Három módon feltörni az ATM távolról szinte távolról és fúróval

ATMitch, malware távirányítóval

Így az ATM üres volt. Vizsgálata után az autó, a bank biztonsági szolgálat nem találtunk rosszindulatú programot vagy idegen ujjlenyomat, nincs nyoma a szabotázs vagy fizikai kapcsolat bármely harmadik fél eszköz, amely átveszi az irányítást az ATM. Nincs pénz is nem található.

Azonban valami banki alkalmazottak is talált - kl.txt szöveges fájl. Azt javasolták, hogy a „kl” lehet valami köze a KL, azaz „A Kaspersky Lab”, és megkeresett minket ezzel a kérdéssel. Így kezdtük vizsgálni ezt az ügyet.

Miután megkapta az adatokat ugyanazon log.txt, a kutatók képesek voltak megfogalmazni szabály YARA, egy eszköz a vizsgáló malware. Egyszerűen fogalmazva, arra kérték őket egy keresési lekérdezést az adatbázis rosszindulatú fájlokat, és várt. A nap végén keresi kifizetődött: tv.dll fájlt észlelt, ami kialakulni már kétszer - Oroszországban és Kazahsztánban. A kötél elég volt, hogy felbomlik az egész szerelvényt.

Gondosan vizsgálva a DLL-fájl, a szakértők tudták kitalálni, hogyan kell elvégezni a támadást, és még reprodukálni azt egy speciális ATM telepítve a laboratóriumban. És dolgozott ki: a vizsgálat ATM engedelmesen adta nekik hamis pénzt helyezett bele.

A támadás kezdődött azzal a ténnyel, hogy a bűnözők lépett be a bank szerveréhez, felhasználva a már régóta ismert, de nem javított biztonsági rések (tudunk emlékezni, már azt mondta, hogy meg kell frissíteni a szoftvert, fontos és hasznos - itt a legjobb példa).

A csalók használt nyílt forráskódú és állami programok fertőz egy számítógép bank. Azonban a malware van, hogy nagyon ravasz: azt az adatot a rendszer RAM-ot és nem a merevlemezen, hogy továbbra is láthatatlan biztonsági megoldások. Sőt, egy újraindítás után eltűnő nyomait a fertőzést.

Figyelembe irányítást a számítógép a bank, a kártevő csatlakozik a parancs szerver, és lehetővé teszi a csalók számára, hogy távolról letölteni malware közvetlenül az ATM-rendszer.

Tehát ATMitch valójában kap az ATM. Köszönhetően egy konfigurált alagutat a parancs szerver a bank úgy néz ki, elég egy törvényes szoftver frissítés, úgy, hogy senki jogorvoslat nem riadót. Odabent, ATMitch indul el a név command.txt fájlt. Ez tartalmaz egy-karakteres parancsokat használják, hogy szabályozza az ATM. Például a „O” a „Nyitott tálcát készpénzre.”

Találjanak fájl ATMitch először érdekli, hogy mennyi pénz van a az ATM, majd megkérdezi a gép kiad egy bizonyos számú számlák. Ekkorra a következő ATM csak egy bűntársa a bűnözők, aki igénybe veszi a pénzt, és eltűnik, mintha semmi sem történt volna.

A bűnözők próbáltak minden nyomát, így a bank szakemberei nem találtak semmilyen párt végrehajtható fájlokat a merevlemezen kirabolták ATM. Eltávolítása után a pénzt ATMitch törlődnek még command.txt fájlt.

Bl @ ckb0x_m @ G1K: egyszerű, de nagyon hatásos trükk

Ez a történet rövidebb. Az egész kezdődött egy hívást egy másik bank. Klasszikus patthelyzet: üres naplók gyanús fájlokat a merevlemezen, sőt, a csaló még ragasztva megfigyelő kamera lencséje. Nos, hogy megtagadja egy ilyen esetben?

Megkérdeztük képviselői a banki ATM szállít az irodánkba. Megvizsgálva azt, megtaláltuk a (mit gondolsz?) Csatlakozva egy USB-hub ATM Bluetooth-adapter. És voltak vezetők Bluetooth-billentyűzet a merevlemezen.

Ez elég volt ahhoz, hogy rekonstruálni az egész rendszer. Tehát először a csaló csatlakoztatott Bluetooth-adaptert az ATM, majd várt három hónappal a naplók kiirtották (tartják éppen elég idő). Ezután az elkövető vissza, szalagos biztonsági kamera van Bluetooth-billentyűzet, csatlakoztassa, és indítsa újra a készüléket karbantartási mód. Így volt képes futtatni a szolgáltatást csapat a pusztítás a kazettákat a pénzt. Ez az egész történet a két számot.

Fúró. Az igazi fúrógépet

Távoli hackelés és a kapcsolat a Bluetooth-billentyűzet - akkor még kissé elegáns, de vannak sokkal egyszerűbb módon.

A történet úgy kezdődött, egy újabb fellebbezést a bank: a bűnözők törtek be az ATM, így egy tökéletesen kerek lyuk átmérője körülbelül 4 cm, közvetlenül a billentyűzet, ami adjuk PIN-kódot. Ön valószínűleg úgy gondolja, hogy ATM-ek készülnek vastag acél, de néhány műanyag, és viszonylag könnyen fúrni. További bizonyíték a banki szakemberek találtak.

Ezt követte több hasonló események Oroszországban és Európában, hogy a lyukak nem kerek. A végén, a rendőrség elkapta a gyanúsított, fegyveres egy laptop és egy sor vezetékek.

Szakembereink lebontották az ATM telepítve a teszt laborban, hogy kitaláljuk, mit is keresett bűnözők mellett a billentyűzetet. Ott találták a 10 tűs csatlakozóval kapcsolódik a busz, amely összeköti egymással az ATM gyakorlatilag az összes komponensek a számítógép, hogy a kazettát a számlákat.

Miután kiadások, mint $ 15 és mint az idő, tettünk egy egyszerű chip, amely segítségével ellenőrizni az ATM. Csatlakozó azt a soros busz, kénytelenek vagyunk, hogy teszteljék az ATM, hogy nekünk hamis pénzt, melyet tesztelési célokra. Úgy tűnik, hogy a bűnözők volna ugyanezt a trükköt, de az ő esetükben, az ATM megbízást kapott valódi pénz, hanem a chipek használják a laptop.

Mi jelentette találni sebezhető a bank. Sajnos, ahogy magyarázta Igor Sumenkov, bankautomaták nem frissíthető távolról - meg kell változtatni a „hardver”, azaz a szerelőnek kell elérni minden ATM és mint valami bütykölni vele. És ATM-ek nagyon, nagyon ...

ATM megtörni. Akkor mi van?

Nézzük röviden összefoglaljuk a közerkölcs mindhárom történet.

1. Menj, hogy egy fizetést? Hagyja a fúrót és egy Bluetooth-billentyűzet otthon, és a bank munkatársai megérti, hogy helyesen. Hé, viccel, de még fel a fúrót!

2. Ha nem alkalmazottja a bank, sem ezek a veszélyek nem zavarlak. Ez a bank probléma, nem pedig az ügyfelei.