Исследование

Tyupkin: манипулирование банкоматами с помощью вредоносного ПО

В этом году по просьбе одной финансовой организации Глобальный центр исследований «Лаборатории Касперского» провел криминалистическое расследование атаки киберпреступников, направленной против банкоматов в Восточной Европе.

В ходе расследования мы обнаружили вредоносную программу, позволяющую злоумышленникам опустошать кассеты, в которых в банкоматах хранятся наличные деньги, путем выполнения прямых манипуляций с банкоматом.

На момент проведения расследования данная вредоносная программа была активна более чем на 50 банкоматах, принадлежащих восточноевропейским банкам. Изучив данные по объектам, присланным на проверку в VirusTotal, мы пришли к выводу, что вредоносная программа в процессе распространения попала и в некоторые страны из других регионов, в том числе США, Индию и Китай.

В силу специфики устройств, для которых предназначена данная вредоносная программа, мы не располагаем данными из KSN, позволяющими оценить масштаб заражения. Однако, судя по статистике, которую удалось собрать в VirusTotal, вредоносные образцы были присланы из следующих стран:

Tyupkin: манипулирование банкоматами с помощью вредоносного ПО

Эта новая вредоносная программа, детектируемая продуктами «Лаборатории Касперского» как Backdoor.MSIL.Tyupkin, актуальна для банкоматов, выпускаемых одним из крупнейших производителей подобных устройств, работающих под управлением 32-разрядной версии Microsoft Windows.

Чтобы избежать обнаружения, вредоносная программа использует несколько хитроумных приемов. Прежде всего, она активна только в определенное время ночью. Кроме того, для каждой сессии используется ключ, генерируемый из выбранного случайным образом числа. Без этого ключа взаимодействие с зараженным банкоматом невозможно.

При вводе правильного ключа вредоносная программа выводит на экран информацию о количестве денег, доступных в каждой кассете, и позволяет злоумышленнику, имеющему физический доступ к банкомату, получить 40 купюр из выбранной им кассеты.

Большинство проанализированных нами образцов скомпилированы в районе марта 2014 года. Однако авторы вредоносной программы не стояли на месте. В ее последнем варианте (версии .d) во вредоносном коде реализована защита от анализа, осуществляемого с применением отладчиков и эмуляторов; кроме того, эта версия отключает на зараженной системе защиту McAfee Solidcore.

Анализ

Согласно видеоматериалам с камер наблюдения, установленных в местах размещения зараженных банкоматов, злоумышленники имели возможность совершать манипуляции с банкоматами, устанавливая вредоносный код с загрузочного компакт-диска.

В процессе атаки преступники копировали на банкомат следующие файлы:

C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

После определенных проверок среды, вредоносная программа удаляет файл с расширением .lnk и создает в системном реестре следующий ключ:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
«AptraDebug» = «C:\Windows\system32\ulssm.exe»

Далее вредоносная программа взаимодействует с банкоматом, используя стандартную библиотеку MSXFS.dll – расширение для финансовых сервисов (Extension for Financial Services – XFS).

Вредоносная программа запускает бесконечный цикл ожидания пользовательского ввода. Чтобы усложнить обнаружение, Tyupkin принимает (по умолчанию) команды только ночью в воскресенье и понедельник.

Допустимы следующие команды:

  • XXXXXX – показать главное окно.
  • XXXXXX – удалить вредоносную программу с устройства с помощью пакетного файла.
  • XXXXXX – продлить период активности вредоносной программы.
  • XXXXXX – скрыть главное окно.

После ввода каждой команды оператор должен нажать на клавишу «Enter» на цифровой панели банкомата.

Кроме того, Tyupkin использует сессионные ключи, чтобы исключить взаимодействие со случайными пользователями. После ввода команды «Показать главное окно» вредоносная программа выводит сообщение «ENTER SESSION KEY TO PROCEED!» (для продолжения введите сессионный ключ). При этом для каждой сессии ключ генерируется из выбранного случайным образом числа.

Оператор вредоносной программы должен знать алгоритм, позволяющий сгенерировать сессионный ключ из показанного на экране числа. Взаимодействие с зараженным банкоматом возможно только после успешного ввода этого ключа.

Затем вредоносная программа выводит следующее сообщение:

CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION —
ENTER CASSETTE NUMBER AND PRESS ENTER.
(Перевод: Кассовая операция разрешена.
Чтобы запустить операцию по выдаче наличных –
введите номер кассеты и нажмите Enter)

После выбора оператором номера кассеты банкомат выдает 40 купюр из нее.

Tyupkin: манипулирование банкоматами с помощью вредоносного ПО

Если введен неверный сессионный ключ, вредоносная программа отключает локальную сеть и выводит следующее сообщение:

DISABLING LOCAL AREA NETWORK…
PLEASE WAIT…
(Перевод: Отключаю локальную сеть…
Пожалуйста, подождите…)

Не вполне ясно, для чего вредоносная программа отключает локальную сеть. Вероятно, это делается для того, чтобы задержать или усложнить удаленное расследование инцидента.

Видео, демонстрирующее функционирование вредоносной программы на реально действующем банкомате:

Заключение

В последние несколько лет мы наблюдаем серьезный рост числа атак на банкоматы с использованием скиммеров и вредоносных программ. После появления наделавших шума сообщений о краже финансовых данных по всему миру через банкоматы с помощью скиммеров правоохранительные органы разных стран приняли серьезные меры, результатом которых стал арест и судебное преследование киберпреступников.

О том, что киберпреступникам удается с помощью скиммеров тайно считывать данные с кредитных и дебетовых карт, когда клиенты вставляют их в банкоматы, установленные в отделениях банков или на заправках, теперь хорошо известно. Благодаря этому многие клиенты банков поняли, что надо быть начеку и принимать необходимые меры предосторожности при пользовании банкоматами.

Теперь мы наблюдаем естественное развитие этой угрозы. Киберпреступники перемещаются по цепочке выше и атакуют сами финансовые учреждения – путем прямого заражения банкоматов или организации атак, подобных APT (Advanced Persistent Threat) непосредственно против банков. Вредоносная программа Tyupkin – это всего лишь один пример того, как злоумышленники переходят на более высокий уровень и находят слабые места в инфраструктуре банкоматов.

Тот факт, что многие банкоматы работают под управлением операционных систем с известными уязвимостями, а также без специализированных защитных решений – еще одна проблема, решение которой необходимо найти как можно скорее.

Мы рекомендуем банкам пересмотреть меры физической защиты своих банкоматов и подумать о вложении средств в качественные решения для защиты от киберугроз.

Рекомендации по минимизации риска

Мы рекомендуем финансовым организациям и компаниям, занимающимся обслуживанием банкоматов, рассмотреть возможность принятия следующих мер для минимизации риска:

  • Пересмотреть меры физической защиты своих банкоматов и инвестировать средства в высококачественные защитные решения.
  • Заменить во всех банкоматах замки, запирающие верхний отсек, и соответствующие ключи. Избегать использования мастер-ключей, полученных от производителя.
  • Установить на банкоматы охранную сигнализацию и убедиться в том, что она работает эффективно. Имеются данные, что киберпреступники, стоящие за Tyupkin, заражали только банкоматы, не имеющие охранных сигнализаций.
  • Вы можете запросить указания по одношаговой проверке того, не заражены ли ваши банкоматы, по адресу intelreports@kaspersky.com. Чтобы выполнить полную проверку файловой системы банкомата и удалить бэкдор, используйте бесплатную утилиту Kaspersky Virus Removal Tool (ее можно загрузить здесь).

Общие рекомендации для операторов банкоматов, установленных в общественных местах

  • Банкомат должен быть размещен на открытом, хорошо освещенном пространстве, которое просматривается легко заметными камерами видеонаблюдения. Банкомат должен быть надежно прикреплен к полу с применением устройства, исключающего захват с помощью лассо, – оно поможет отпугнуть преступников.
  • Регулярно проверяйте банкоматы на наличие признаков установки сторонних устройств (скиммеров).
  • Остерегайтесь атак с применением приемов социальной инженерии, когда преступники выдают себя за специалистов, инспектирующих системы охранной сигнализации, камеры видеонаблюдения или другие устройства, установленные в местах размещения банкоматов.
  • Относитесь к любому срабатыванию охранной сигнализации со всей серьезностью и принимайте соответствующие меры – обязательно сообщайте в правоохранительные органы обо всех возможных нарушениях охранного режима.
  • Рассмотрите возможность закладывать в банкомат сумму, достаточную только для одного дня работы.
  • Дополнительные рекомендации для владельцев и пользователей банкоматов можно найти на ресурсе http://www.link.co.uk/AboutLINK/site-owners/Pages/Security-for-ATMs.aspx.

Tyupkin: манипулирование банкоматами с помощью вредоносного ПО

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике