partner serwisu

Tyupkin - trojan na bankomaty; pozwala na wypłatę bez kart, ale tylko zorganizowanym grupom przestępczym

Tyupkin - trojan na bankomaty; pozwala na wypłatę bez kart, ale tylko zorganizowanym grupom przestępczym
Autor:
Marek Kowalski
Data publikacji:
8 października 2014, 14:59
Średnia ocena:
Twoja ocena:
Tagi:
bankomaty, kaspersky, kradzież, malware, pieniądze, przestępstwo, trojan, tyupkin, zagrożenie

Zdążyliśmy się już niemal przyzwyczaić do tego, że złośliwe oprogramowanie infekuje co raz to nowe komputery i urządzenia mobilne. Tym razem jednak o nowym, rozpoznanym niedawno zagrożeniu, którego celem są... bankomaty. Zainfekowane urządzenia pozwalają przestępcom na pobieranie gotówki bez potrzeby korzystania z jakiejkolwiek karty. Oczywiście możliwość pobrania gotówki zastrzeżona jest wyłącznie dla świadomych uprawianego procederu przestępców, co więcej cały schemat przestępczej działalności wykorzystującej infekcje bankomatów złośliwym kodem został tak pomyślany, że samodzielnie działający złodziej niewiele z tego skorzysta. Oto mamy do czynienia ze złośliwym kodem opracowanym specjalnie dla zorganizowanych grup przestępczych.

Zaczęło się dość niewinnie - w różnych miejscach świata zaczęła "ginąć" z bankomatów gotówka. Wdrożone śledztwo i analiza zapisów monitoringu często towarzyszącego bankomatom doprowadziły do wniosku, że urządzenia do wypłacania gotówki padły ofiarami złożonego ataku, którego częścią była infekcja wewnętrznego oprogramowania urządzenia złośliwym kodem umożliwiającym operatorowi na nieautoryzowany dostęp do gotówki przechowywanej w konkretnym urządzeniu. 

Czy to oznacza, że wkrótce możemy się spodziewać masowego oczyszczenia zasobów bankomatowych na całym świecie, krachu banków i załamania światowej gospodarki? Nic z tych rzeczy. Głównie dlatego, że choć cały proceder jest istotnie możliwy dzięki wprowadzeniu do bankomatu złośliwego kodu, to - po pierwsze - procedura infekcji nie jest łatwa, a po drugie - złodziej, który chce wykraść gotówkę musi działać wyłącznie w ściśle określonym czasie i musi współpracować z operatorem znającym algorytm generujący specjalne hasło umożliwiające oczyszczenie zaatakowanego urządzenia z gotówki. 

Zgodnie z informacjami udostępnionymi przez ekspertów z firmy Kaspersky Lab, atak przeprowadzany jest w następujący sposób. Najpierw grupa przestępców musi uzyskać fizyczny dostęp do urządzenia, co samo w sobie automatycznie wyklucza możliwość osiągnięcia jakichkolwiek korzyści przez przypadkowe osoby. Po uzyskaniu fizycznego dostępu do urządzenia, a w szczególności uzyskaniu dostępu do wbudowany w terminal ATM (czyli właśnie bankomat) napęd optyczny, przestępcy umieszczają w nim specjalną, rozruchową płytę CD, za pomocą której w wewnętrznej pamięci bankomatu instalowane jest złośliwe oprogramowanie. Ów złośliwy kod został nazwany przez ekspertów z Kaspersky Lab Tyupkin.

Po instalacji Tyupkina w bankomacie urządzenie jest uruchamiane w normalnym trybie, a ukryty w pamięci kod wchodzi w nieskończoną pętlę i oczekuje na polecenia. Jednak możliwość wydawania poleceń jest dostępna tylko w określonym czasie: w niedzielne i poniedziałkowe noce (różnice wynikające z lokalizacji bankomatu i stref czasowych są nieistotne, trojan korzysta z wewnętrznego zegara bankomatu i posługuje się czasem lokalnym). Dla każdej sesji oczekiwania na polecenia, złośliwy kod generuje specjalny klucz złożony z unikalnej kombinacji cyfr, co jest kolejną barierą eliminującą możliwość przypadkowego podjęcia gotówki przez osoby nieuczestniczące w przestępczym procederze. W odpowiednim czasie złodziej podchodzi do bankomatu i komunikuje się telefonicznie z innym członkiem gangu, który na podstawie wyświetlonego przez bankomat (a dokładniej trojana Tyupkin) klucza podaje hasło dające dostęp do poszczególnych zasobników z gotówką. 

Tak właśnie prezentuje się ekran zaatakowanego bankomatu - zamiast doskonale znanemu posiadaczom kart debetowych i płatniczych menu z wyborem funkcji czy wysokości wypłacanej kwoty, agresor ma podgląd zawartości wszystkich zasobników wbudowany w urządzenie, przy którym stoi. Po wprowadzeniu specjalnego hasła może opróżnić wybrany zasobnik bez potrzeby używania jakiejkolwiek karty płatniczej (źródło: Kaspersky Lab).

Zagrożenie zaobserwowano już praktycznie na całym świecie, szkodliwe oprogramowanie wykryto w bankomatach zarówno w Europie jak i w Azji czy Ameryce Łacińskiej. Cechą wyróżniającą ten atak od innego typu kradzieży dokonywanych na bankomatach jest to, że po raz pierwszy złodzieje nie stosowali żadnych czytników kart nakładanych na bankomat (kradnąc dane karty nieświadomych zagrożenia użytkowników urządzenia), czy innego typu skanerów umożliwiających poznanie danych autoryzacyjnych, lecz zaatakowali bezpośrednio instytucje finansowe - żaden klient banku nie został ograbiony, przestępcy uszczuplili po prostu skarbiec danej instytucji finansowej. 

Dla zainteresowanych jeszcze krótkie wideo pokazujące przebieg ataku na rzeczywisty bankomat, czy też - mówiąc fachowo - terminal ATM:

 

licens
2014.10.10, 11:05
Bardzo dziękuję za szczegółową instrukcję. Jestem bardzo zobowiązany.
Na pewno skorzystam. W razie potknięć będę zwracał się do Państwa o dalszą pomoc.
To miłe, że pomagacie Państwo zainteresowanym nie oczekując gratyfikacji.
Uszanowanie Państwu.
liveon
2014.10.10, 11:16
Rany, ale bzdury. Dostęp do napędu optycznego, kod do urządzenia od innej osoby, określony czas działania i co jeszcze???? To nie żaden wirus tylko człowiek, który ma dostęp do bankomatu (czyli np. ma klucze, bo jak nie to co - rozwalił drzwiczki???), człowiek który ma oprogramowanie, który ma dostęp do haseł i kodu. To po prostu zwykłe działania osób które serwisują urządzenie i programistów, a nie jakiś wirus i gangi.
bromar
2014.10.10, 15:44
No lubię wszystko .tylko żeby zainstalować złośliwe oprogramowanie trzeba dostać się do napędu CD . Tym samym trzeba otworzyć bankomat. Otwarty bankomat to dostęp do kasy. Wnosek . Bankomat mogą okraść w ten sposób tylko osoby z obsługi.
krzysztof249
2014.10.11, 08:42
najlepsi w okradaniu są nasi politycy