4

Авторы статьи: Горбачев А.В., Штепа А.А.


В настоящее время проблема киберпреступлений стоит особенно остро. Киберпреступление — противоправное вмешательство в работу компьютеров, компьютерных программ, компьютерных сетей, несанкционированная модификация компьютерных данных, а также иные противоправные общественно опасные действия, совершенные с помощью или посредством компьютеров, компьютерных сетей и программ. Расследование киберпреступлений является невероятно сложной задачей, связанной в первую очередь с тем, что на акты преступлений данного вида практически невозможно отреагировать оперативно и, соответственно, раскрыть преступление по горячим следам.

Дадим краткое описание киберпреступлений. Данный вид преступлений можно разделить на 4 основные группы:

  1. Сетевые атаки (Хищение в интернет-банкинге, DDOS-атаки, взлом IP-телефонии, несанкционированный доступ к веб-сайту/базе данных/почте, сетевой шпионаж и вымогательство);
  2. Саботаж и инсайд (Утечки информации, уничтожение информации, манипуляция данными с целью мошенничества, блокирование доступа);
  3. Целевые атаки и промышленный шпионаж (Целевые вирусные атаки, «прослушка» сетевых каналов связи, установка программных закладок);
  4. Экономические преступления (Мошенничество с использованием высоких технологий, вымогательство, разглашение конфиденциальной информации и коммерческой тайны, незаконное использование товарного знака и бренда).

За последние годы широкое распространение стали получать вирусы для банкоматов, особенностями которых является относительная простота работы с ними и дешевизна их производства, в десятки раз меньшая получаемых при их помощи сумм финансовых средств. Злоумышленники хорошо понимают, что, как бы хорошо не были защищены сейфы банкоматов, слабым местом любого банкомата всегда останется компьютер внутри корпуса, доступ к которому можно получить относительно просто. Вид преступлений с использованием вирусов относится к группе «Целевые атаки и промышленный шпионаж».

По статистике экспертов Соединенных Штатов Америки в области киберпреступлений средняя стоимость разработки вирусной программы не превышает 5000$, а средний размер хищения в среднем составляет 20000$. По статистике за период с 2012 по 2013 годы прибыль злоумышленников в среднем составила 25000000 (25 миллионов) долларов США. В России подобной статистики на сегодняшний день нет, поскольку о фактах преступлений с использованием вирусов для банкоматов и результатах расследований не сообщается ни банками, ни государственными службами.

Перейдем к непосредственному рассмотрению вирусов для банкоматов. Главными отличиями вирусов друг от друга является ориентированность на определенную платформу банкомата, на которой планируется использование вируса и их непосредственные задачи.

Платформа – программно-аппаратный комплекс, являющийся начинкой банкомата, включающий в себя устройства ввода и вывода информации, устройства приёма, хранения и выдачи денежных средств, устройства печати чеков и компьютер, отвечающий за все совершаемые банкоматом операции. Самыми популярными на сегодняшний день являются платформы NCR и Wincor.

Основные вирусы для банкоматов:

1) Вирус граббер на платформе NCR:

  • Загрузка при доступе в банкомат. Модификация программного обеспечения банкомата путём добавления своих функций в исполняемый файл в автозагрузке;
  • Запись тела вируса в библиотеку, в скрытый поток NTFS, а именно: ApplicationCore.exe:netncr.dll;
  • Перехват треков и пинов и запись их в зашифрованном виде в скрытый поток NTFS: autosave:descriptor;
  • Копирование данных на чип определенной карты, удаление вируса и следов его работы после чтения определенной карты.

2) Вирус диспенсер на платформе NCR:

  • Копирование исполняемого файла с загрузочного компакт-диска или флэш-накопителя. Добавление ярлыка в автозагрузку;
  • Внедрение в служебные процессы программного обеспечения банкомата;
  • Возможность вывода интерфейса по выбору кассеты и выдачи из нее купюр через диспенсер;
  • Отключение локальной сети и возможность самоудаления, «McAfee Solidcore for APTRA».

3) Подмена кассет на платформе Wincor:

  • Загрузка при удаленном или физическом доступе в банкомат. Модификация ключей реестра HKEY_LOCAL_MACHINE\SOFTWARE\WincorNixdorf\ProTopas\CurrentVersion\LYNXPAR\CASH_DISPENSER\;
  • Выдача вместо купюр номиналом 100р купюр номиналом 5000р.

4) Вирус диспенсер на платформе Wincor:

  • Загрузка при удаленном или физическом доступе в банкомат;
  • Запуск модифицированной версии диагностического программного обеспечения Test software Component Diagnostic (“KDIAG32”);
  • Выдача купюр без проверки на открытие сейфа.

5) Trojan.Skimer.18

  • Загрузка при удаленном или физическом доступе в банкомат;
  • Представляет собой динамичную библиотеку, которая запускается из цифрового приложения, после чего выбирает файл для хранения информации о прошедшей транзакции;
  • Считывает и сохраняет в файл Track2 данные карты – ее номер, PIN-код, срок действия, сервисный код;
  • Управление Trojan.Skimer.18 осуществляется с помощью специальных мастер-карт;
  • По команде мошенников вирус может вывести на экран статистику по похищенной информации, удалить файлы из журнала, изменить режим работы банкомата или перезагрузить его.

6) Backdoor.MSIL.Tyupkin

  • Копирование исполняемого файла с загрузочного компакт-диска или флэш-накопителя;
  • Актуальна для банкоматов, работающих под управлением 32-разрядной версии Microsoft Windows;
  • Чтобы избежать обнаружения, вредоносная программа активна только в определенное время ночью;

В процессе атаки преступники копировали на банкомат следующие файлы:

  • C:\Windows\system32\ulssm.exe %ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk
  • После определенных проверок среды, вредоносная программа удаляет файл с расширением .lnk и создает в системном реестре следующий ключ:
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] «AptraDebug» = «C:\Windows\system32\ulssm.exe»
  • Далее после манипуляций с MSXFS.dll вредоносная программа выводит следующее сообщение:
  • CASH OPERATION PERMITTED. TO START DISPENSE OPERATION — ENTER CASSETTE NUMBER AND PRESS ENTER.
  • После выбора оператором номера кассеты банкомат выдает 40 купюр из нее.

Так как многие вирусы после своего выполнения удаляют следы присутствия в системе, рекомендуется выполнять такие действия как:

  1. Создание физических или логических копий содержимого накопителей;
  2. Создание дампов оперативной памяти.

К основным проблемам безопасности банкоматов относятся:

  1. Инсайд — получение нужной злоумышленнику информации или доступа во внутреннюю сеть компании от ее сотрудника;
  2. Возможность сброса пароля на BIOS банкомата. Использование одинаковых паролей. Зачастую используется заводские пароли;
  3. Отсутствие возможности контролировать целостность программного обеспечения банкомата. Во многих банкоматах аппаратная часть плохо защищена, в отличие от сейфа;
  4. Доступность сервисного программного обеспечения.

Подводя итог, всему вышесказанному, для повышения уровня защищенности систем банкоматов необходимо грамотно реагировать на инциденты с использованием вирусов для банкоматов. Главным образом, существенно улучшить защиту поможет создание физических или логических копий содержимого накопителей. Весьма полезным окажется и создание дампа оперативной памяти, сохраняющего на накопитель все данные из оперативной памяти. Данные действия помогут быстрее среагировать на акты взлома и прекратить работу определенного банкомата либо целой сети банкоматов во избежание крупных финансовых потерь.

Расследовать преступления, связанные с использованием вирусов для банкоматов очень сложно и порой вообще не представляется возможным, поскольку данные преступления имеют особую специфику, базирующуюся на:

  1. Использовании штатных утилит с модификациями;
  2. Использовании скрытых потоков NTFS;
  3. Самоуничтожении программ, удалении журналов и видеофайлов;
  4. Использовании штатных средств удаленного управления;
  5. Подмене временных атрибутов файлов.

Использованные ресурсы:

  1. http://www.group-ib.ru/
  2. http://www.kaspersky.com/
  3. http://www.drweb.com/