Krieviski runājošā Skimer grupa piespiež bankas automātus palīdzēt viņiem zagt lietotāju naudu. 2009. gadā konstatētā Skimer bija pirmā bankas automātiem paredzētā ļaunprogrammatūra. Septiņus gadus vēlāk kibernoziedznieki atkārtoti izmanto šo ļaunprogrammatūru, taču gan blēži, gan programma ir attīstījusies un tagad rada vēl lielākus draudus bankām un to klientiem visā pasaulē.

Veicot izmeklēšanu pēc incidenta, Kaspersky Lab speciālistu grupa atklāja noziedzīgu plānu un konstatēja uzlabotu ļaunprogrammatūras Skimer versiju kādā bankas automātā. Tā bija tur izvietota un atstāta neaktivizēta, līdz kibernoziedznieks nosūta tai pārbaudi — lietpratīgs veids, kā noslēpt savas pēdas.

Skimer grupa uzsāk darbību, caur fizisku piekļuvi vai bankas iekštīklu iegūstot pieeju bankas automātu sistēmai. Pēc sekmīgas Backdoor.Win32.Skimer instalēšanas sistēmā tā inficē bankas automāta kodolu — izpildāmo, kas ir atbildīgs par ierīces mijiedarbību ar bankas infrastruktūru, naudas apstrādi un kredītkartēm.

Tad noziedznieki pilnīgi kontrolē inficētos bankas automātus, taču viņi virzās piesardzīgi un rīkojas izveicīgi. Viņi nevis uzstāda skimēšanas ierīces (īstajam karšu lasītājam uzlikts krāpnieku dubultnieks), lai novilktu karšu datus, bet gan pārvērš par skimeri visu bankas automātu. Kad bankas automāts ir sekmīgi inficēts ar Backdoor.Win32.Skimer, noziedznieki var savākt visu naudu no bankas automāta vai ņemt datus no bankas automātā izmantotajām kartēm, tostarp klientu bankas konta numuru un PIN kodu. Parasti lietotāji nekādi nevar atšķirt inficētus bankas automātus. Tiem nav nekādu fizisku kaitniecības pazīmju, kā tas ir gadījumos ar skimēšanas ierīci, kad pieredzējis lietotājs var konstatēt, ka tā aizstāj automāta īsto karšu lasītāju.

Snaudošais zombijs

Tieša naudas izņemšana no naudas kasetēm tiktu pamanīta uzreiz pēc pirmās inkasācijas, savukārt ļaunprogrammatūra bankas automāta iekšienē var droši vākt datus no kartēm ļoti ilgi. Tāpēc Skimer noziedznieki nesāk rīkoties nekavējoties — viņi ļoti rūpīgi slēpj savas pēdas: viņu ļaunprogrammatūra var atrasties inficētajā bankas automātā vairākus mēnešus, neveicot nekādas darbības.

Lai to pamodinātu, noziedzniekiem ir jāievieto īpaša karte, kuras magnētiskajā joslā ir noteikti ieraksti. Pēc ierakstu nolasīšanas Skimer var vai nu izpildīt pamatkodā ieprogrammētu komandu, vai arī pieprasīt komandas caur speciālu izvēlni, kas ir aktivizēta ar šo karti. Skimer grafiskā saskarne parādās ekrānā tikai pēc tam, kad karte ir izgrūsta un mazāk nekā 60 sekunžu laikā noziedznieks ar PIN koda tastatūru īpašā veidlapā ievada pareizo sesijas atslēgu.

Izmantojot šo izvēlni, noziedznieks var aktivizēt 21 atšķirīgu komandu, piemēram, naudas izsniegšanu (40 naudaszīmes no norādītās kasetes), ievietoto karšu informācijas vākšanu, pašizdzēšanos, atjaunināšanu (no atjauninātā ļaunprogrammatūras koda, kas ir ietverts kartes mikroshēmā) u. c. Turklāt, kad Skimer vāc karšu informāciju, tas var saglabāt datni ar izrakstiem un PIN kodiem tās pašas kartes mikroshēmā vai izdrukāt savākto karšu informāciju uz bankas automāta kvītīm.

Parasti noziedznieki izvēlas nogaidīt un savākt nolasīto karšu datus, lai vēlāk izgatavotu šo karšu kopijas. Ar šīm kopijām viņi dodas pie citiem bankas automātiem, kas nav inficēti, un izņem naudu no klientu kontiem. Tādējādi noziedznieki var nodrošināt, ka inficētie bankas automāti netiks drīzumā atklāti.

Zagļu veterāns

Skimer bija plaši izplatīts no 2010. līdz 2013. gadam. Tā parādīšanās izraisīja pret bankas automātiem vērstu uzbrukumu skaita strauju pieaugumu, un Kaspersky Lab identificēja līdz pat deviņām atšķirīgām ļaunprogrammatūru ģimenēm. Tas ietver 2014. gada martā atklāto Tyupkin ģimeni, kas kļuva par vispopulārāko un visvairāk izplatīto. Taču tagad, šķiet, darbā ir atgriezusies Backdoor.Win32.Skimer. Pašlaik Kaspersky Lab nosaka 49 šīs ļaunprogrammatūras modifikācijas, no kurām 37 ir paredzētas bankas automātiem, ko izgatavo tikai viens no galvenajiem ražotājiem. Visjaunākā versija ir atklāta 2016. gada maija sākumā.

Izmantojot VirusTotal iesniegtos paraugus, mēs varam novērot potenciāli inficēto bankas automātu ļoti plašo ģeogrāfisko sadalījumu. Skimer ģimenes 20 jaunākie paraugi tika augšupielādēti no vairāk nekā 10 vietām visā pasaulē: AAE, Francijas, ASV, Krievijas, Makao, Ķīnas, Filipīnām, Spānijas, Vācijas, Gruzijas, Polijas, Brazīlijas un Čehijas.

Tehniskie pretpasākumi

Lai novērstu šos draudus, Kaspersky Lab iesaka regulāri veikt antivīrusu skenēšanu kopā ar balto sarakstu tehnoloģiju izmantošanu, labu ierīču pārvaldības politiku, pilnu diska šifrēšanu, bankas automāta ievadizvades pamatsistēmas aizsardzību ar paroli, atļaut tikai cietā diska palaišanu un izolēt bankas automātu tīklu no visiem citiem bankas iekšējiem tīkliem.

«Šajā gadījumā ir piemērojams kāds svarīgs papildu pretpasākums. Backdoor.Win32.Skimer pārbauda informāciju (deviņus noteiktus skaitļus), kas ir ieprogrammēti kartes magnētiskās joslas pamatkodā, lai noteiktu, vai tam ir jāaktivizējas. Mēs esam noskaidrojuši ļaunprogrammatūras izmantotos pamatkodā ieprogrammētos skaitļus un labprāt tos atklājam bankām. Kad bankām ir šie skaitļi, tās var preventīvi meklēt tos savās apstrādes sistēmās, atklāt potenciāli inficētos bankas automātus un naudas mūļus vai bloķēt visus uzbrucēju mēģinājumus aktivizēt ļaunprogrammatūru,» komentēja Kaspersky Lab galvenais drošības pētnieks Sergejs Golovanovs.

Komentāri 3

Leave a Reply