19.02.2015 12:00
«Лаборатория Касперского» выпустила отчет о расследовании обстоятельств кибератаки, направленной на банкоматы. В ходе расследования специалисты центра глобальных исследований и анализа «Лаборатории Касперского» выяснили, что основой атаки является вредоносная программа (троянец), получившая обозначение Backdoor.MSIL.Tyupkin. Основной функцией Тюпкина оказалась выдача банкнот путем прямой манипуляции диспенсером (раздатчиком) банкнот.
Интерпол поставил в известность об этом службы безопасности в странах Европы, Латинской Америки и Азии, в которых злоумышленники пытались воспользоваться выявленным недостатком, и начал собственное полномасштабное расследование.
Справка: Вирус троян - это вредоносное программное обеспечение, которое, без ведома владельца персонального компьютера может предоставить доступ к его данным или по определенному адресу выслать вашу персональную информацию. Кроме этого, вы даже себе и подумать не можете, что эта программа является "трояном", так как программы подобного рода законспирированы под нужные и безопасные приложения.
Специалисты "Лаборатории Касперского" выяснили, что eгроза такого компьютерного взлома устройства оказалась на самом деле высока. Сначала мошенники должны заразить выбранный ими банкомат вирусом «Тюпкин». Делается это с помощью специального загрузочного диска. Процесс заражения банкомата удалось отследить с помощью видеокамер, установленных в помещениях с атакованными банкоматами. Преступники действуют «в лоб», просто открывая верхнюю часть банкомата ключом, затем устанавливают в оптический привод компьютера банкомата компакт-диск с вредоносной программой. Cнять в банкомате наличные можно после введения комбинации цифр на панели, после чего преступник может за один раз получить 40 банкнот. Кредитная или дебетовая карта при этом не требуется.
При этом троянец обладает целым рядом интересных особенностей, затрудняющих обнаружение. Во-первых, при активации на банкомате он тут же отключает установленную антивирусную защиту McAfee Solidcore. Во-вторых, чтобы исключить случайное обнаружение, большую часть недели зловред проводит «в спячке», а принимать команды от преступников может исключительно по ночам — с субботы на воскресенье и с воскресенья на понедельник. В-третьих, вирус обладает функцией экстренного отключения местной сети, чтобы служба безопасности банка не имела возможности удаленно подключиться к банкомату и проверить, что с ним происходит.
Расследование выявило более 50 зараженных банкоматов восточноевропейских банков, причем компания не сообщает, о каких банках и странах идет речь. Зато в исследовании приведена диаграмма с данными VirusTotal – сервиса, анализирующего подозрительные файлы с помощью множества антивирусов. И, судя по этой диаграмме, уже 20 пользователей с территории России присылали Backdoor.MSIL.Tyupkin. Из других стран образцов Тюпкина поступило гораздо меньше. Это позволяет сделать вывод, что российские банкоматы не только не избежали внимания создателей троянца, но и являются основной для них целью. «Жертвами» оказались банкоматы одной и той же компании из первой тройки производителей, с операционной системой WindowsXP на борту.
По мнению представителей «Лаборатории Касперского», Тюпкин относится к угрозам нового поколения, которые в скором будущем придут на смену традиционному кардерскому бизнесу – скиммингу. Скимминг приносил и приносит хорошие деньги, но имеет ряд проблем, предрекающих падение его популярности: сложная многоэтапная схема обогащения, относительно рискованная для ее участников (об этом говорит и растущее число арестов кардеров), неприменимость для карт с EMV-чипами, а также все более изощренные антискимминговые системы, применяющиеся производителями банкоматов. Обнаруженный способ взлома банкоматов не вредит простым пользователям. Злоумышленники не снимали средства со счетов клиентов. Они лишь заставляли устройства выдавать хранившиеся в них денежные купюры.
