Журнал "Системы безопасности" #5, 2019

S E C U R I T Y A N D I T M A N A G E M E N T 34 изводителя банкомата. Такая архитектура очень похожа на архитектуру Win32, когда разработ- чики используют высокоуровневый API для связи с ядром ОС и различными драйверами устройств, предоставляемыми производителя- ми отдельных аппаратных компонентов. Известные семейства ATMMalware За последние 10 лет обнаружено свыше 30 раз- личных семейств ВПО для банкоматов. Рассмот- рим несколько наиболее популярных и значи- мых и постараемся выделить общие черты и уникальные отличия каждого ВПО. Ploutus Ploutus – это семейство вредоносных программ с наибольшим количеством обнаруженных сэм- плов. Большинство из них были зарегистриро- ваны в Мексике. Ploutus – типичный пример утилиты прямой выдачи. Для загрузки ВПО зло- умышленники должны иметь доступ к USB-пор- там или приводу CD-ROM. В качестве примера можно привести одну из недавних модификаций – Ploutus-D, которая изначально была ориентирована на банкоматы Diebold, широко распространенные в США. Однако вредонос взаимодействует с банкома- том через мультивендорную платформу KAL Kalignite, и после несложной модификации кода Ploutus-D может применяться и для атак на банкоматы других производителей. Skimer Skimer – одна из первых логических атак на банкоматы. Функционально этот вредонос пол- ностью оправдывает свое название и представ- ляет собой по сути виртуальное скимминговое устройство, копирующее данные с магнитной полосы банковской карты. Кроме того, Skimer является бэкдором и может использоваться для несанкционированной выдачи денег из банкомата. Если злоумышлен- нику известен ключ для активации программы, вредонос выводит на экран меню, из которого можно осуществить выдачу денег с каждой из четырех кассет диспенсера. Большинство других семейств банкоматного ВПО работают по аналогичному принципу. Зло- умышленники должны обеспечить себе физи- ческий доступ к сервисной зоне банкомата, чтобы подключить внешний накопитель с ВПО. После внедрения ВПО в систему атакующему нужно ввести уникальный код для активации процесса выдачи наличных. Tyupkin (PadPin) Настоящая слава пришла к вредоносным про- граммам для банкоматов с появлением печаль- но известного трояна Tyupkin, чья активность была впервые зафиксирована в 2014 г. С тех пор атакам подверглось множество банкоматов по всему миру. Отличительная черта Tyupkin – его возможность ограничить время своей активности в заданные часы и дни недели. Некоторые из первых раз- новидностей Tyupkin изначально могли запус- каться только по ночам в воскресенье и поне- дельник. Кроме того, в троян заложена функция самоза- щиты. Непосредственно перед выдачей налич- ных Tyupkin отключает все сетевые соединения, чтобы в случае фиксации подозрительной активности на стороне банка служба монито- ринга не смогла выключить банкомат, тем самым прервав мошенническую операцию. Alice Принцип работы Alice такой же, как у многих других банкоматных зловредов. Установка тре- бует физического доступа к системе банкомата. После запуска Alice запрашивает код доступа для продолжения работы. Если введен корректный код активации, зловред получает доступ к дис- пенсеру банкнот и позволяет выдать наличные. Cutlet Maker В 2017 г. киберпреступники начали продавать в даркнете услугу "ATMMalware-as-a-Service". За 5 тыс. долларов каждый может приобрести пакет из готовой к использованию вредоносной программы Cutlet Maker и видеоинструкции по вскрытию банкомата. Купившим услугу нужно выбрать подходящий банкомат (авторы ВПО рекомендуют Wincor Nixdorf), воспользоваться инструкцией по взлому его сервисной части, загрузить вредоносную программу и заплатить организаторам сервиса за ее активацию (полу- чение уникального сессионного ключа), чтобы запустить процесс выдачи денег. В случае с Cutlet Maker потенциальный потре- битель услуги может обладать минимальными знаниями об объекте атаки. Данный пример показывает, как подобные схемы снижают вход- ной порог в этот вид преступлений и ведут к значительному увеличению количества кибер- преступников. FASTCash FASTCash – уникальный инструмент, который хакерская группировка Lazarus использовала для атаки на финансовые организации более чем в 20 странах мира. Суммарно за 2016– 2018 гг. было похищено несколько десятков миллионов долларов. Особенность FASTCash заключается в механизме его работы и ориентации на ОС IBM AIX. Хаке- ры внедряли троян в легитимный процесс на сервере приложений процессинговых систем, контролирующих транзакции в банкоматной сети и работающих под управлением AIX. После компрометации сервера троян получал возможность создавать поддельные сообщения ISO 8583 (стандарт, описывающий процесс передачи и формат финансовых сообщений систем, обрабатывающих данные банковских карт), генерируя ответ с подтверждением мошеннической операции по снятию наличных в банкоматах. Нужно отметить, что во всех слу- октябрь – ноябрь 2019 www.secuteck.ru СПЕЦПРОЕКТ БЕЗОПАСНОСТЬ БАНКОВ И ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Один из вариантов интерфейса Ploutus www.securelist.com Основной интерфейс Alice www.blog.trendmicro.com Функция Tyupkin по проверке времени запуска www.talosintelligence.com

RkJQdWJsaXNoZXIy Mzk4NzYw