Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů
Útočníci po celém světě napadají bankomaty a instalují na ně malware, který jim po zadání speciálního kódu vydá v něm uloženou hotovost. Zaznamenat jsme mohli již několik takových útoků, první takový větší proběhl např. v září 2013 (Ploutus), další pak třeba v květnu 2014 (Padpin) a poslední probíhá právě teď (Tyupkin). Celkem již útočníci vybrali z bankomatů několik miliónů dolarů. Zajímá vás, jak takový útok probíhá, pak čtěte dál.
Nejprve je třeba si uvědomit, že v bankomatu se nachází v podstatě klasický počítač vybavený standardním HW, na kterém zpravidla běží operační systém Microsoft Windows XP. Ale i kdyby tam běžel Linux, tak by to na situaci nic neměnilo, protože v okamžiku, kdy získáte fyzický přístup k jakémukoliv stroji, tak nemusíte zneužívat žádné zero day zranitelnosti, nýbrž vám pouze stačí nabootovat z jiného média.
A přesně tohle se stalo, útočník otevřel kryt bankomatu chránící počítač, který není tak dobře zabezpečen jako kazety s hotovostí, nabootoval alternativní operační systém ze svého CD a z něho pak do systému zavedl malware, který se zapsal do registrů a zajistil si tak své spuštění i po každém rebootu bankomatu.
Konkrétně došlo ke zkopírování těchto souborů na napadený bankomat: C:\Windows\system32\ulssm.exe a
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk a vytvoření tohoto klíče v registrech: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
„AptraDebug“ = „C:\Windows\system32\ulssm.exe“.
Tento exe soubor pak využíval standardní knihovnu MSXFS.dll – Extension for Financial Services (XFS). Zajímavé je, že byť Microsoft dokumentaci k této knihovně oficiálně neposkytuje, tak se k ní někdo dostal a umístil ji na internet, a tudíž lze očekávat, že se budou objevovat další verze tohoto ATM malwaru.
Tento malware běží na pozadí a nijak se neprojevuje, dokud není stisknuta správná posloupnost čísel. Ta navíc může být zadána jen v neděli a v pondělí v noci, přičemž k dispozici jsou 4 kódy, které umožňují smazat malware, prodloužit časové okno, nebo zobrazit/skrýt konzoli, z které je možno zadat příkaz k výběru peněz z bankomatu.
Po úspěšném vyvolání konzole musí být dále zadán 8místný klíč, který je založený na principu challenge – response, kdy je na obrazovce bankomatu zobrazena výzva a program očekává odpověď. Pokud je zadán správný klíč, tak pak už jen stačí zvolit, z které kazety má bankomat peníze vydat a bankomat pak vydá 40 bankovek. Zde je konkrétní ukázka:
[youtube=http://www.youtube.com/watch?v=QZvdPM_h2o8&w=600&rel=0
]
Napadány jsou bankomaty, které nejsou dostatečně fyzicky chráněny a monitorovány. V okamžiku, kdy se útočník dostane k vnitřnostem bankomatu, tak už má volnou cestu, protože i kdyby byla odpojena mechanika, zablokovány USB porty a nastaveno heslo do BIOSU, tak vždy může provést reset BIOSU, pořadí bootování změnit, a zavést systém ze svého média. Je proto třeba monitorovat každý restart bankomatu a kontrolovat integritu systému.
Poznámka: Toto je živý příspěvek, který může být průběžně doplňován a upravován.
ČERMÁK, Miroslav, 2014. Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/utoky-na-bankomaty-neustavaji-skoda-se-uz-pohybuje-v-milionech-dolaru/. [citováno 07.12.2024].
Štítky: cybercrime
K článku “Útoky na bankomaty neustávají, škoda se už pohybuje v miliónech dolarů” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Ke stávajícím útokům na ATM přibyly ještě útoky zneužívající skutečnosti, že na některých bankomatech nebylo změněno defaultní heslo uvedené v manuálu. To umožňuje po jeho zadání přejít do operátorského módu, a ATM přenastavit tak, aby vydal větší hotovost, než je požadováno. Více vizte http://www.net-security.org/secworld.php?id=17641.