Як "Тюпкін" банкомати грабував, Блог Лабораторії Касперського

Що потрібно для отримання грошей у банкоматі? Насамперед буде потрібна пластикова картка — свого роду ключ до банківського рахунку. Ще потрібно знати PIN-код від цієї картки, інакше транзакція не буде схвалена банком. Крім того, необхідно, щоб на рахунку були при цьому якісь гроші. Втім, як нещодавно з'ясували експерти «Лабораторії Касперського», є й інший, не такий простий, але більш прибутковий спосіб розжитися грошима. Дуже великими грошима!

тюпкін

Уявіть: злочинець підходить до банкомату, вводить з клавіатури код і відразу отримує 40 купюр найбільшої гідності, а потім ще стільки ж, і ще, і ще раз ... При цьому йому не потрібно ні PIN-коду, ні власне самої банківської картки, ні навіть номера рахунку, з якого списуватимуться гроші. Все, що необхідно, — це невелика програма, впроваджена на згадку про банкомат і здатна змусити його спустошити внутрішній сейф з грошима на першу вимогу зловмисника. Як таке можливо?

Наші колеги з Глобального центру досліджень «Лабораторії Касперського» (GReAT) нещодавно провели криміналістичне розслідування атаки, спрямованої проти кількох десятків банкоматів у Східній Європі, і з'ясували, що всі вони були заражені троянською програмою під кодовою назвою Tyupkin, яка змушувала банкомати добровільно всередині гроші.

Як хакери змусили десятки банкоматів добровільно віддавати усі гроші

блог

Як виявилося, злочинці заздалегідь отримували доступ до встановлених усередині банкоматів комп'ютерів під керуванням однієї зі старих версій Windows і за допомогою завантажувального компакт-диска заражали їх шкідливим кодом. При цьому троянець мав цілу низку цікавих особливостей,утруднюючих виявлення. По-перше, при активації на банкоматі він відразу відключав встановлений антивірусний захист McAfee Solidcore.

По-друге, щоб унеможливити випадкове виявлення, більшу частину тижня зловред проводив «у сплячці», а приймати команди від злочинців міг виключно ночами — з суботи на неділю та з неділі на понеділок. По-третє, вірус мав функцію екстреного відключення місцевої мережі, щоб служба безпеки банку не мала можливості віддалено підключитися до банкомату та перевірити, що з ним відбувається.

банкомати

А відбувалося таке: зловмисник приходив до зараженого банкомату і вводив певний PIN-код, після чого отримував доступ до секретного командного меню, з якого міг або розпочати процес вилучення грошей, або здійснювати операції з самим троянцем, у тому числі видалити його з пам'яті. При цьому, щоб витягти гроші, зловмиснику потрібно знати не лише код відповідної команди, а й спеціальну формулу, за якою розраховується сесійний одноразовий ключ.

Така собі двофакторна автентифікація, що дозволяє в разі чого заблокувати банкомат і тим самим дати час злочинцям замість сліди. Якщо команда і одноразовий код були введені правильно, програма пропонувала вибрати касету, в якій зберігаються гроші (у банкоматі таких касет, як правило, кілька), і видати готівку у вигляді 40 купюр потрібної гідності.

Таким чином зловмисникам без зайвого клопоту вдавалося знімати з банкоматів сотні тисяч доларів, не викликаючи до певного часу жодних підозр. За словами Вісенте Діаза, провідного антивірусного експерта «Лабораторії Касперського», поки що хакери навчилися заражати банкомати лише певного виробника, але ніщо не заважає їм піти далі та скомпрометувати іншімоделі. Якщо виробники та банки не подбають про більш просунуту фізичну безпеку банкоматів, подібні історії повторюватимуться частіше.