Három módja az ATM távoli, majdnem távolról és fúrással történő feltörésére
ATMitch, malware távirányítóval
Tehát az ATM üres volt. Vizsgálata után az autó, a bank biztonsági szolgálat nem találtunk rosszindulatú programot vagy idegen ujjlenyomat, nincs nyoma a szabotázs vagy fizikai kapcsolat bármely harmadik fél eszköz, amely átveszi az irányítást az ATM. Senki sem talált pénzt.
Azonban a bank néhány alkalmazottja még mindig kiderítette - a kl.txt szöveges fájlt. Azt állították, hogy a "kl" valamilyen módon kapcsolódhat a KL-hez, vagyis a Kaspersky Lab-hoz, és ezzel a kérdéssel fordultak hozzánk. Így kezdtük vizsgálni az ügyet.
Miután ugyanazt a log.txt fájlt kaptuk, kutatóink képesek voltak megfogalmazni egy szabályt a YARA számára, amely rosszindulatú programokat kutat. Egyszerűen fogalmazva, létrehoznak egy keresési lekérdezést a rosszindulatú fájlok adatbázisára, és vártak. Egy nappal később a keresés eredményt adott: egy fájl tv.dll-t találtunk, amely már kétszer is lebegett - Oroszországban és Kazahsztánban. Ez a szál elegendő volt ahhoz, hogy kibontják az egész csomót.
Miután alaposan megvizsgálta a DLL fájlt, szakembereink megértették a támadás lefolytatásának módját, és reprodukálják azt egy speciális laboratóriumi ATM-en. És minden kiderült: az ellenőrzött ATM engedelmesen megkapta a hamis pénzeket.
A támadás kezdődött azzal a ténnyel, hogy a bűnözők lépett be a bank szerveréhez, felhasználva a már régóta ismert, de nem javított biztonsági rések (tudunk emlékezni, már azt mondta, hogy meg kell frissíteni a szoftvert, fontos és hasznos - itt a legjobb példa).
A csalók nyílt forráskódot és nyilvános programokat használtak a banki számítógépek megfertőzésére. Nagyon okosak voltak: tárolták adataikat a rendszer RAM-jában, nem a merevlemezen, így a biztonsági megoldások számára láthatatlanok maradtak. Sőt, a restart után minden fertőzés nyomai eltűntek.
A banki számítógépek vezérlése rosszindulatúan csatlakozik a parancskiszolgálóhoz, és lehetővé teszi a csalók számára, hogy távolról letöltsék a kártékony programokat közvetlenül az ATM rendszerbe.
Tehát az ATMitch magához jut az ATM-hez. A parancskiszolgálótól a bankig tuningált alagútnak köszönhetően mindenki úgy néz ki, mint egy törvényes szoftverfrissítés, így egyetlen biztonsági eszköz sem emel riasztást. Bemutatáskor az ATMitch-t elküldjük egy parancsnak, amellyel a command.txt nevet találjuk. Egykarakteres parancsokat tartalmaz, amelyeket az ATM kezelésére használnak. Például az "O" azt jelenti, hogy "nyitott készpénzes adagolót".
Miután felfedezte a fájlt, az ATMitch először is érdekli, hogy mennyi pénz van az ATM-ben, majd megkéri a gépet, hogy kiadjon bizonyos számlákat. Ez idő alatt az ATM mellett csak egy bűnöző bűntársa, aki felveszi a pénzt, és eltűnik, mintha semmi sem történt volna.
A bűnözők megpróbálták elrejteni az összes nyomot, így a bankszakemberek nem találtak harmadik féltől származó végrehajtható fájlokat az elrabolt ATM merevlemezén. A pénz visszavonása után az ATMitch törölte a command.txt fájlt is.
Bl @ ckb0x_m @ g1k: Egy egyszerű, de nagyon hatékony trükk
Ez a történet rövidebb. Mindez egy újabb bankhívással kezdődött. A klasszikus halálos helyzet: üres naplók, gyanús fájlok a merevlemezen, ráadásul a csaló még lezárta a megfigyelő kamera lencséjét. Nos, hogyan hagyhatok el ilyen esetet?
Megkértük a bank képviselőit, hogy az ATM-t szállítsák irodánkba. Miután megszüntette azt, találtuk (mit gondolsz?) Kapcsolódott az ATM adapter USB hubjához. A merevlemezen pedig a Bluetooth billentyűzeten voltak meghajtók.
Elég volt rekonstruálni az egész rendszert. Tehát először a csaló a Bluetooth-adaptert az ATM-hez csatlakoztatta, majd három hónapot várott a naplók tisztítására (csak ilyen hosszú ideig tárolódnak). Aztán a bűnöző visszatért, lezárta a megfigyelő kamerát, kivette a Bluetooth billentyűzetet, csatlakoztatta és újraindította a készüléket a karbantartási üzemmódba. Így tudott elindítani egy szervizcsapat, hogy pénzeket ürítsen ki. Ez valójában az egész történet, kettő.
Fúró. Valódi elektromos fúró
Távoli hackelés és Bluetooth-billentyűzet csatlakozás - még egyáltalán elegáns, de sokkal egyszerűbb is.
A történet úgy kezdődött, egy újabb fellebbezést a bank: a bűnözők törtek be az ATM, így egy tökéletesen kerek lyuk átmérője körülbelül 4 cm, közvetlenül a billentyűzet, ami adjuk PIN-kódot. Ön valószínűleg úgy gondolja, hogy ATM-ek készülnek vastag acél, de néhány műanyag, és viszonylag könnyen fúrni. Más szakértők nem találtak nyomokat.
Ezután néhány hasonló esemény következett Oroszországban és Európában, kivéve, hogy a lyukak nem voltak olyan kerekek. Végül a rendőrség elkapta a gyanúsítottat, aki fegyveres volt egy laptopral és egy sor vezetékkel.
Szakembereink lebontották a tesztlaborban telepített ATM-t, hogy megértsék, mi keresték a bűnözők a billentyűzet mellett. A buszhoz egy 10 pólusú csatlakozó volt csatlakoztatva, amely szinte az összes ATM komponenst csatlakoztatta a számítógépről a kazettákra számlákkal.
Miután 15 dollárt és egy ideig töltöttünk, egy egyszerű mikrocirkulát készítettünk, amellyel kezelhettük az ATM-t. Egy soros buszhoz való csatlakoztatással arra kényszerítettük a tesztelt ATM-t, hogy megadja nekünk a hamis pénzeket, amelyeket tesztelési célokra használtunk. Úgy tűnik, hogy a bűnözők ugyanazt a trükköt követték, csak abban az esetben, ha az ATM valódi pénzzel volt feltöltve, és egy chip helyett laptopot használt.
A sérülékenységet a banknak jelentettük. Sajnos, ahogy Igor Sumenkov elmagyarázta, az ATM-eket nem lehet távolról frissíteni - meg kell változtatni a hardvert, vagyis egy technikusnak minden ATM-hez el kell jutnia, és van némi gondja. És az ATM-ek nagyon, nagyon sok ...
Az ATM-ek leállnak. És mi?
Készítsünk egy rövid erkölcsöt mindhárom történetről.
1. Visszavonja a fizetését? Hagyja fúróját és Bluetooth billentyűzetét otthon, majd a bank dolgozója félreértheti magát. Hé, viccelődtünk, de még mindig fúrót!
2. Ha nem vagy banki alkalmazott, egyik ilyen fenyegetés sem zavarja Önt. Ezek a bank problémái, nem ügyfelei.