Показано с 1 по 1 из 1.

Тюпкин грабит банкоматы

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,811
    Вес репутации
    141

    Тюпкин грабит банкоматы

    «Лаборатория Касперского» выпустила отчет о расследовании обстоятельств кибератаки, направленной на банкоматы. В ходе расследования специалисты центра глобальных исследований и анализа «Лаборатории Касперского» выяснили, что основой атаки является вредоносная программа (троянец), получившая обозначение Backdoor.MSIL.Tyupkin (в честь сотрудницы компании, у которой в тот день был день рождения).
    Основной функцией Тюпкина оказалась выдача банкнот путем прямой манипуляции диспенсером (раздатчиком) банкнот.
    Расследование выявило более 50 зараженных банкоматов восточноевропейских банков, причем компания не сообщает, о каких банках и странах идет речь. Зато в исследовании приведена диаграмма с данными VirusTotal – сервиса, анализирующего подозрительные файлы с помощью множества антивирусов. И, судя по этой диаграмме, уже 20 пользователей с территории России присылали Backdoor.MSIL.Tyupkin. Из других стран образцов Тюпкина поступило гораздо меньше. Это позволяет сделать вывод, что российские банкоматы не только не избежали внимания создателей троянца, но и являются основной для них целью. «Жертвами» оказались банкоматы одной и той же компании из первой тройки производителей, с операционной системой WindowsXP на борту, пишет banki.ru.
    Процесс заражения банкомата удалось отследить с помощью видеокамер, установленных в помещениях с атакованными банкоматами. Преступники действуют «в лоб», просто открывая верхнюю часть банкомата ключом, затем устанавливают в оптический привод компьютера банкомата компакт-диск с вредоносной программой. Где они берут ключи – особый вопрос. Но известно, что самым простым способом раздобыть копию ключа является подкуп инженера технической поддержки, обслуживающего эти банкоматы. Кроме того, если замок в банкомате не менялся со времен приобретения аппарата у производителя, к нему может подходить общий для этой модели мастер-ключ.
    «Лаборатория Касперского» не сообщила подробностей способа заражения. Скорее всего, злоумышленники перезагружают компьютер банкомата, входят в настройки BIOS, включают загрузку с компакт-диска и загружаются с диска с троянцем. После перезагрузки операционная система заражается Тюпкиным. Кроме того, троянец отключает встроенное защитное решение McAfee Solidcore. После этого преступники извлекают диск, запирают банкомат и покидают сцену. Очередь за дропами – сборщиками денег.
    Работа дропов тоже оказалась «засвечена» камерами. Зараженный банкомат внешне работает точно так же, как раньше, но по воскресеньям и понедельникам строго с 01:00 до 05:00 он принимает дополнительные команды, которые нужно вводить с пинпада аппарата. В один из этих периодов дроп навещает банкомат и вводит команду, показывающую главное меню троянца на экране устройства. Помимо этой команды, как установили эксперты «Лаборатории Касперского», можно ввести команду на самоудаление троянца и команду на продление периода активности до 10:00. Специалисты компании даже сняли видеоролик, как это происходит.
    Знания основных команд троянца недостаточно для обогащения. Создатели вредоносной программы позаботились о том, чтобы их детище оставалось под их контролем. При входе в главное меню троянец запрашивает одноразовый сессионный ключ, который выдают дропу его вышестоящие подельники.
    Если введенный ключ оказался верным, троянец показывает содержимое кассет с банкнотами и запрашивает номер кассеты, из которой нужно извлечь деньги. После ввода номера диспенсер банкомата получает команду на выдачу 40 банкнот. Если код неверен, зловред отключает доступ банкомата к сети. Зачем он это делает, эксперты пока не выяснили. Предположительно, это должно затруднить расследование инцидента.
    По мнению представителей «Лаборатории Касперского», Тюпкин относится к угрозам нового поколения, которые в скором будущем придут на смену традиционному кардерскому бизнесу – скиммингу. Скимминг приносил и приносит хорошие деньги, но имеет ряд проблем, предрекающих падение его популярности: сложная многоэтапная схема обогащения, относительно рискованная для ее участников (об этом говорит и растущее число арестов кардеров), неприменимость для карт с EMV-чипами, а также все более изощренные антискимминговые системы, применяющиеся производителями банкоматов. Тюпкин работает проще, грубее и прибыльнее, атакуя не карты, а саму карточную инфраструктуру.
    Первые образцы троянца, проанализированные «Лабораторией Касперского», были скомпилированы в марте 2014 года. Это косвенно свидетельствует о том, что злоумышленники практически беспрепятственно «доят» банкоматы на протяжении многих месяцев. Точные потери банков неизвестны и никогда известны не будут, ясно лишь, что речь идет как минимум о миллионах долларов.
    По словам ведущего антивирусного эксперта «Лаборатории Касперского» Висенте Диаза, это не первый троянец такого рода: «Мы уже видели несколько подобных образцов, таких как Ploutus. Этот вид троянцев отличается тем, что при удачном заражении обеспечивает преступникам немедленное обогащение».
    Backdoor.Ploutus.B, модульный троянец, обнаруженный в конце 2013 года в мексиканских банкоматах, также умеет выдавать наличные деньги. Принципиальным его отличием от Tyupkin является получение команд через СМС-сообщения с помощью мобильного телефона, подключенного к USB-порту компьютера банкомата. Телефон неизбежно привлекает внимание инженеров и тем самым демаскирует заражение в случае, если банкомат нуждается в каком-то обслуживании, требующем открытия верхней части. Tyupkin этого недостатка лишен, поскольку внешне никак себя не проявляет до получения специальной команды.
    «Злоумышленники научились заражать своим троянцем аппараты лишь одного производителя, – говорит Диаз. – Как только им удалось изобрести метод заражения банкомата определенной модели, они могут испробовать то же самое и с другими банкоматами данной модели. Атака будет успешно проходить до тех пор, пока банки не внедрят дополнительные защитные механизмы».
    Эксперты «Лаборатории Касперского» призвали банки пересмотреть меры физической защиты своих банкоматов и инвестировать деньги в защитные решения, установить сигнализацию, а также заменить замки верхнего отсека. Удалить вредоносную программу с зараженного устройства можно с помощью бесплатных антивирусных инструментов.

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. Индийские банкоматы уязвимы из-за устаревшего ПО
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 24.03.2014, 22:00
  2. Новый троян заражает банкоматы
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 04.03.2014, 13:20
  3. Trojan.Skimer.18 заражает банкоматы
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 17.12.2013, 16:50
  4. В Москве появились фальшивые банкоматы
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 10.07.2013, 18:50
  5. Новый BlackEnergy грабит банки России и Украины
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 21.06.2010, 02:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00394 seconds with 18 queries