Подписка

10 лет изящного взлома. Как развивалось вредоносное ПО для банкоматов

Валерий Торчиков, 14/10/19

С момента обнаружения Skimer, первой вредоносной программы, созданной специально для атак на банкоматы (АТМ), прошло 10 лет. За это время появились целые семейства таких вредоносных программ. В этой статье мы рассмотрим самые значимые из них и расскажем о лучших практиках обнаружения и противодействия таким программам.

10 лет назад разобраться в невиданной ранее угрозе было крайне непросто, ведь анализ требовал понимания функций и параметров программного интерфейса (API) банкоматов различных производителей, которые в общедоступных источниках никогда не публиковались.

До обнаружения Skimer банкоматы зачастую рассматривались как устройства с проприетарным оборудованием, работающим под управлением нестандартных версий ОС, и оснащенные специализированными средствами защиты от конкретных видов атак, направленных на хищение денежных средств. Но, как это часто бывает, случай все расставил по местам. В ходе исследования Skimer специалисты обнаружили, что банкоматы всех самых распространенных производителей работают под управлением стандартной версии ОС Windows и с технической точки зрения представляют собой самые обыкновенные компьютеры с подключенным к ним специальным оборудованием, таким как, например, диспенсер банкнот и картридер. А значит, потенциальную уязвимость к вредоносному коду можно использовать для несанкционированной выдачи наличных.

Эволюция атак на банкоматы

Преступники всегда рассматривали банкоматы как потенциальный объект наживы: сейф с деньгами, стоящий практически на улице, не мог не остаться без внимания. Однако если изначально альтернатив физическим атакам не существовало, то за последние несколько лет технологии сильно эволюционировали.

Появление специального вредоносного программного обеспечения (ПО) для банкоматов предоставило преступникам более изящную и неприметную альтернативу физическому взлому. Ранее их методы ограничивались либо традиционным взломом сейфового замка с помощью лома или болгарки, либо эффектным подрывом банкомата с применением горючей газовой смеси. Разумеется, ни один из этих способов нельзя назвать тихим и незаметным.

За прошедшие 10 лет наблюдается стабильный рост количества обнаруженных сэмплов вредоносного программного обеспечения (ВПО) для АТМ. Со времен самых первых версий Skimer данный вид ВПО стремительно развивался и прошел путь от единичных экземпляров, доступных только их создателям, до "пакетных" решений на черном рынке и сложных инструментов, применяемых профессиональными хакерскими группировками. Сегодня существуют целые семейства программ, созданных для несанкционированной выдачи денег из банкоматов. Несмотря на это, общее количество таких программ ввиду своей крайней специфичности значительно уступает практически любой другой категории ВПО

1_Количество обнаруженных сэмплов ВПО по данным VirusTotalКоличество обнаруженных сэмплов ВПО по данным VirusTotal
www.talosintelligence.com

Для любой атаки на банкомат необходимо находиться рядом с ним, ведь надо забрать деньги. Для непосредственного "сбора" наличных с зараженного банкомата преступники обычно привлекают так называемых мулов — сообщников, которые по команде вводят уникальный сессионный ключ либо используют специальную карту для авторизации несанкционированной транзакции, после чего забирают деньги, выданные банкоматом. Таким образом, сам злоумышленник (это может быть автор и/или продавец ВПО) управляет всей операцией удаленно и не рискует быть пойманным на месте преступления. Но прежде чем дело дойдет до работы "мулов", преступникам необходимо внедрить ВПО в компьютер банкомата, что чаще всего подразумевает получение физического доступа к USB-портам либо оптическому приводу.

Если обратиться к информации, доступной в открытых источниках, то можно заметить, что сообщения об атаках на банковские организации по всему миру появляются достаточно регулярно. "Лидируют" по таким атакам страны Латинской Америки и Восточной Европы, где зачастую используется устаревшая инфраструктура и не уделяется достаточное внимание обеспечению безопасности банкоматной сети. Так, по данным EAST (European Association for Secure Transactions), совокупный ущерб от логических атак на банкоматы за последние годы превысил 4 млн долларов. При этом нужно понимать, что это только подтвержденные атаки. Ущерб, наносимый банкам, редко разглашается, реальные цифры значительно больше и, возможно, достигают десятков миллионов долларов.

2_Сравнительная статистика по физическим и логическим атакам на АТМ за 2014--2018 гг.Сравнительная статистика по физическим и логическим атакам на АТМ за 2014—2018 гг.
www.association-secure-transactions.eu

Следует подчеркнуть, что подобное ПО вредит не только самим банкам, но и репутации производителей банкоматов, а также частных лиц и компаний, чьи учетные данные могут быть скомпрометированы в результате успешно проведенных кибератак.

Классификация ATM Malware

Существует несколько различных вариантов классификации ATM Malware (вредоносных программ для банкоматов). По функциональному признаку все подобные программы можно разделить на два типа: виртуальные скиммеры (Virtual Skimmers) и утилиты прямой выдачи (Direct Dispense).

Предназначение скиммеров — украсть данные банковской карты и проводимой транзакции, а по возможности — даже и ПИН-код, если предварительно были скомпрометированы ключи шифрования ПИН-клавиатуры.

Утилиты прямой выдачи наличных обладают функционалом, именуемым jackpotting (от англ. jackpot — крупный выигрыш в лотерее, джекпот), позволяющим злоумышленникам осуществить несанкционированную выдачу денег из банкомата без необходимости авторизации транзакции на стороне банка. При этом существует ВПО, которое объединяет в себе функционал скиммера и jackpotting.

В классификации способа "доставки" ATM Malware на конечное устройство можно также выделить два подхода. Первый подразумевает получение злоумышленником физического доступа к USB-интерфейсам банкомата и непосредственное копирование или запуск вредоноса с флешки. Второй — это удаленное внедрение ВПО, предполагающее предварительную компрометацию внутренней корпоративной сети банка, получение административных привилегий (к примеру, в системе тиражирования ПО) и дальнейшее распространение вредоносного кода на сеть банкоматов от легитимного с точки зрения самих конечных устройств источника.

Второй подход требует серьезной подготовки и реализуется, как правило, организованными преступными группировками. Тут следует упомянуть таких "профессионалов" в области целевых атак на финансовые организации, как хакерские группировки Anunak, Corkow, Buhtrap, Lurk, Lazarus, Metel, Cobalt. Последняя громко заявила о себе в июле 2016 г., когда атаке подвергся тайваньский First Bank. Злоумышленники одновременно очистили несколько десятков банкоматов по всему Тайбэю. Это был пример хорошо спланированной целенаправленной логической атаки на финансовую организацию. Хакеры посредством фишинговых рассылок проникли во внутреннюю сеть банка и, используя инфраструктурные уязвимости, получили доступ к системе управления банкоматами. Дальше действовали "мулы".

Кроме того, банкоматное ВПО можно классифицировать и по применимости к объекту атаки. Существуют Malware, нацеленные на определенные модели банкоматов конкретного производителя, и универсальные ВПО, работающие на всех банкоматах в независимости от производителя.

Наличие универсальной Malware связано с тем, что все основные производители банкоматов поддерживают стандарт CEN/XFS (от англ. eXtensions for Financial Services), который обеспечивает общий API для управления различными модулями банкомата. Таким образом, CEN/XFS может быть использован и для создания вредоносных программ, чтобы те могли "общаться" с банкоматом на его родном языке.

API XFS содержит в себе высокоуровневые функции для связи с различными модулями банкомата, такими как диспенсер банкнот, ПИН-клавиатура, модуль приема наличных и т.д. Высокоуровневые функции предоставляются через общий SDK, в то время как низкоуровневые — через сервис-провайдеры, свои у каждого производителя банкомата. Такая архитектура очень похожа на архитектуру Win32, когда разработчики используют высокоуровневый API для связи с ядром ОС и различными драйверами устройств, предоставляемыми производителями отдельных аппаратных компонентов.

3_Высокоуровневая архитектура CENXFSВысокоуровневая архитектура CEN/XFS
www.fireeye.com

Известные семейства ATM Malware

За последние 10 лет обнаружено свыше 30 различных семейств ВПО для банкоматов. Рассмотрим несколько наиболее популярных и значимых и постараемся выделить общие черты и уникальные отличия каждого ВПО.

4_Количество сэмплов ВПО в разрезе семействКоличество сэмплов ВПО в разрезе семейств
www.talosintelligence.com

Ploutus

Ploutus — это семейство вредоносных программ с наибольшим количеством обнаруженных сэмплов. Большинство из них были зарегистрированы в Мексике. Ploutus — типичный пример утилиты прямой выдачи. Для загрузки ВПО злоумышленники должны иметь доступ к USB-портам или приводу CD-ROM.

В качестве примера можно привести одну из недавних модификаций — Ploutus-D, которая изначально была ориентирована на банкоматы Diebold, широко распространенные в США. Однако вредонос взаимодействует с банкоматом через мультивендорную платформу KAL Kalignite, и после несложной модификации кода Ploutus-D может применяться и для атак на банкоматы других производителей.

5_Один из вариантов интерфейса PloutusОдин из вариантов интерфейса Ploutus
www.securelist.com

Skimer

Skimer — одна из первых логических атак на банкоматы. Функционально этот вредонос полностью оправдывает свое название и представляет собой по сути виртуальное скимминговое устройство, копирующее данные с магнитной полосы банковской карты.

Кроме того, Skimer является бэкдором и может использоваться для несанкционированной выдачи денег из банкомата. Если злоумышленнику известен ключ для активации программы, вредонос выводит на экран меню, из которого можно осуществить выдачу денег с каждой из четырех кассет диспенсера.

Большинство других семейств банкоматного ВПО работают по аналогичному принципу. Злоумышленники должны обеспечить себе физический доступ к сервисной зоне банкомата, чтобы подключить внешний накопитель с ВПО. После внедрения ВПО в систему атакующему нужно ввести уникальный код для активации процесса выдачи наличных.

Tyupkin (PadPin)

Настоящая слава пришла к вредоносным программам для банкоматов с появлением печально известного трояна Tyupkin, чья активность была впервые зафиксирована в 2014 г. С тех пор атакам подверглось множество банкоматов по всему миру.

Отличительная черта Tyupkin — его возможность ограничить время своей активности в заданные часы и дни недели. Некоторые из первых разновидностей Tyupkin изначально могли запускаться только по ночам в воскресенье и понедельник.

6_Функция Tyupkin по проверке времени запускаФункция Tyupkin по проверке времени запуска
www.talosintelligence.com

Кроме того, в троян заложена функция самозащиты. Непосредственно перед выдачей наличных Tyupkin отключает все сетевые соединения, чтобы в случае фиксации подозрительной активности на стороне банка служба мониторинга не смогла выключить банкомат, тем самым прервав мошенническую операцию.

Alice

Принцип работы Alice такой же, как у многих других банкоматных зловредов. Установка требует физического доступа к системе банкомата. После запуска Alice запрашивает код доступа для продолжения работы. Если введен корректный код активации, зловред получает доступ к диспенсеру банкнот и позволяет выдать наличные.

7_Основной интерфейс Alice

Основной интерфейс Alice
www.blog.trendmicro.com

Cutlet Maker

В 2017 г. киберпреступники начали продавать в даркнете услугу "ATM Malware-as-a-Service". За 5 тыс. долларов каждый может приобрести пакет из готовой к использованию вредоносной программы Cutlet Maker и видеоинструкции по вскрытию банкомата. Купившим услугу нужно выбрать подходящий банкомат (авторы ВПО рекомендуют Wincor Nixdorf), воспользоваться инструкцией по взлому его сервисной части, загрузить вредоносную программу и заплатить организаторам сервиса за ее активацию (получение уникального сессионного ключа), чтобы запустить процесс выдачи денег.

8_Основной интерфейс Cutlet Maker

Основной интерфейс Cutlet Maker
www.securelist.com

В случае с Cutlet Maker потенциальный потребитель услуги может обладать минимальными знаниями об объекте атаки. Данный пример показывает, как подобные схемы снижают входной порог в этот вид преступлений и ведут к значительному увеличению количества киберпреступников.

FASTCash

FASTCash — уникальный инструмент, который хакерская группировка Lazarus использовала для атаки на финансовые организации более чем в 20 странах мира. Суммарно за 2016—2018 гг. было похищено несколько десятков миллионов долларов.

Особенность FASTCash заключается в механизме его работы и ориентации на ОС IBM AIX. Хакеры внедряли троян в легитимный процесс на сервере приложений процессинговых систем, контролирующих транзакции в банкоматной сети и работающих под управлением AIX.

После компрометации сервера троян получал возможность создавать поддельные сообщения ISO 8583 (стандарт, описывающий процесс передачи и формат финансовых сообщений систем, обрабатывающих данные банковских карт), генерируя ответ с подтверждением мошеннической операции по снятию наличных в банкоматах. Нужно отметить, что во всех случаях успешные атаки стали возможными из-за того, что финансовые организации использовали устаревшие версии AIX — без необходимых обновлений безопасности.

9_Схема работы FASTCash из отчета компании SymantecСхема работы FASTCash из отчета компании Symantec
www.symantec.com

Это еще один пример целевой атаки на финансовые организации, в данном случае через процессинговые системы. При этом уровень сложности и проработки FASTCash очень высок и несопоставим ни с одним другим "стандартным" ATM Malware.

Обнаружение и противодействие. Best practice

Для эффективного противодействия атакам с использованием ATM Malware необходимо обеспечить всестороннюю защиту инфраструктуры, включая физическую безопасность самих банкоматов, безопасность используемого в системе ПО и всех сегментов сети, взаимодействующих с банкоматами.

Перечислим основные меры, которые должен учитывать каждый банк при организации защиты собственной сети банкоматов и успешного противодействия соответствующим угрозам:

  1. Банкоматы и все связанные с ними системы должны работать под управлением актуальных версий ОС с установленными последними обновлениями безопасности.
  2. Отключить автозапуск в Windows и возможность загрузки с внешних носителей в BIOS, установить надежный пароль для защиты настроек BIOS.
  3. Создать функционально-замкнутую среду на банкоматах, исключить доступ к рабочему столу. Сеансы RDP должны быть защищены несколькими факторами аутентификации. Рассмотреть использование Privileged Access Management(PAM)-системы.
  4. Отключить все неиспользуемые системные службы и приложения, чтобы устранить дополнительные векторы атаки.
  5. Реализовать надежное шифрование соединения между банкоматами и хостом.
  6. Применять механизмы контроля целостности и белых списков ПО (Whitelisting), чтобы разрешать запуск только доверенного кода. Руководствоваться принципом Default Deny: запрещено все, что явно не разрешено. Традиционное сигнатурное АВПО бессильно против уязвимостей 0-day и APT-атак, используемых хакерскими группировками.
  7. Запретить возможность подключения неавторизованных внешних USB-накопителей.
  8. Поддерживать физически и логически сегментированную сетевую среду в организации. Банкоматы не должны располагаться в одной сети с рабочими станциями сотрудников.
  9. Обеспечить надежную физическую защиту банкоматов и зон их размещения. Защита должна быть эшелонированной: в идеале намерения преступника должны пресекаться еще до его непосредственного проникновения к "внутренностям" банкомата.
  10. Контролировать и ограничивать доступ сотрудников сервисных организаций, обслуживающих банкоматную сеть.
  11. Проводить регулярное обучение по противодействию актуальным угрозам для сотрудников, задействованных в процессах обслуживания и мониторинга работы банкоматов.
  12. Организовать онлайн-мониторинг банкоматной сети как в части работоспособности банкоматов и непрерывности операций, так и состояния кибербезопасности.
  13. Подписаться на получение threat intelligence-фидов, чтобы оперативно узнавать о всех новых угрозах в отношении банкоматов и смежных систем.
  14. Организовать онлайн-мониторинг событий кибербезопасности, основанный на агрегации событий в SIEM-системе и генерации необходимых алертов с целью оперативного реагирования.

Выводы

ATM Malware потенциально может принести существенную выгоду злоумышленникам. За 10 лет с момента появления первой вредоносной программы, созданной специально для атак на банкоматы, было обнаружено более 30 семейств ВПО этой категории, разной степени сложности и с различным функционалом.

В то время как подавляющее большинство атак на банкоматы с использованием ВПО являются точечными и осуществляются отдельными злоумышленниками либо небольшими группами, потенциальная возможность выгрузить большие суммы наличности одновременно с нескольких десятков банкоматов все чаще привлекает в эту область профессиональные хакерские группировки, которые используют гораздо более изощренные и сложные инструменты для целевых атак на финансовые организации.

При этом, несмотря на растущую популярность логических атак, физическое воздействие все еще составляет подавляющее большинство среди общего количества атак на банкоматы. Для эффективного противодействия необходимо применять комплексный подход к обеспечению безопасности своей сети. Видеомониторинг зон установки банкоматов, охранные сигнализации с подключением на пульт группы быстрого реагирования, усиление корпусов и сейфов банкоматов, оснащение специальными датчиками — эти физические меры защиты в сочетании со средствами киберзащиты многократно усиливают общий уровень защищенности и уменьшают желание злоумышленника атаковать именно вас.

Организация мониторинга киберугроз и оперативного реагирования — тоже важный шаг в обеспечении комплексной защиты инфраструктуры организации. Для решения этой задачи в Сбербанке функционирует собственный Security Operations Center (SOC), обеспечивающий непрерывный онлайн-мониторинг и реагирование на киберугрозы. Совокупность используемых в нем современных методов противодействия киберугрозам позволяет успешно выявлять и отражать атаки на начальных стадиях их возникновения.

Активное развитие ВПО для банкоматов — это тенденция сегодняшнего дня и ближайшего будущего. Киберпреступники не стоят на месте, и их методы становятся все изощреннее. Соответственно, инвестиции организаций в кибербезопасность должны быть не вынужденной мерой, а осознанным шагом руководства (в первую очередь бизнеса) — не только к защите собственной инфраструктуры и данных, но и к предоставлению клиентам надежного и безопасного сервиса.

Темы:КибербезопасностьБанкиСбербанкЖурнал "Системы безопасности" №5/2019

Хотите сотрудничать?

Выберите вариант!

 

Получить консультацию
Печатное издание
Интернет-портал
Стать автором
Комментарии

More...