Журнал "Системы безопасности" #5, 2019

S E C U R I T Y A N D I T M A N A G E M E N T 32 10 лет назад разобраться в невиданной ранее угрозе было крайне непросто, ведь анализ требовал понимания функций и параметров программного интерфейса (API) банкоматов различных производителей, кото- рые в общедоступных источниках никогда не публиковались. До обнаружения Skimer банкоматы зачастую рассматривались как устройства с проприе- тарным оборудованием, работающим под управлением нестандартных версий ОС, и оснащенные специализированными средства- ми защиты от конкретных видов атак, направ- ленных на хищение денежных средств. Но, как это часто бывает, случай все расставил по местам. В ходе исследования Skimer специа- листы обнаружили, что банкоматы всех самых распространенных производителей работают под управлением стандартной версии ОС Windows и с технической точки зрения пред- ставляют собой самые обыкновенные компью- теры с подключенным к ним специальным оборудованием, таким как, например, дис- пенсер банкнот и картридер. А значит, потен- циальную уязвимость к вредоносному коду можно использовать для несанкционирован- ной выдачи наличных. Эволюция атак на банкоматы Преступники всегда рассматривали банкоматы как потенциальный объект наживы: сейф с деньгами, стоящий практически на улице, не мог не остаться без внимания. Однако если изначально альтернатив физическим атакам не существовало, то за последние несколько лет технологии сильно эволюционировали. Появление специального вредоносного про- граммного обеспечения (ПО) для банкоматов предоставило преступникам более изящную и неприметную альтернативу физическому взло- му. Ранее их методы ограничивались либо тра- диционным взломом сейфового замка с помо- щью лома или болгарки, либо эффектным под- рывом банкомата с применением горючей газо- вой смеси. Разумеется, ни один из этих спосо- бов нельзя назвать тихим и незаметным. За прошедшие 10 лет наблюдается стабиль- ный рост количества обнаруженных сэмплов вредоносного программного обеспечения (ВПО) для АТМ. Со времен самых первых версий Skimer данный вид ВПО стремительно развивался и прошел путь от единичных экземпляров, доступных только их создате- лям, до "пакетных" решений на черном рынке и сложных инструментов, применяемых про- фессиональными хакерскими группировка- ми. Сегодня существуют целые семейства программ, созданных для несанкциониро- ванной выдачи денег из банкоматов. Несмот- ря на это, общее количество таких программ ввиду своей крайней специфичности значи- тельно уступает практически любой другой категории ВПО. Для любой атаки на банкомат необходимо находиться рядом с ним, ведь надо забрать деньги. Для непосредственного "сбора" налич- ных с зараженного банкомата преступники обычно привлекают так называемых мулов – сообщников, которые по команде вводят уни- кальный сессионный ключ либо используют специальную карту для авторизации несанкцио- нированной транзакции, после чего забирают деньги, выданные банкоматом. Таким образом, сам злоумышленник (это может быть автор и/или продавец ВПО) управляет всей операци- ей удаленно и не рискует быть пойманным на месте преступления. Но прежде чем дело дой- дет до работы "мулов", преступникам необхо- димо внедрить ВПО в компьютер банкомата, что чаще всего подразумевает получение физи- ческого доступа к USB-портам либо оптическо- му приводу. Если обратиться к информации, доступной в открытых источниках, то можно заметить, что сообщения об атаках на банковские организа- ции по всему миру появляются достаточно регу- лярно. "Лидируют" по таким атакам страны Латинской Америки и Восточной Европы, где зачастую используется устаревшая инфраструк- тура и не уделяется достаточное внимание обеспечению безопасности банкоматной сети. Так, по данным EAST (European Association for Secure Transactions), совокупный ущерб от логи- ческих атак на банкоматы за последние годы превысил 4 млн долларов. При этом нужно понимать, что это только подтвержденные атаки. Ущерб, наносимый банкам, редко раз- глашается, реальные цифры значительно боль- ше и, возможно, достигают десятков миллио- нов долларов. Следует подчеркнуть, что подобное ПО вредит не только самим банкам, но и репутации про- изводителей банкоматов, а также частных лиц и компаний, чьи учетные данные могут быть скомпрометированы в результате успешно про- веденных кибератак. Классификация ATMMalware Существует несколько различных вариантов классификации ATM Malware (вредоносных программ для банкоматов). По функциональ- ному признаку все подобные программы можно разделить на два типа: виртуальные скиммеры (Virtual Skimmers) и утилиты прямой выдачи (Direct Dispense). октябрь – ноябрь 2019 www.secuteck.ru СПЕЦПРОЕКТ БЕЗОПАСНОСТЬ БАНКОВ И ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Валерий Торчиков Руководитель направления Центра киберзащиты Сбербанка Количество обнаруженных сэмплов ВПО по данным VirusTotal 10 лет изящного взлома. Как развивалось вредоносное ПО для банкоматов С момента обнаружения Skimer, первой вредоносной программы, созданной специ- ально для атак на банкоматы (АТМ), прошло 10 лет. За это время появились целые семейства таких вредоносных программ. В этой статье мы рассмотрим самые значи- мые из них и расскажем о лучших практиках обнаружения и противодействия таким программам www.talosintelligence.com