бытует мнение, что заразить банкомат довольно просто. Пользователи думают, что есть некая специальная карта с которой считывается некий вирус и появляется секретное меню для управления компьютером и банкоматом. На самом деле — нет, ничего подобного. Дело даже не в накладке из левой клавиатуры, а в самой простой жадности банкиров. На службе Банков в одной только Москве установлено около 10000 различных банкоматов. А программное обеспечение в них следующее: Windows XP SP1, с каким-нибудь бесплатным старым Macafee (тот что идёт с CD-диском 10 лет назад). По понятным причинам, одновременно произвести модернизацию банкоматов — не возможно. Во-первых это большие финансовые затраты, временные затраты (поехать ногами поменять) или где-то на улице с ноутом в руках (под дождём), по удалёнке — не поставить такие объёмы, так как там стоит обычный 3G модем (не выделенка). А вот что касается того как заразить банкомат — это просто. По той же удалёнке установить программку снифер, сканирующую: Ф.И.О., пароль, номер карты… по 21-23 порту, который как правило (с паролем 123456) если повезёт — открыт, или RDP. Некоторые хакеры ставят сканировать IP-адреса и видя нужный отклик программы понимают, что на адресе висит чей-то банкомат. Виной всему — лень и жадность Руководства, которое не даёт деньги на модернизацию банкоматов. А именно это и есть прямая угроза. Не прыщавый ботаник хакер, не сотрудник банка, не мужики с тросом от ГАЗели — а Руководство Банков. Так как стоит старая винда — вот тебе из дыра в ПО. Не говорю уже про Антивирус. Работает и ладно! Лучше во фраке с девочками на вечеринке отплясять, или на яхте, на вас клали все, куда полезнее чем решить вопрос безопасности. Ну подумаешь, всё же не украдут хакеры, ну стырят 200-300 т. рублей, с пары банкоматов — ну подлатаем, а виновных — накажем и уволим. А вам же говорили, предупреждали, пофигу. Вот вам и ответ. Теперь другой ответ: как заразить банкомат. Идя в Банк снимать деньги с карты обязательно помойте руки, так как клавиатуру кто только не тыкает и негры, и потные таджики, и китайцы, проститутки, бомжи, пройдохи, алкаши — грязными руками и вся эта иноземная зараза переносится к вам и в банкомат от вас. Вот он и заражается и болеет всякими вирусами. А вы как думали? Зараза, только в резиновых одноразовых перчатках это можно делать. Шутка конечно 🙂

3 thoughts on “ Как заразить банкомат ”

1) Жадность Руководства
2) Древнее ПО
3) Результат

можно аккуратно оторвать внешнюю антенну, вернее кабель и за место этого кабеля подключить свой блок с антенной с переадресацией к провайдеру, таким образом сидя в машине по блютус можно получать пакеты транзакций между банкоматом и провайдером типа своей точки доступа с тем же именем и ссид

Проще заложить (приклееть на скотче) старую мобилу в корпус компьютера и подсоединить её шнурком USB на стадии установки, мобила будет постоянно питаться и выходить в сеть по GPRS — давая доступ по TiamViewer к файлам. Симку можно купить у Таджиков левую. Думаю, это делают инкассаторы сами скорее всего — ведь у них есть доступ к телу системного блока. Вот до чего народ дошёл.


В посте про интернет вещей я, практически с шашкой наголо, отнес к таковому и банкоматы — по критериям автономной работы и наличию постоянного подключения к интернету. В общем-то все так и есть, но если от слов перейти к делу — то есть к реальной специфике защиты банкоматов от взлома, то сразу же возникает множество неудобных деталей. Современный банкомат — это полноценный компьютер, заточенный под выполнение одной конкретной задачи, но пригодный к запуску любого кода, в том числе и вредоносного. Банкомат обвешен и контактирует с множеством датчиков и специализированных устройств, через которые банкомат можно взломать. А можно и не взламывать, перехватив управление устройством для выдачи наличных или клавиатурой для ввода PIN-кода.

Ты помнишь как все начиналось

Его ворсейшество!

В соответствии со своим названием, Skimer может активировать сбор данных с вставляемых в банкомат карт, но его также можно использовать для прямой кражи наличных — соответствующая команда предусмотрена в меню управления. Skimer встраивается в легитимный процесс SpiService.exe, в результате чего получает полный доступ к XFS — универсальной клиент-серверной архитектуре для финансовых приложений для Windows-систем.


Carbanak и компания

Собственно, наиболее интересным в этих двух примерах является процесс заражения, который подчас приходится восстанавливать по записям камер видеонаблюдения. В случае с Tyupkin вредонос устанавливался с компакт-диска (!), то есть имелся физический доступ к внутренностям банкомата. Это очевидный вектор атаки с не менее очевидными недостатками. Но он и не единственный.

Тренд получил развитие и в этом году: в феврале мы рассказали о трех новых атаках, причем две из них были ориентированы на безналичную кражу средств. Только одна кампания (Metel) предусматривала вывод средств через банкоматы, но сами устройства никто не взламывал. Технически транзакция (снятие денег со счета) была легитимной, но после нее происходил откат баланса карты до прежнего значения. Современная версия неразменного пятака эксплуатировалась, как и в случае с другими атаками, по ночам, желательно в выходные.


Киберпреступники будут атаковать корневую инфраструктуру финансовых организаций, пока у них будет такая возможность, то есть пока она будет уязвимой. Как показывает история с грабежом через систему межбанковских переводов SWIFT, даже критически важные элементы финансовой инфраструктуры не всегда защищены должным образом (не получается ли так, что защита банкоматов подчас лучше?). Хочется верить, что это ненадолго. Учитывая то, что киберпреступность про банкоматы и не думает забывать, именно они претендуют на сомнительную привилегию долгосрочной головной боли фининдустрии.

В какую сторону бояться?

Интересным примером является биометрическая идентификация клиентов — относительно новая технология, позволяющая либо заменить, либо дополнить стандартные средства авторизации — по пин-коду, с помощью NFC и так далее. Кража биометрических данных теоретически возможна через соответствующим образом допиленные скимеры (в случае если биометрия наступит еще раз на грабли, пройденные ранее с ридерами карт), через атаку типа Man-in-the-middle (когда банкомат начинает слать данные на чужой процессинговый сервер), либо через атаку на инфраструктуру финансовой организации.



Что делать?


Угадай ось по версии Adobe Reader

Читайте также: