Злом банкоматів за допомогою SMS - методи атаки

Корпорація Symantec виявила нову різновид шкідливої програми для банкоматів Backdoor.Ploutus.B, яка дозволяє зловмисникам віддалено контролювати банкомат за допомогою підключеного до нього мобільного телефону. Підключивши телефон до банкомату і заразивши його вірусом, зловмисники отримують можливість відправляти на цей телефон SMS-повідомлення з кодами команд. Отримуючи таке повідомлення, телефон перетворює команду в мережевий пакет і по USB-кабелю передає банкомату, змушуючи видавати готівку.

На адресу компаній і приватних користувачів все частіше лунають заклики перейти з Windows XP на більш нову версію операційної системи - якщо не заради розширеного функціоналу, то хоча б заради більш надійної системи захисту і кращої технічної підтримки. Банкомати - це, по суті, комп'ютери, контролюючі доступ до готівкових грошей. І виявляється, що майже 95% всіх банкоматів знаходяться під управлінням Windows XP. У світлі того, що офіційна підтримка Windows XP припиниться 8 квітня 2014 року, банківська галузь стоїть перед загрозою кібератак на свої «парки» банкоматів. І цей ризик зовсім не гіпотетичне - це вже відбувається. Зловмисники атакують банкомати, використовуючи все більш витончені методи.

В кінці 2013 року фахівці Symantec писали про те, що в Мексиці була виявлена нова шкідлива програма для банкоматів, яка давала зловмисникам можливість за допомогою зовнішньої клавіатури змушувати банкомат видавати готівку. Ця загроза була названа Backdoor.Ploutus. Кілька тижнів тому експерти компанії виявили її нову різновид, яка вже могла похвалитися модульною архітектурою. Ця нова версія була переведена на англійську мову, що наводило на думку про те, що зловмисники вирішили почати освоювати нові території. Ця нова різновид була названа Backdoor.Ploutus.B - далі просто Ploutus.

Цікава особливість нового варіанту Ploutus полягає в тому, що він давав зловмисникам можливість відправляти на заражений банкомат SMS-повідомлення, а потім просто підходити до нього і забирати вылезающие з нього гроші. Це може здатися неймовірним, але така технологія на даний момент застосовується в ряді місць у всьому світі.

У статті експерти Symantec розповідають про те, як це працює.

Рис. 1. Зловмисники крадуть гроші з банкомату за допомогою мобільного телефону

Підключення телефону до банкомату

Зловмисники можуть віддалено контролювати банкомати за допомогою мобільного телефону, який підключений до «начинки» банкомату. Існує безліч способів це зробити. Найпоширеніший - активація в телефоні режиму точки доступу і підключення його до банкомату за допомогою USB-кабелю.

Зловмисники повинні правильно налаштувати телефон, підключити його до банкомату і заразити банкомат вірусом Ploutus. При виконанні цих кроків між банкоматом і телефоном встановлюється повноцінна двостороння зв'язок і можна починати приступати до вилученню грошей.

Оскільки телефон підключений до банкомату через USB-порт, він постійно знаходиться на зарядці, а значить, може працювати протягом невизначеного терміну.

Відправка SMS-повідомлень на банкомат

Підключивши телефон до банкомату, зловмисники отримують можливість відправляти на цей телефон SMS-повідомлення з кодами команд. Отримуючи таке повідомлення, телефон розпізнає його як команду, перетворює в мережевий пакет і по USB-кабелю передає банкомату.

Одним з модулів шкідливої програми є аналізатор мережевих пакетів - програма, яка відстежує весь мережевий трафік, що йде на банкомат. Як тільки заражений банкомат отримує від телефону коректний TCP - або UDP-пакет, цей модуль аналізує його - шукає послідовність 5449610000583686 у певної частини пакета, а потім, знайшовши потрібну послідовність, модуль зчитує з 16 цифр, з яких і будує команду для запуску Ploutus. Наприклад, така команда може виглядати наступним чином:

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

У більш ранніх версіях Ploutus зловмиснику доводилося б повідомляти цей код «кур'єру», забирающему гроші. Таким чином останній міг би зрозуміти, як працює система, і обманювати вирусописателя. У даній версії Ploutus кур'єр ніколи не бачить цих 16 цифр, що забезпечує додаткову безпеку для вирусописателя і дозволяє централізованим чином контролювати паркан грошей. Код діє протягом 24 годин.

Використання SMS-повідомлень для віддаленого управління банкоматами - це набагато більш зручний метод для всіх учасників злочинної схеми, тому що вона дискретна і працює практично без зволікань. Головний злочинець завжди точно знає, скільки грошей отримає кур'єр, та кур'єру не потрібно тривалий час тинятися навколо банкомату в очікуванні, коли ж вийдуть гроші. Керівник та кур'єр можуть синхронізувати свої дії таким чином, щоб гроші виходили з банкомату саме в той момент, коли кур'єр проходить повз банкомату або робить вигляд, що хоче зняти готівку.

Загальна картина

Розглянувши деталі цієї злочинної схеми, давайте подивимося на те, як все це виглядає на практиці.

Рис. 2. Схема атаки з використанням Ploutus

Схема атаки

Зловмисник встановлює Ploutus на банкомат і кабелем підключає до нього мобільний телефон.

Відправляє на цей телефон два SMS-повідомлення:

1) містить коректний код активації вірусу;

2) містить коректний код видачі грошей.

Телефон дізнається ці повідомлення і відправляє їх на банкомат у вигляді TCP - або UDP пакетів.

Модуль аналізу пакетів всередині банкомату отримує ці пакети і, якщо вони містять коректні команди, запускає Ploutus.

Ploutus змушує банкомат видати гроші. Видається сума заздалегідь задана в коді шкідливої програми.

Видаються банкоматом гроші забирає «кур'єр».

Фахівцям Symantec в лабораторії вдалося відтворити подібну атаку, використовуючи реальний банкомат, заражений Ploutus. Відео про це ви можете подивитися тут.

Хоча в цьому прикладі експерти компанії використовують саме Ploutus, фахівці Symantec Security Response виявили кілька різних форм цього вірусу, спрямованого на атаку банкоматів. У випадку з Ploutus зловмисники намагаються вкрасти гроші зсередини банкомату, однак деякі з розглянутих Symantec програм намагаються вкрасти дані кредитної картки і PIN, в той час як інші програми дозволяють зловмисникам здійснювати атаки типу «людина посередині». Очевидно, що у вірусотворців є багато ідей щодо того, як найкращим чином нажитися на банкоматах.

Як захистити банкомати?

Сучасні банкомати мають ряд додаткових функцій захисту, таких як доступ до зашифрованих жорстких дисків, що робить описаний спосіб установки неможливим. Однак у випадках більш старих банкоматів, все ще знаходяться під управлінням Windows XP, захист від подібних атак представляє значну труднощі, особливо у випадку, якщо банкомати знаходяться в експлуатації у віддалених точках. Інша проблема, що потребує розгляду, - це фізична незахищеність банкоматів: у той час як гроші в банкоматі надійно замкнені, комп'ютер, як правило, немає. Не забезпечивши належних заходів фізичного захисту банкоматів старої моделі, ми даємо зловмисникам перевагу.

Є ряд заходів, які дозволять ускладнити їм роботу:

оновитися до однієї з підтримуваних розробником операційних систем, таких як Windows 7 або 8;
забезпечити адекватний фізичний захист банкоматів, а також розглянути можливість встановлення систем прихованого відеоспостереження;
закрити доступ до BIOS, для того щоб запобігти завантаження системи з неавторизованих носіїв, таких як CD-диски і переносні USB-накопичувачі;
використовувати повне шифрування жорстких дисків, для того щоб запобігти їх злом;
використовувати рішення щодо блокування доступу, такі як Symantec Critical System Protection Client Edition (продукт з лінійки продуктів Symantec Data Security Center).

При дотриманні всіх перерахованих вище заходів зловмисникам буде набагато важче здійснювати подібні атаки без спільників із банку.

У найближчому майбутньому компанія Symantec продовжить здійснювати підтримку Windows XP в своїх рішеннях захисту, однак фахівці компанії настійно рекомендують користувачам якомога швидше перейти на більш актуальну операційну систему.

Додатково Віджет від SocialMart