Вредоносное ПО для банкоматов.
Классификация ATM Malware
Существует несколько различных вариантов классификации ATM Malware (вредоносных программ для банкоматов). По функционалу они делятся на два типа: виртуальные скиммеры (Virtual Skimmers) и утилиты прямой выдачи (Direct Dispense).
Скиммеры (не путать с физическим устройством) служат для кражи данных банковских карт, а в некоторых случаях и ПИН-кода.
Софт для jackpotting предназначен для прямой выдачи наличных. Т.е. используя подобный софт, можно получить из банкомата всю имеющуюся наличность.
Есть еще софт, который объединяет в себе функционал скиммера и jackpotting.
Что касается способа "доставки груза" на банкомат, то тут есть два способа:
первый - это физический доступ к USB-интерфейсам банкомата и непосредственное копирование или запуск софта с флешки (так же используется Bad USB).
Второй — удаленное внедрение. Это более сложный способ, так как для его реализации необходима компрометация внутренней корпоративной сети банка, получение административных привилегий (к примеру, в системе тиражирования ПО) и дальнейшее распространение вредоносного кода на сеть банкоматов от легитимного с точки зрения самих конечных устройств источника.
Как правило, второй способ под силу организованным группам. В качестве примеру следует упомянуть группировки Anunak, Corkow, Buhtrap, Lurk, Lazarus, Metel, Cobalt. Последняя громко заявила о себе в июле 2016 г., когда атаке подвергся тайваньский First Bank. Cobalt одновременно очистили несколько десятков банкоматов по всему Тайбэю. Это был пример хорошо спланированной целенаправленной логической атаки на финансовую организацию. Хакеры посредством фишинговых рассылок проникли во внутреннюю сеть банка и, используя инфраструктурные уязвимости, получили доступ к системе управления банкоматами. Дальше действовали дропы.
Существуют софт, работающий исключительно с определенными моделями банкоматов. Также есть и универсальный софт, работающий на всех банкоматах любых производителей.
Наличие универсального софта связано с тем, что все основные производители банкоматов поддерживают стандарт CEN/XFS, который обеспечивает общий API для управления различными модулями банкомата. Таким образом, CEN/XFS может быть использован и для создания вредоносных программ, чтобы те могли "общаться" с банкоматом на его родном языке.
API XFS содержит в себе высокоуровневые функции для связи с различными модулями банкомата, такими как диспенсер банкнот, ПИН-клавиатура, модуль приема наличных и т.д. Высокоуровневые функции предоставляются через общий SDK, в то время как низкоуровневые — через сервис-провайдеры, свои у каждого производителя банкомата. Такая архитектура очень похожа на архитектуру Win32, когда разработчики используют высокоуровневый API для связи с ядром ОС и различными драйверами устройств, предоставляемыми производителями отдельных аппаратных компонентов.
Нашумевший и изветсный софт для ATM
Ploutus
Давайте рассмотрим, как работа с этим софтом происходит на практике.
Схема атаки
- Ploutus устанавливают на банкомат и кабелем подключают к нему мобильный телефон.
- Отправляют на этот телефон два SMS-сообщения:
- содержащее корректный код активации вируса;
- содержащее корректный код выдачи денег.
Телефон узнает эти сообщения и отправляет их на банкомат в виде TCP- или UDP пакетов.
Модуль анализа пакетов внутри банкомата получает эти пакеты и, если они содержат корректные команды, запускает Ploutus.
Ploutus заставляет банкомат выдать деньги. Выдаваемая сумма заранее задана в коде вредоносной программы.
Выдаваемые банкоматом деньги забирает дроп.
Skimer
Skimer — одна из первых логических атак на банкоматы. Функционально этот софт представляет собой по сути виртуальное скимминговое устройство, копирующее данные с магнитной полосы банковской карты.
Кроме того, Skimer является бэкдором и может использоваться для несанкционированной выдачи денег из банкомата. Если злоумышленнику известен ключ для активации программы, вредонос выводит на экран меню, из которого можно осуществить выдачу денег с каждой из четырех кассет диспенсера.
Большинство софта работают по аналогичному принципу. Для работы необходимо обеспечить себе физический доступ к сервисной зоне банкомата, чтобы подключить внешний накопитель с софтом. После внедрения ПО в систему атакующему нужно ввести уникальный код для активации процесса выдачи наличных.
Tyupkin (PadPin)
Настоящая слава пришла к вредоносным программам для банкоматов с появлением печально известного трояна Tyupkin, чья активность была впервые зафиксирована в 2014 г. С тех пор атакам подверглось множество банкоматов по всему миру.
Отличительная черта Tyupkin — его возможность ограничить время своей активности в заданные часы и дни недели. Некоторые из первых разновидностей Tyupkin изначально могли запускаться только по ночам в воскресенье и понедельник. Кроме того, в троян заложена функция самозащиты. Непосредственно перед выдачей наличных Tyupkin отключает все сетевые соединения, чтобы в случае фиксации подозрительной активности на стороне банка служба мониторинга не смогла выключить банкомат, тем самым прервав мошенническую операцию.
Cutlet Maker
В 2017 г. в даркнете появилась услуга "ATM Malware-as-a-Service". За 5 тыс. долларов каждый может приобрести пакет из готовой к использованию вредоносной программы Cutlet Maker и видеоинструкции по вскрытию банкомата. Купившим услугу нужно выбрать подходящий банкомат (авторы рекомендуют Wincor Nixdorf), воспользоваться инструкцией по взлому его сервисной части, загрузить вредоносную программу и заплатить организаторам сервиса за ее активацию (получение уникального сессионного ключа), чтобы запустить процесс выдачи денег.
В случае с Cutlet Maker потенциальный потребитель услуги может обладать минимальными знаниями об объекте атаки, что снижает входной порог в этот вид атаки.
FASTCash
FASTCash — уникальный инструмент, впервые исполуемый группировкой Lazarus для атаки на финансовые организации более чем в 20 странах мира. Суммарно за 2016—2018 гг. было похищено несколько десятков миллионов долларов.
Особенность FASTCash заключается в механизме его работы и ориентации на ОС IBM AIX. Хакеры внедряли троян в легитимный процесс на сервере приложений процессинговых систем, контролирующих транзакции в банкоматной сети и работающих под управлением AIX.
После компрометации сервера троян получал возможность создавать поддельные сообщения ISO 8583 (стандарт, описывающий процесс передачи и формат финансовых сообщений систем, обрабатывающих данные банковских карт), генерируя ответ с подтверждением мошеннической операции по снятию наличных в банкоматах. Нужно отметить, что во всех случаях успешные атаки стали возможными из-за того, что финансовые организации использовали устаревшие версии AIX — без необходимых обновлений безопасности.
АТМ по-прежнему является привлекательной мишенью для любителей быстрой наживы, именно это и является причиной появления нового софта.
Учитывая опыт своих предшественников, владельцы новых видов ПО не стремятся к славе и активно не рекламируют свой софт. Тем не менее на Virustotal периодически появляются новые уникальные семплы ПО этого семейства.
скиммеры для Wincor, Diebold, NCR.
Возможна так же индивидуальная разработка и продажа чертежей, в том числе адаптированных для печати на 3D принтерах.
В команду нужны люди в разных странах.
Наши официальные каналы:
English: https://t.me/skimmingserv
Russian: https://t.me/skimmingservice