Когда речь заходит об ограблении банков, на ум сразу приходят люди в масках, забегающие в отделение банка с оружием и требующие от ошеломленных сотрудников выдать всю имеющуюся наличность. В нынешних условиях развитые охранные технологии и прописанные сценарии поведения сотрудников банков не позволяют грабителям рассчитывать на большой куш, а риск быть задержанными правоохранительными органами на месте преступления отбивает интерес практически полностью. Однако банк – это не только отделения, но еще и банкоматы, находящиеся за их пределами и часто «защищенные» только камерой наблюдения.
К методам мошенничества с банковскими картами (кража данных пользователей, подделка карт, отмена операций) и физическому взлому банкоматов (кража банкомата, вскрытие, подрыв с помощью газа) в последние годы добавились еще и логические атаки. Логическая атака предполагает получение контроля над специальным компьютером, который управляет выдачей наличных и установлен в сервисной зоне банкомата.
В одном случае контроль над банкоматом может быть получен удаленно в результате успешной кибератаки на банк. Сценарий подобной атаки подробно описан в нашем отчете о расследовании деятельности хакерской группы Cobalt, атакующей финансовые учреждения практически по всему миру, а с 2017 года атакующей еще и их контрагентов.
В другом случае злоумышленник, воспользовавшись специальной отмычкой или ключом от другого банкомата, может получить непосредственный доступ к сервисной зоне банкомата. После чего он устанавливает на управляющий компьютер специальную вредоносную программу (троян), которая позволяет отдавать команды банкомату с помощью PIN-пада – клавиатуры для ввода PIN-кода. Именно таким образом осуществлялись кражи из банкоматов в Восточной Европе с помощью трояна GreenDispencer.
Троян GreenDispencer
Сегодня атаки с применением высоких технологий практически не реализуются одиночками. Поэтому мы считаем, что разработчик GreenDispenser создавал его на продажу. Схожее устройство банкоматов позволяет злоумышленникам использовать одно и то же вредоносное ПО в различных кампаниях по всему миру. Так, GreenDispenser, который использовали при атаках на банкоматы в Мексике в 2015 году, уже в 2016 году был обнаружен в странах Восточной Европы. Если в какой-то одной стране на сеть банкоматов была произведена атака со снятием наличных, это не значит, что такого не может случиться в любой другой. Более того, злоумышленникам удобнее переключаться на другие страны, так как пока в одном месте расследуют преступление и уже, возможно, разрабатывают способ противостояния данному методу атаки, их инструмент беспрепятственно отрабатывает в другом регионе, еще не готовом отразить такие атаки.
Организатор кражи
Злоумышленнику, организующему кражу после покупки трояна, необходимо найти людей для решения двух задач: установки GreenDispencer на банкоматы и снятия наличных с зараженных банкоматов.
Пример сообщения о поиске людей для будущих краж из банкоматов с помощью троянов
Установщик трояна
Установкой трояна на банкоматы занимается человек или группа лиц, обладающая навыками взлома замков и разбирающаяся в устройстве банкомата. Мы не исключаем того, что к установке трояна могут быть причастны находящиеся в сговоре с организатором или подкупленные сотрудники банков, занимающиеся обслуживанием банкоматов.
Поскольку доступ в банкомат ограничен, защите компьютера обычно уделяется недостаточно внимания. В итоге злоумышленник, используя простейшие техники, может получить контроль над системой.
На одной из предыдущих конференций Positive Hack Days наши эксперты показали, как опустошить банкомат за считанные минуты, просто подключив к системному блоку микрокомпьютер со специальным ПО или загрузочный диск.
После заражения банкомата на его экране отображается сообщение о том, что банкомат временно не работает. Обычному прохожему никогда не придет в голову подойти и снять с него наличные, и это позволяет сохранить в банкомате деньги до прихода злоумышленников.
Дроповод и дропы
Сам организатор лично никогда не пойдет забирать деньги из банкомата, так как этот этап сопряжен с максимальными рисками разоблачения. Поэтому на эту работу привлекаются специальные люди – дропы, обязанности которых заключаются в получении денег на свое имя, снятии денег с карты в банкомате или, как в случае с зараженными банкоматами, получение денег по команде из интерфейса управления трояном. В качестве оплаты за работу дроп оставляет себе долю от обналиченных денег.
Пример сообщения о поиске дропов
В масштабных операциях часто задействуются целые команды дропов под единым руководством. Такого руководителя дропов называют дроповодом. Он занимается вербовкой дропов, инструктажем и координацией их деятельности, а также обеспечивает передачу информации между дропами и организатором кражи.
Чтобы осуществить снятие денег из банкомата, зараженного трояном GreenDispencer, дропу по сценарию необходимо получить доступ к интерфейсу управления трояном. Для того чтобы случайный прохожий, установщик трояна или любой другой не могли снять деньги с зараженного банкомата без санкции организатора кражи в GreenDispencer предусмотрен механизм двухфакторной аутентификации. Таким образом только дроп, которому известны два PIN-кода (первый PIN-код общий, а второй уникальный для каждого банкомата на котором установлен троян), может получить деньги. Прохождение процесса двухфакторной аутентификации дропом, а также для чего ему может быть необходим смартфон с камерой, детально описано в нашем отчете.
Запасной план
В любом сценарии необходимо предусматривать ситуации, когда что-то идет не по плану. Что может пойти не так при краже денег из банкомата? Учитывая, что заражением банкоматов занимаются одни люди, а снятием наличных — другие, может оказаться так, что после компрометации системы у злоумышленников в команде не будет достаточного количества дропов, или дроп не сможет найти подходящего времени, чтобы снять деньги. Так или иначе, поскольку банкомат не может длительное время стоять в состоянии out of service (с англ. «не работает») не привлекая внимания, GreenDispenser через неделю самостоятельно удаляет себя из системы.
Выводы
По нашим оценкам, суммарный ущерб, нанесенный в ходе инцидентов с применением трояна GreenDispenser в 2015–2016 годах, составил порядка 180 тыс. долларов США. В сравнении с крупными хакерскими кампаниями этот ущерб выглядит несущественным, однако подобные методы начали применяться злоумышленниками относительно недавно, а на фоне планируемого внедрения банкоматов с повышенной защитой сейфа с денежными кассетами от взрывов логические атаки на банкоматы могут получить еще большее распространение. Данный тренд подтверждается ростом количества подобных инцидентов в Европе в 2016 году по сравнению с 2015 годом на 287%. В 2017 году эксперты Positive Technologies прогнозируют 30-процентный рост кибератак на банки в целом и на банкоматы в частности.
Мы рекомендуем банкам, наряду с повышением защиты сетевой инфраструктуры от внешних и внутренних нарушителей, уделить внимание непосредственно физической защите сервисной зоны банкоматов. Важно не только следить за состоянием физической защиты банкоматов и осуществлять контроль над зонами, в которых банкоматы располагаются, но и проверять список лиц, имеющих доступ в сервисную зону банкоматов. Кроме того, необходимо на регулярной основе организовать проведение анализа защищенности банкоматов. Это позволит иметь актуальные сведения о состоянии безопасности банкоматов и свести вероятность взлома к минимуму. Таким образом, реализация приведенных мер безопасности позволит повысить уровень защищенности и предотвратить подобные атаки в будущем.
