# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Взломаны банкоматы крупнейших банков

## ALEX(XX)

Компания "Доктор Веб" сообщила о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают. 
Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и, по оценкам экспертов, способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы. 
Образец этого трояна Служба вирусного мониторинга получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества. 
В связи с тем, что, как правило, сети банкоматов не связаны со "всемирной паутиной", единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода, считают в компании. 
Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам. 
По информации Securitylab, взлом банкоматов произошел еще осенью, однако банки долгое время не хотели признавать факт массового взлома. Зараженными оказались банкоматы, расположенные на станциях метро, которыми пользуется большое количество людей. Мошенники полностью опустошали счета ничего не подозревающих владельцев пластиковых карт, снимая деньги в банкоматах за границей. По информации пострадавшего клиента, деньги которого обналичили в банкомате Загреба (Хорватия), несмотря на признание операций мошенническими, возвращать деньги банк не собирается. Сотрудники банка заявили, что все опротестованные операции корректно авторизованы, поэтому невозможно опротестовать случаи несанкционированного использования карты

securitylab.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## priv8v

имхо, это обслуживающий персонал банкоматов все делает...

----------


## SDA

Добавлю:
Вчера "Доктор Веб" сообщил о появлении вируса, способного получать информацию о проведенных через банкомат транзакциях. Своей точкой зрения поделился Александр Гостев, руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского".

Данная вредоносная программа была обнаружена и добавлена в антивирусные базы "Лаборатории Касперского" 19 марта 2009 г. под именем Backdoor.Win32.Skimer.a. Это троянская программа, которая заражает банкоматы популярного американского производителя Diebold (по неподтвержденным данным, речь идет о банкоматах, расположенных на территории РФ и Украины). На сегодняшний день отсутствует информации о реально зараженных машинах. Однако мы предполагаем, что их количество, если таковые вообще существуют, минимально. Зараженные машины становятся уязвимыми для дальнейших действий злоумышленника, а именно: имея специальную карточку доступа, вирусописатель может снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации о всех проведенных через этот банкомат транзакциях других пользователей.

Принцип заражения, учитывая отсутствие реальных обращений от банков, пока не до конца очевиден. Специалисты ЛК предполагают, что речь может идти о двух возможных вариантах: прямой физический доступ к системе банкомата или доступ через внутреннюю сеть банка, к которой подключены банкоматы.

Анализ кода программы позволяет с высокой долей вероятности предположить, что его автор - гражданин одной из стран СНГ.

К сожалению, рядовой пользователь не сможет самостоятельно определить заражение банкомата. Однако это могут сделать его владельцы. Чтобы избежать возможного заражения, эксперты ЛК настоятельно рекомендуют всем банкам провести проверку эксплуатируемых сетей банкоматов при помощи обычной антивирусной программы, детектирующий данное зловредное ПО.
Backdoor.Skimer.a - первая вредоносная программа, нацеленная на заражение и существование в банкоматах. Мы не исключаем появления новых вредоносных программ, направленных на нелегитимное использование банковской информации и наличных средств. 
computerra.ru

----------


## winwood

пора возвращать os/2 в банкоматы  :Smiley:

----------


## ALEX(XX)

«Росбанк» сообщил об обнаружении в своих банкоматах вируса, позволяющего злоумышленникам получить персональные данные карт клиентов. Однако, согласно заявлению банка, массового распространения данный вирус не получил, сообщает CNews.ru. 

«Он был выявлен и устранен нашей системой безопасности на начальном этапе. В сети банкоматов «Росбанка», насчитывающей более 1800 устройств, проблемы были обнаружены в четырех. Самое важное - счета клиентов были защищены. В настоящее время банкоматный парк «Росбанка» работает в штатном режиме», - говорится в сообщении «Росбанка». 

Как пояснили в «Росбанке», карты некоторых клиентов, попавшие в список «подозрительных», были заблокированы банкоматами. Клиент, чья карта была задержана устройством, может с паспортом обратиться в любое отделение «Росбанка» с заявлением на ее перевыпуск. «В течение 5-7 рабочих дней банк бесплатно ее перевыпустит. При этом доступ к деньгам открыт через кассу», - уточнили в «Росбанке». 

Помимо банкоматов «Росбанка» был заражен один банкомат банка «Петрокоммерц». 

securitylab.ru

----------


## Гриша

По ящику показывали недавно...

Стас Шевченко о взломе банкоматов http://www.vesti.ru/videos?vid=199326

----------


## ALEX(XX)

В сложившейся экономической ситуации мы привыкли слышать, как очередной банк сокращает своих сотрудников и обращается в аутсорсинговые компании для разработки программного обеспечения. 

Основной вопрос, усиливает эта практика риск получения тайминговой бомбы, прошитых учетных записей или просто бекдоров, скрытых собственными разработчиками. 

Интересный фрагмент кода, обнаруженный Ваней Сватчером (Vanja Svajcer) из Sophos подтверждает наши опасения. 

Поскольку до конца неизвестно (отсутствуют доказательства), как этот код попал в банкомат, мы можем предположить, что это сделал человек, знающий архитектуру и имеющий физический доступ к аппаратному и программному обеспечению Diebold ATM. Привилегированный инсайдер, который либо хотел обеспечить страховку на «черный день», имея неограниченный доступ к наличным, либо планировал провести масштабную распределенную атаку на банки.



В любом случае, бекдор старательно скрывает себя на системе. Почему? Скорее всего, для того, чтобы оставаться незамеченным во время аудиторских проверок. 

Бекдор состоит из «дроппера» и оставленного компонента.

Если на системе используется файловая система NTFS, дроппер создаст 2 альтернативных потока данных:
%windir%\greenstone.bmp:redstone.bmp
%windir%\greenstone.bmp:bluestone.bmp

В противном случае, создаст 2 файла:
%windir%\redstone.bmp
%windir%\bluestone.bmp

Эти файлы создаются из этих копий файлов, если они обнаружены на системе:
%windir%\trl2
%windir%\kl

Затем, дроппер предоставляет себе привилегии уровня SeDebugPrivilege и делает 50 попыток завершить процесс lsass.exe. 

Бекдор устанавливает себя следующий образом:

•Получает полный путь к бинарному файлу системной службы "LogWriter" 
•Останавливает службу "LogWriter" 
•Добавляет к имени ":", за которым следует pwrstr.dll 
•Помещает собственный ресурс PACKAGEINFO в альтернативный поток данных [LogWriter_binary_filename]:pwrstr.dll 
•Запускает службу "LogWriter", вместе с которой выполняется библиотека из нового источника.
Наконец, дроппер внедряет и запускает удаленную нить в процессе explorer.exe, которая перечисляет и удаляет все Windows Prefetch файлы.

После активации, библиотека внедряет 2 нити: одна будет внедрена в процесс mu.exe, другая – в процесс SpiService.exe - основную службу ("Diebold XFS Service") проприетарного ПО, работающего на банкоматах Diebold. Эти нити будут ответственны за внутреннее сообщение с драйвером Diebold через именной канал "\\.\pipe\lsndbd". 

Другая нить начнет периодичный вызов (раз в секунду) API SQReceiveFromServer(), экспортируемого sharedq.dll. Содержимое буфера, заполненное этой функцией, будет проверяться на наличие тегов "TCS," и "HST,". 

Если значения, указанные в тегах, разделяются символом ";", нить их извлечет и запишет в журнал в файл %windir%\greenstone.bmp:redstone.bmp на NTFS системе или в файл %windir%\redstone.bmp на другой файловой системе. 
Так как тег "TCS," означает транзакции, а тег "HST," историю, бекдор способен собирать данные о пользователях и транзакциях в вышеупомянутом файле. 

В случае, когда процесс обработки транзакции обнаруживает определенные данные, предположительно уникальные для атакуемого банкомата, бекдор перейдет в графический режим, который предоставит атакующему полный доступ к бекдору. В этом случае на дисплее банкомата будет отображено диалоговое окно с надписью "Agent" и приглашением "Enter command:", и драйверу Diebold будут переданы команды на активацию клавиатуры и чтение входных данных через последовательность команд, предоставленных DbdDevExecute() API, экспортируемых DbdDevAPI.dll. например, драйвер получит следующие команды:
EPP4_ENCODE_DECODE, EPP4_ENABLE_KEYBOARD_READ. 

Затем, атакующий предоставляет одну из 10 возможных команд путем ввода номера на клавиатуре. Каждая команда инструктирует бекдор для выполнения определенных действий. 

Например, команда «2» проинструктирует бекдор прочитать версию установленного ПО Diebold из ключей реестра:
HKLM\SOFTWARE\Diebold\Agilis 91x Core
HKLM\SOFTWARE\Diebold\Agilis 91x 

Затем эта команда прочитает содержимое временных файлов redstone.bmp и bluestone.bmp и обработает детали транзакций из этих файлов. Наконец, будет отображено уведомление с собранной статистикой в следующем виде: 
Agilis [version number]
Agent [version number]
Transactions [number]
Cards [number]
KEYs [number]

Команда 6 проинструктирует бекдор восстановить "Key A" и "Key B" из файла redstone.bmp, который будет распечатан на чеке. 
Команда 8 позволит атакующему отобразить внутренние счетчики в диалоговом окне (это может потенциально сообщить о количестве наличных в банкомате). 

Команда 7 сгенерирует случайное число и затем сгенерирует на его основе пароль. Затем будет отображено диалоговое окно "Autorization" (орфография сохранена): 
Request Code: [random number]
Enter Responce: 

Будет предоставлено 3 попытки для ввода корректного пароля.
Если пароль корректный, будет отображено диалоговое окно "Enter Command" (орфография сохранена) 
1..4 - dispense cassete
9 - Uninstall
0 - Exit

В случае 1-4 будут выполнены команды AFD_DISPENCE, AFD_PRESENT и AFD_RESTORE, которые проинструктируют Advanced Function Dispenser (AFD) модуль изъять кассеты с наличными из банкомата.

С таким уровнем утонченности, учитывая наличие троянского приложения в его классической форме внутри банкомата, даже такие параноидальные приемы не спасут вас от кражи:

securitylab.ru

----------


## Alex_Goodwin

проснулись и перевели Ваню.
Кстати дата слива: *

```
Submission received: 11 November 2008, 23:01:54
```

*
http://www.threatexpert.com/report.a...78650e27d81010

Доктор новость походу писал, не видя сэмпла.
http://www.virustotal.com/ru/analisi...805f503a80bafb
http://www.virustotal.com/nl/analisi...87eeb0a2ab12bf
http://www.virustotal.com/pt/analisi...70ffe9f6ad034d

Инфа на сайте болтов уже давно висит
http://www.diebold.com/whatsnews/ATM...ia/default.htm

Видел видео с Шаровым. Ужос. "ээээ эээээ эээээ."

----------


## herzn

> Доктор новость походу писал, не видя сэмпла.


1. Факт: Skimer впервые добавлен в базы Dr.Web 18/03/09. Это легко проверить.
2. Факт: Большинству здесь присутствующих доподлинно известно, что VT регулярно глючит.
3. Предположение: есть не только одна инкарнация.
4. Опыт: Dr.Web никогда не был замечен в запускании пустых страшилок.



> Видел видео с Шаровым. Ужос. "ээээ эээээ эээээ."


По поводу "эээ" согласен.
Но зато популярно, как раз для телеящика. :Smiley:

----------


## Alex_Goodwin

на сек блоге бурно обсуждают http://www.secureblog.info/articles/444.html

*Добавлено через 6 минут*

еще виртотал у доктора опять нет детекта. 4-й раз глючит виртотал. и именно на докторе.
http://www.virustotal.com/ko/analisi...3323bdf3e3fdb0

*Добавлено через 7 минут*

описалово от симы http://www.symantec.com/business/sec...048-99&tabid=2

----------


## priv8v

заметили как активно юзается ADS?
имхо, в последнее время про него вообще все вдруг вспомнили и начали активно юзать в виду того, что скрытие в системе от глаз юзера он обеспечивает, а никакие хуки при этом не ставит - т.е нет горы матюгов от антируткитов. 
Кстати, в OSSS при работе со стримами будут запросы на разрешение :Smiley:

----------


## herzn

> на сек блоге бурно обсуждают [url]
> еще виртотал у доктора опять нет детекта. 4-й раз глючит виртотал. и именно на докторе.


MD5 смотрим, читаем все пункты, а не один. :Smiley:

----------


## Alex_Goodwin

Ваше предположение скорее всего не верно и сэмпл там один. Ни один исследователь и ни одна ав компания не говорили о вариантах, в том числе доктор.
Есть два варианта попадания сэмпла к аверам:
1. Специалисты банка/обслуживающей компании нашли подозрителный файл либо его спалили проверкой ав (смотрим первый виртотал - чисто эвристический детект есть). Сэмпл попадает специалистам производителя - выпускается пресс-релиз. Ваня с Софоса ищет в отбросах виртотала находит - выходит статья в блоге. Ее читают и начинают искать стальные. 
2. Злоумышленники вовсю напользовались зловредом и слили его.
Что интересно -весь мусор с виртотала компании получают. Понятно, в базы добавляет робот, но ведь с ноября много кто не добавил, хотя сэмпл у них был.

----------


## priv8v

зато бравый икарус рад стараться :Smiley:

----------


## Alex_Goodwin

при чем тут икарус? http://www.virustotal.com/pt/analisi...70ffe9f6ad034d его тут нет.

----------


## priv8v

Эмм.. я немного другое имел в виду:
http://www.virustotal.com/ko/analisi...3323bdf3e3fdb0
(вот на эту ссылку смотрел).
Да и вообще - наслоилось все как-то - мне сегодня уже попадались 2 вредоносных файла, которые детектили 2 норм антивируса и икарус - потому вот и заострил внимание на икарусе :Smiley:

----------


## borka

> Инфа на сайте болтов уже давно висит
> http://www.diebold.com/whatsnews/ATM...ia/default.htm


И что?  :Smiley:  А банки что-то сделали?

*Добавлено через 54 секунды*




> 3. Предположение: есть не только одна инкарнация.


На форуме Доктора Данилов говорит о десятке модификаций.

*Добавлено через 8 минут*




> Ни один исследователь и ни одна ав компания не говорили о вариантах, в том числе доктор.


См. выше. И см. ниже.  :Smiley: 




> Есть два варианта попадания сэмпла к аверам:
> 1. Специалисты банка/обслуживающей компании нашли подозрителный файл либо его спалили проверкой ав (смотрим первый виртотал - чисто эвристический детект есть). Сэмпл попадает специалистам производителя - выпускается пресс-релиз. Ваня с Софоса ищет в отбросах виртотала находит - выходит статья в блоге. Ее читают и начинают искать стальные. 
> 2. Злоумышленники вовсю напользовались зловредом и слили его.
> Что интересно -весь мусор с виртотала компании получают. Понятно, в базы добавляет робот, но ведь с ноября много кто не добавил, хотя сэмпл у них был.


Вы очень невнимательно прочитали Ваню в оригинале - он совершенно четко указал источник:



> I decided to check in our malware database to see if there are any samples that reference Diebold, the manufacturer of ATMs allegedly targeted and found 3 recently acquired files. They all looked similar but there was nothing obvious to be picked up by our automated analysis systems which would automatically classify them as malicious.


Ни о каком ВирусТотале речь не идет. И статья, однако, "17 March 2009 15:57 GMT"

----------


## Alex_Goodwin

и где эти десятки оридженом взятые? 
А у Софоса в их базе, где их Ваня нашел откуда они взялись?


```
Yesterday however, a good friend of mine who works for a bank contacted me with a similar question.
He had heard some rumours about compromised cash machines in Russia infected with a Trojan that captures credit card details and distributes the captured details to attackers.
```

----------


## borka

> и где эти десятки оридженом взятые?


Понятия не имею.  :Smiley:  На сегодня в базах Доктора номерные Скимеры значатся уже не в единственном числе. Например, Trojan.Skimer(2), Trojan.Skimer.7(2). Ну а ориджин в базы не заносится. И вообще говоря, речь шла не о десятках, а о десятке. Как бы есть некоторая разница.  :Wink: 




> А у Софоса в их базе, где их Ваня нашел откуда они взялись?
> 
> 
> ```
> Yesterday however, a good friend of mine who works for a bank contacted me with a similar question.
> He had heard some rumours about compromised cash machines in Russia infected with a Trojan that captures credit card details and distributes the captured details to attackers.
> ```


Не знаю.  :Smiley:  Поскольку ваша цитата из Вани предшествует моей, то можно предположить, что этот самый "good friend of mine" и дал необходимый сэмпл.  :Wink:  Судя по тому, что написано в самом начале



> From time to time, because they know I work for SophosLabs, my friends ask me about different malware types and forward me warnings of alleged malware outbreaks, which often turn out to be just standard hoax emails.


это очень похоже на правду.  :Wink:  И, получив этот сэмпл, Ваня нашел еще более другие у себя в мусоре.  :Smiley:  Но про ВирусТотал ни слова.
Получается такая картина: о существовании трояна все АВ знали еще в середине ноября. ВирусТотал это подтверждает: http://www.virustotal.com/pt/analisi...70ffe9f6ad034d
Но в базы добавили только по факту начала громких разборок. Диболд отреагировал еще тогда, выпустил патч и роздал банкам. Что сделали банки - непонятно. Либо ничего, либо начали втихаря копать. Вполне возможно, что тут-то новые сэмплы и всплыли, поскольку мутация трояна исключается.
Как уже было сказано, Доктор детектил Скимера с 18 марта. Тот факт, что все арахнофобы утверждают, что новость была написана без сэмпла и с указанием проверок одного и того же файла в разное время, и говорит о том, что сэмплов было несколько. Еще что более интересно, что сам Софос в ноябре этого трояна не знал.  :Smiley:

----------

