Журнал "Системы безопасности" #5, 2019

S E C U R I T Y A N D I T M A N A G E M E N T 33 Предназначение скиммеров – украсть данные банковской карты и проводимой транзакции, а по возможности – даже и ПИН-код, если пред- варительно были скомпрометированы ключи шифрования ПИН-клавиатуры. Утилиты прямой выдачи наличных обладают функционалом, именуемым jackpotting (от англ. jackpot – крупный выигрыш в лотерее, джек- пот), позволяющим злоумышленникам осуще- ствить несанкционированную выдачу денег из банкомата без необходимости авторизации транзакции на стороне банка. При этом суще- ствует ВПО, которое объединяет в себе функ- ционал скиммера и jackpotting. В классификации способа "доставки" ATM Mal- ware на конечное устройство можно также выделить два подхода. Первый подразумевает получение злоумышленником физического доступа к USB-интерфейсам банкомата и непо- средственное копирование или запуск вредоно- са с флешки. Второй – это удаленное внедрение ВПО, предполагающее предварительную ком- прометацию внутренней корпоративной сети банка, получение административных привиле- гий (к примеру, в системе тиражирования ПО) и дальнейшее распространение вредоносного кода на сеть банкоматов от легитимного с точки зрения самих конечных устройств источника. Второй подход требует серьезной подготовки и реализуется, как правило, организованными преступными группировками. Тут следует упо- мянуть таких "профессионалов" в области целе- вых атак на финансовые организации, как хакерские группировки Anunak, Corkow, Buhtrap, Lurk, Lazarus, Metel, Cobalt. Последняя громко заявила о себе в июле 2016 г., когда атаке под- вергся тайваньский First Bank. Злоумышленники одновременно очистили несколько десятков банкоматов по всему Тайбэю. Это был пример хорошо спланированной целенаправленной логической атаки на финансовую организацию. Хакеры посредством фишинговых рассылок проникли во внутреннюю сеть банка и, исполь- зуя инфраструктурные уязвимости, получили доступ к системе управления банкоматами. Дальше действовали "мулы". Кроме того, банкоматное ВПО можно класси- фицировать и по применимости к объекту атаки. Существуют Malware, нацеленные на определенные модели банкоматов конкретного производителя, и универсальные ВПО, рабо- тающие на всех банкоматах в независимости от производителя. Наличие универсальной Malware связано с тем, что все основные производители банкоматов поддерживают стандарт CEN/XFS (от англ. Extensions for Financial Services), который обес- печивает общий API для управления различны- ми модулями банкомата. Таким образом, CEN/XFS может быть использован и для созда- ния вредоносных программ, чтобы те могли "общаться" с банкоматом на его родном языке. API XFS содержит в себе высокоуровневые функ- ции для связи с различными модулями банко- мата, такими как диспенсер банкнот, ПИН-кла- виатура, модуль приема наличных и т.д. Высо- коуровневые функции предоставляются через общий SDK, в то время как низкоуровневые – через сервис-провайдеры, свои у каждого про- www.secuteck.ru октябрь – ноябрь 2019 СПЕЦПРОЕКТ БЕЗОПАСНОСТЬ БАНКОВ И ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Количество сэмплов ВПО в разрезе семейств www.talosintelligence.com Высокоуровневая архитектура CEN/XFS www.fireeye.com Сравнительная статистика по физическим и логическим атакам на АТМ за 2014–2018 гг. www.association-secure-transactions.eu