Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů

atmÚtočníci po celém světě napadají bankomaty a instalují na ně malware, který jim po zadání speciálního kódu vydá v něm uloženou hotovost. Zaznamenat jsme mohli již několik takových útoků, první takový větší proběhl např. v září 2013 (Ploutus), další pak třeba v květnu 2014 (Padpin) a poslední probíhá právě teď (Tyupkin). Celkem již útočníci vybrali z bankomatů několik miliónů dolarů. Zajímá vás, jak takový útok probíhá, pak čtěte dál.

Nejprve je třeba si uvědomit, že v bankomatu se nachází v podstatě klasický počítač vybavený standardním HW, na kterém zpravidla běží operační systém Microsoft Windows XP. Ale i kdyby tam běžel Linux, tak by to na situaci nic neměnilo, protože v okamžiku, kdy získáte fyzický přístup k jakémukoliv stroji, tak nemusíte zneužívat žádné zero day zranitelnosti, nýbrž vám pouze stačí nabootovat z jiného média.

A přesně tohle se stalo, útočník otevřel kryt bankomatu chránící počítač, který není tak dobře zabezpečen jako kazety s hotovostí, nabootoval alternativní operační systém ze svého CD a z něho pak do systému zavedl malware, který se zapsal do registrů a zajistil si tak své spuštění i po každém rebootu bankomatu.

Konkrétně došlo ke zkopírování těchto souborů na napadený bankomat: C:\Windows\system32\ulssm.exe a
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk a vytvoření tohoto klíče v registrech: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
„AptraDebug“ = „C:\Windows\system32\ulssm.exe“.

Tento exe soubor pak využíval standardní knihovnu MSXFS.dll – Extension for Financial Services (XFS). Zajímavé je, že byť Microsoft dokumentaci k této knihovně oficiálně neposkytuje, tak se k ní někdo dostal a umístil ji na internet, a tudíž lze očekávat, že se budou objevovat další verze tohoto ATM malwaru.

Tento malware běží na pozadí a nijak se neprojevuje, dokud není stisknuta správná posloupnost čísel. Ta navíc může být zadána jen v neděli a v pondělí v noci, přičemž k dispozici jsou 4 kódy, které umožňují smazat malware, prodloužit časové okno, nebo zobrazit/skrýt konzoli, z které je možno zadat příkaz k výběru peněz z bankomatu.

Po úspěšném vyvolání konzole musí být dále zadán 8místný klíč, který je založený na principu challenge – response, kdy je na obrazovce bankomatu zobrazena výzva a program očekává odpověď. Pokud je zadán správný klíč, tak pak už jen stačí zvolit, z které kazety má bankomat peníze vydat a bankomat pak vydá 40 bankovek. Zde je konkrétní ukázka:

Napadány jsou bankomaty, které nejsou dostatečně fyzicky chráněny a monitorovány. V okamžiku, kdy se útočník dostane k vnitřnostem bankomatu, tak už má volnou cestu, protože i kdyby byla odpojena mechanika, zablokovány USB porty a nastaveno heslo do BIOSU, tak vždy může provést reset BIOSU, pořadí bootování změnit, a zavést systém ze svého média. Je proto třeba monitorovat každý restart bankomatu a kontrolovat integritu systému.

Poznámka: Toto je živý příspěvek, který může být průběžně doplňován a upravován.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. Miroslav Čermák

    Ke stávajícím útokům na ATM přibyly ještě útoky zneužívající skutečnosti, že na některých bankomatech nebylo změněno defaultní heslo uvedené v manuálu. To umožňuje po jeho zadání přejít do operátorského módu, a ATM přenastavit tak, aby vydal větší hotovost, než je požadováno. Více vizte http://www.net-security.org/secworld.php?id=17641.


K článku “Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: