15:46 Бэкдор Tyupkin: банкоматам угрожает опасный троянец | |
Источником для статьи послужила англоязычная версия статьи "Tyupkin: Manipulating ATM Machines with Malware", размещенная на сайте SecureList. Перевод автора блога.
По просьбе одного финансового учреждения, в Лаборатории Касперского провели расследование кибер-атак на ряд банкоматов в Восточной Европе. В ходе этого расследования была обнаружена вредоносная программа, которая позволяла злоумышленникам опустошать кассеты банкоматов с помощью прямых манипуляций. На момент расследования, вредоносная программа была обнаружена в более чем 50-ти банкоматов банковских учреждений Восточной Европы. Материалы, представленные VirusTotal, позволяют сделать вывод, что эта вредоносная программа получила распространение в ряде других стран, в том числе в США, Индии и в Китае.
В связи с природой устройств, где обнаружены эти вредоносные программы, в KSN не смогли определить степень заражения. Однако, основываясь на статистических данных, что взяты из VirusTotal, в Лаборатории выделили ряд стран, связанных с наличием вируса:
Эта новая вредоносная программа, определена Лабораторией Касперского как Backdoor.MSIL.Tyupkin. Она поражает банкоматы из главного ATM производителя, запускающегося под Microsoft Windows 32-бит.
Этому вирусу доступны несколько способов, позволяющих избежать обнаружения. Прежде всего, вирус активен только в определенное время ночи. Он также использует ключ на основе случайного выбора для каждого сеанса. Без этого ключа, никто не может взаимодействовать с зараженным банкоматом. Когда ключ введен правильно, вредоносная программа отображает информацию о том, сколько денег доступно в каждой из кассет и позволяет злоумышленнику, подключившемуся физически к банкомату, снять 40 банкнот из выбранной кассеты.
Большинство проанализированных образцов были компилированы примерно в марте 2014 года. Однако эта вредоносная программа претерпела уже некоторых изменений. В своем последнем варианте (версия .d) она реализует методы анти-отладки и анти-эмуляции, также она умеет отключить McAfee Solidcore от зараженной системы.
Анализ Согласно кадрам камер безопасности, установленным по месту нахождения зараженных банкоматов, нападавшие были в состоянии управлять устройством и установить вредоносное ПО через загрузочный компакт-диск.Нападавшие скопировали следующие файлы в банкомат:
C:\Windows\system32\ulssm.exe
% ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk
После некоторых проверок окружающей среды, вредоносная программа удаляет файл .lnk и создает раздел реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AptraDebug" = "C:\Windows\system32\ulssm.exe"
Вредоносная программа затем получает возможность взаимодействовать с ATM посредством стандартной библиотеки MSXFS.dll - Расширение финансовых услуг (XFS).
Вредоносная программа работает в бесконечном цикле, ожидая ввода данных пользователем. Чтобы этот вирус было трудней обнаружить, он (по умолчанию) принимает команды только по ночам в воскресенье и понедельник. Он принимает следующие команды:
После каждой команды оператор должен нажать "Enter" на клавиатуре банкомата.
Tyupkin также использует сеансовые ключи для предотвращения взаимодействия со случайными пользователями. После ввода команды "Показать главное окно", вредоносная программа показывает сообщение "ENTER SESSION KEY TO PROCEED!" с использованием случайного номера для каждого сеанса. Оператор вредоносной программы должен знать алгоритм для генерации ключа сеанса. Только если этот ключ окажется введен успешно, можно будет приступить к работе с инфицированным ATM. После этого, вредоносная программа показывает следующее сообщение:
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION —
ENTER CASSETTE NUMBER AND PRESS ENTER.
Когда оператор выбирает номер кассеты, банкомат выдает из него 40 банкнот. Если сеансовый ключ неверный, тогда вредоносная программа отключает локальную сеть и показывает сообщение:
DISABLING LOCAL AREA NETWORK ...
PLEASE WAIT ...
Пока не совсем ясно, зачем вредоносная программа отключает локальную сеть. Это, скорее всего, связанно с намерением отсрочить или сорвать возможность проведения удаленного расследования. Ниже приведено видео с демонстрацией реального случая с банкоматом:
Заключение Последние несколько лет специалисты Лаборатории Касперского наблюдают значительный всплеск нападений на ATM, с использованием скимминговых устройств и вредоносного программного обеспечения. После основных докладов скиммеров, своровавших банковские финансовые данные по всему миру, они отмечают глобальный рейд правоохранительных органов, ставший причиной многочисленных арестов и судебных преследований кибер-преступников. В Lab Касперского наблюдают естественную эволюцию этой угрозы со стороны кибер-преступников ориентирующихся на финансовые институты. Они совершают свои преступления путем инфицирования банкоматов или прямых нападений в стиле APT против банка. Tyupkin пример такой вредоносной программы, позволяющей злоумышленникам обнаруживать слабые места в инфраструктуре ATM.
Тот факт, что многие банкоматы работают на операционных системах с известными "дырами" в безопасности, по которым отсутствуют решения, является еще одной проблемой, которая должна решаться в срочном порядке.
Рекомендации специалистов лаборатории для банков заключаются в рассмотрении физической безопасности банкоматов их владельцами и вопроса об инвестировании в качественные решения безопасности.
Рекомендации по смягчению последствий В лаборатории рекомендуют финансовым учреждениям и предприятиям, которые работают с банкоматами рассмотреть следующие рекомендации по смягчению последствий:
Общие рекомендации для операторов ATM
| |
|