В Symantec проанализировали вирус, заставляющий банкоматы «выплевывать» деньги

[yorowe]

Перевод: yorowe
Источник: symantec.com

В последнее время отовсюду слышен растущий хор голосов, призывающих предприятия и домашних пользователей обновить Windows XP до новых версий Windows, если не ради функционала, то, по крайней мере, для повышения безопасности и продления поддержки. Почти все современные банкоматы являются обычными компьютерами, управляющими доступом к наличным деньгам, и почти 95 процентов из них работают на Windows XP. В связи с надвигающимся концом поддержки Windows XP, намеченным на 8 апреля 2014, банковская отрасль сталкивается с серьезным риском кибератак, направленных на их ATM. Это не гипотетический риск — это уже происходит. Киберпреступники атакуют банкоматы, используя все более изощренные методы.

В конце 2013 года мы писали о новой вредоносной программе из Мексики, которая заставляла банкоматы «выплевывать» деньги по команде с внешней клавиатуры. Эта угроза была названа Backdoor.Ploutus. Несколько недель спустя мы обнаружили новую модификацию, которая показала, что вредоносная программа приобрела модульную архитектуру. Новый вариант был также переведен на английский язык, что навело на мысль о намерении автора распространять программу в других странах. Модификация была идентифицирована как Backdoor.Ploutus.B (далее Ploutus).

Интересно, что этот вариант Ploutus позволял злоумышленникам просто отправить SMS-сообщение на зараженный банкомат и забрать наличность. Это может показаться невероятным, но этот метод используется в ряде мест по всему миру в настоящее время.

На изображении ниже показано, как это работает.

Изображение 1. Как атакующий забирает деньги из банкомата, используя телефон

Подключение мобильного телефона к ATM

Преступники могут удаленно управлять банкоматом с помощью мобильного телефона, который подключен к внутренней части банкомата. Есть несколько способов подключения мобильного телефона к ATM. Распространенным методом является использование USB-тетеринга, который обеспечивает подключение банкомата к Интернету.

Атакующему нужно настроить телефон, подключить его к банкомату и заразить банкомат копией Ploutus. После того, как все эти шаги будут выполнены, устанавливается двустороннее подключение, и телефон готов к использованию.

Так как телефон подключен к банкомату через порт USB, батарея телефона заряжается. Таким образом, телефон будет оставаться включенным неограниченное количество времени.

Отправка SMS-сообщений банкомату

После того, как мобильный телефон подключен к банкомату, и настройка завершена, преступники могут передать определенные SMS-команды на телефон внутри банкомата. Когда телефон обнаружит новое сообщение в требуемом формате, мобильное устройство преобразует сообщение в сетевой пакет и направит его банкомату через кабель USB.

Сетевой пакетный монитор (NPM) представляет собой модуль вредоносной программы, который действует как анализатор пакетов, контролируя весь сетевой трафик банкомата. Как только скомпрометированный банкомат получает действительный TCP- или UDP-пакет с телефона, NPM выполнит в пакете поиск числа 5449610000583686 по определенному смещению. Как только это число обнаружено, сетевой пакетный монитор считает следующие 16 цифр и используется их для команды запуска Ploutus. Примером такой команды приведен ниже:

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

При использовании предыдущих версий Ploutus хакеру приходилось передавать эти цифры дропу, который мог обмануть хакера, если понимал, что делает этот код. В новой версии Ploutus необходимости в передаче цифр дропу нет, что дает хакеру дополнительную безопасность и возможность централизованного контроля снятия наличных. Код активен в течение 24 часов.

Использование SMS-сообщений для дистанционного управления банкоматом является гораздо более удобный способ для всех сторон в этой схеме. Хакер точно знает, сколько денег получит дроп получать, а дропу не нужно задерживаться в течение длительных периодов возле банкомата, ожидая выдачи наличных. Хакер и дроп могут синхронизировать свои действия так, что последний сможет очень быстро забрать деньги (со стороны это будет казаться прогулкой возле банкомата).

Соберем все вместе

Сейчас мы рассмотрели пункты схемы по отдельности, давайте же соберем все вместе.

Изображение 2.Обзор атаки банкомата посредством Ploutus

Обзор процесса

1. Злоумышленник устанавливает Ploutus на банкомат и присоединяет мобильный телефон к машине с помощью USB.
2. Хакер посылает два SMS-сообщения на мобильный телефон внутри банкомата: сообщение 1 должно содержать ID, соответствующий с ID Ploutus в банкомате; сообщение 2 должно содержать корректную команду для получения денег.
3. Телефон распознает допустимые SMS-сообщения и направляет их в банкомат как TCP- или UDP-пакет.
4. NPM получает пакет и, если он содержит правильные команды, выполняет Ploutus.
5. Ploutus заставляет банкомат отдать наличные. Сумма денежных средств заранее сконфигурирована в Ploutus.
6. Дроп забирает деньги.

Мы смогли повторить этот акт в нашей лаборатории с реальным банкоматом, инфицированным Ploutus, поэтому мы можем показать вам эту атаку в действии в нашем коротком видео.

В этом видео мы демонстрируем работу Ploutus, но Symantec Security Response в последнее время было найдено несколько различных форм вредоносных программ, нацеленных на банкоматы. В случае с Ploutus хакеры пытаются украсть деньги из банкомата, однако, некоторые вредоносы предпринимают попытки хищения данных карт клиентов и PIN-кодов или совершают MITM-атаки. Очевидно, что злоумышленники имеют разные представления о том, как лучше забрать деньги из банкомата.

Что сделать, чтобы защитить банкомат?

Современные банкоматы используют такие средства безопасности, как шифрованные жесткие диски, которые могут предотвратить установку вредоносного программного обеспечения. Тем не менее, старые банкоматы с Windows XP на борту защитить от этих типов атак сложнее. Другая трудность заключается в обеспечении физической безопасности компьютеров внутри банкоматов. Обычно деньги находятся внутри сейфа, компьютер же вообще не защищен.

Ряд мер ниже поможет Вам сделать атаки более сложными для преступников:

• обновление до поддерживаемой операционной системы, такой как Windows 7 или 8;
• обеспечение адекватной физической защиты с учетом мониторинга систем видеонаблюдения банкоматов;
• блокирование BIOS для предотвращения загрузки с несанкционированных носителей, таких как CD-диски или USB-накопители;
• использование полного шифрования диска;
• использование таких решений, как Symantec Data Center Security: Server Advanced (ранее известного как Critical System Protection).

Если вы предпримете эти меры, атакующему будет намного сложнее скомпрометировать банкомат без участия инсайдера.

Symantec будет поддерживать свои продукты для Windows XP и в обозримом будущем, однако мы настоятельно рекомендуем пользователям Windows XP перейти на новую операционную систему как можно скорее.

[root]

Спасибо за перевод, но это больше новость, чем статья, поэтому переношу в раздел новости.