Krieviski runājošā Skimer
grupa piespiež bankas automātus palīdzēt viņiem zagt lietotāju
naudu. 2009. gadā konstatētā Skimer
bija pirmā bankas automātiem paredzētā ļaunprogrammatūra.
Septiņus gadus vēlāk kibernoziedznieki atkārtoti izmanto šo
ļaunprogrammatūru, taču gan blēži, gan programma ir
attīstījusies un tagad rada vēl lielākus draudus bankām un to
klientiem visā pasaulē.
Veicot izmeklēšanu pēc
incidenta, Kaspersky Lab
speciālistu grupa atklāja noziedzīgu plānu un konstatēja
uzlabotu ļaunprogrammatūras Skimer
versiju kādā bankas automātā. Tā bija tur izvietota un atstāta
neaktivizēta, līdz kibernoziedznieks nosūta tai pārbaudi —
lietpratīgs veids, kā noslēpt savas pēdas.
Skimer
grupa uzsāk darbību, caur fizisku piekļuvi vai bankas iekštīklu
iegūstot pieeju bankas automātu sistēmai. Pēc sekmīgas
Backdoor.Win32.Skimer instalēšanas sistēmā tā inficē bankas
automāta kodolu — izpildāmo, kas ir atbildīgs par ierīces
mijiedarbību ar bankas infrastruktūru, naudas apstrādi un
kredītkartēm.
Tad noziedznieki pilnīgi kontrolē
inficētos bankas automātus, taču viņi virzās piesardzīgi un
rīkojas izveicīgi. Viņi nevis uzstāda skimēšanas ierīces
(īstajam karšu lasītājam uzlikts krāpnieku dubultnieks), lai
novilktu karšu datus, bet gan pārvērš par skimeri visu bankas
automātu. Kad bankas automāts ir sekmīgi inficēts ar
Backdoor.Win32.Skimer, noziedznieki var savākt visu naudu no bankas
automāta vai ņemt datus no bankas automātā izmantotajām kartēm,
tostarp klientu bankas konta numuru un PIN kodu. Parasti lietotāji
nekādi nevar atšķirt inficētus bankas automātus. Tiem nav nekādu
fizisku kaitniecības pazīmju, kā tas ir gadījumos ar skimēšanas
ierīci, kad pieredzējis lietotājs var konstatēt, ka tā aizstāj
automāta īsto karšu lasītāju.
Snaudošais zombijs
Tieša naudas izņemšana no
naudas kasetēm tiktu pamanīta uzreiz pēc pirmās inkasācijas,
savukārt ļaunprogrammatūra bankas automāta iekšienē var droši
vākt datus no kartēm ļoti ilgi. Tāpēc Skimer
noziedznieki nesāk rīkoties nekavējoties — viņi ļoti
rūpīgi slēpj savas pēdas: viņu ļaunprogrammatūra var atrasties
inficētajā bankas automātā vairākus mēnešus, neveicot nekādas
darbības.
Lai to pamodinātu, noziedzniekiem
ir jāievieto īpaša karte, kuras magnētiskajā joslā ir noteikti
ieraksti. Pēc ierakstu nolasīšanas Skimer
var vai nu izpildīt pamatkodā ieprogrammētu komandu, vai arī
pieprasīt komandas caur speciālu izvēlni, kas ir aktivizēta ar šo
karti. Skimer
grafiskā saskarne parādās ekrānā tikai pēc tam, kad karte ir
izgrūsta un mazāk nekā 60 sekunžu laikā noziedznieks ar PIN
koda tastatūru īpašā veidlapā ievada pareizo sesijas atslēgu.
Izmantojot šo izvēlni,
noziedznieks var aktivizēt 21 atšķirīgu komandu, piemēram,
naudas izsniegšanu (40 naudaszīmes no norādītās kasetes),
ievietoto karšu informācijas vākšanu, pašizdzēšanos,
atjaunināšanu (no atjauninātā ļaunprogrammatūras koda, kas ir
ietverts kartes mikroshēmā) u. c. Turklāt, kad Skimer
vāc karšu informāciju, tas var saglabāt datni ar izrakstiem un
PIN kodiem tās pašas kartes mikroshēmā vai izdrukāt savākto
karšu informāciju uz bankas automāta kvītīm.
Parasti noziedznieki izvēlas
nogaidīt un savākt nolasīto karšu datus, lai vēlāk izgatavotu
šo karšu kopijas. Ar šīm kopijām viņi dodas pie citiem bankas
automātiem, kas nav inficēti, un izņem naudu no klientu kontiem.
Tādējādi noziedznieki var nodrošināt, ka inficētie bankas
automāti netiks drīzumā atklāti.
Zagļu
veterāns
Skimer
bija plaši izplatīts no 2010. līdz 2013. gadam. Tā
parādīšanās izraisīja pret bankas automātiem vērstu uzbrukumu
skaita strauju pieaugumu, un Kaspersky
Lab
identificēja līdz pat deviņām atšķirīgām ļaunprogrammatūru
ģimenēm. Tas ietver 2014. gada martā atklāto Tyupkin
ģimeni,
kas kļuva par vispopulārāko un visvairāk izplatīto. Taču tagad,
šķiet, darbā ir atgriezusies Backdoor.Win32.Skimer. Pašlaik
Kaspersky
Lab
nosaka 49 šīs ļaunprogrammatūras modifikācijas, no kurām
37 ir paredzētas bankas automātiem, ko izgatavo tikai viens no
galvenajiem ražotājiem. Visjaunākā versija ir atklāta 2016. gada
maija sākumā.
Izmantojot
VirusTotal
iesniegtos paraugus, mēs varam novērot potenciāli inficēto bankas
automātu ļoti plašo ģeogrāfisko sadalījumu. Skimer
ģimenes 20 jaunākie paraugi tika augšupielādēti no vairāk
nekā 10 vietām visā pasaulē: AAE, Francijas, ASV, Krievijas,
Makao, Ķīnas, Filipīnām, Spānijas, Vācijas, Gruzijas, Polijas,
Brazīlijas un Čehijas.
Tehniskie
pretpasākumi
Lai novērstu
šos draudus, Kaspersky
Lab
iesaka regulāri veikt antivīrusu skenēšanu kopā ar balto
sarakstu tehnoloģiju izmantošanu, labu ierīču pārvaldības
politiku, pilnu diska šifrēšanu, bankas automāta ievadizvades
pamatsistēmas aizsardzību ar paroli, atļaut tikai cietā diska
palaišanu un izolēt bankas automātu tīklu no visiem citiem bankas
iekšējiem tīkliem.
«Šajā
gadījumā ir piemērojams kāds svarīgs papildu pretpasākums.
Backdoor.Win32.Skimer pārbauda informāciju (deviņus noteiktus
skaitļus), kas ir ieprogrammēti kartes magnētiskās joslas
pamatkodā, lai noteiktu, vai tam ir jāaktivizējas. Mēs esam
noskaidrojuši ļaunprogrammatūras izmantotos pamatkodā
ieprogrammētos skaitļus un labprāt tos atklājam bankām. Kad
bankām ir šie skaitļi, tās var preventīvi meklēt tos savās
apstrādes sistēmās, atklāt potenciāli inficētos bankas
automātus un naudas mūļus vai bloķēt visus uzbrucēju
mēģinājumus aktivizēt ļaunprogrammatūru,» komentēja Kaspersky
Lab
galvenais drošības pētnieks Sergejs Golovanovs.
Kaspersky
Lab
izstrādājumi pazīst šo apdraudējumu ar nosaukumu
Backdoor.Win32.Skimer.
Lasiet rakstu
par bankas automātu inficētāju un materiālu par moderno bankas
automātu drošības problēmām tīmekļa vietnē Securelist.com.
Tā
kā izmeklēšana turpinās, ar visu pārskatu ir iepazīstināta
ierobežota auditorija, kas sastāv no tiesībaizsardzības iestādēm,
informācijas tehnoloģiju drošības incidentu novēršanas
institūcijām, finanšu iestādēm un Kaspersky
Lab
drošības informācijas pakalpojuma klientiem.
