Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů

Útočníci po celém světě napadají bankomaty a instalují na ně malware, který jim po zadání speciálního kódu vydá v něm uloženou hotovost. Zaznamenat jsme mohli již několik takových útoků, první takový větší proběhl např. v září 2013 (Ploutus), další pak třeba v květnu 2014 (Padpin) a poslední probíhá právě teď (Tyupkin). Celkem již útočníci vybrali z bankomatů několik miliónů dolarů. Zajímá vás, jak takový útok probíhá, pak čtěte dál.

Nejprve je třeba si uvědomit, že v bankomatu se nachází v podstatě klasický počítač vybavený standardním HW, na kterém zpravidla běží operační systém Microsoft Windows XP. Ale i kdyby tam běžel Linux, tak by to na situaci nic neměnilo, protože v okamžiku, kdy získáte fyzický přístup k jakémukoliv stroji, tak nemusíte zneužívat žádné zero day zranitelnosti, nýbrž vám pouze stačí nabootovat z jiného média.

A přesně tohle se stalo, útočník otevřel kryt bankomatu chránící počítač, který není tak dobře zabezpečen jako kazety s hotovostí, nabootoval alternativní operační systém ze svého CD a z něho pak do systému zavedl malware, který se zapsal do registrů a zajistil si tak své spuštění i po každém rebootu bankomatu.

Konkrétně došlo ke zkopírování těchto souborů na napadený bankomat: C:\Windows\system32\ulssm.exe a
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk a vytvoření tohoto klíče v registrech: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
„AptraDebug“ = „C:\Windows\system32\ulssm.exe“.

Tento exe soubor pak využíval standardní knihovnu MSXFS.dll – Extension for Financial Services (XFS). Zajímavé je, že byť Microsoft dokumentaci k této knihovně oficiálně neposkytuje, tak se k ní někdo dostal a umístil ji na internet, a tudíž lze očekávat, že se budou objevovat další verze tohoto ATM malwaru.

Tento malware běží na pozadí a nijak se neprojevuje, dokud není stisknuta správná posloupnost čísel. Ta navíc může být zadána jen v neděli a v pondělí v noci, přičemž k dispozici jsou 4 kódy, které umožňují smazat malware, prodloužit časové okno, nebo zobrazit/skrýt konzoli, z které je možno zadat příkaz k výběru peněz z bankomatu.

Po úspěšném vyvolání konzole musí být dále zadán 8místný klíč, který je založený na principu challenge – response, kdy je na obrazovce bankomatu zobrazena výzva a program očekává odpověď. Pokud je zadán správný klíč, tak pak už jen stačí zvolit, z které kazety má bankomat peníze vydat a bankomat pak vydá 40 bankovek. Zde je konkrétní ukázka:

[youtube=http://www.youtube.com/watch?v=QZvdPM_h2o8&w=600&rel=0]

Napadány jsou bankomaty, které nejsou dostatečně fyzicky chráněny a monitorovány. V okamžiku, kdy se útočník dostane k vnitřnostem bankomatu, tak už má volnou cestu, protože i kdyby byla odpojena mechanika, zablokovány USB porty a nastaveno heslo do BIOSU, tak vždy může provést reset BIOSU, pořadí bootování změnit, a zavést systém ze svého média. Je proto třeba monitorovat každý restart bankomatu a kontrolovat integritu systému.

Poznámka: Toto je živý příspěvek, který může být průběžně doplňován a upravován.

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Štítky: cybercrime