Nowości z laboratorium wirusów

Nowy typ oszustw ułatwia okradanie banków przy pomocy bankomatów

Threat Intelligence Team, 20 kwietnia 2017

Innowacyjne metody używane przez zorganizowane grupy oszustów wymuszają na bankach opracowywanie nowych zabezpieczeń.

W ostatnich miesiącach byliśmy świadkami kilku poważnych ataków na bankomaty na całym świecie — w Tajlandii, Indiach, Ameryce Łacińskiej, Europiekilku innych krajach. Złodzieje zdołali ukraść miliony dolarów z wielu instytucji bankowych.

Ataki bankowe można podzielić na dwie główne kategorie: ataki skierowane na klientów i ataki skierowane na instytucje finansowe.

Pierwsza kategoria ma dłuższą historię. Ofiarami ataków padają klienci banków i oprogramowanie do obsługi transakcji bankowych online. Złodzieje korzystają między innymi z następujących metod: 

  • Przechwytywanie ekranu logowania do bankowości internetowej.
  • Unikanie lub pomijanie zabezpieczeń, takich jak klawiatura wirtualna czy uwierzytelnianie dwuskładnikowe.
  • Instalowanie na zainfekowanym komputerze oprogramowania szpiegującego zapewniającego dostęp zdalny.

Skoncentrujemy się jednak na drugiej kategorii ataków. Skierowane są one bezpośrednio na instytucje bankowe i ich systemy wewnętrzne, komputery pracowników banku oraz sieci wewnętrzne. Zapewniają one złodziejom dostęp do innych części infrastruktury, takich jak terminale płatnicze, bankomaty, przelewy międzynarodowe oraz dzienniki o kluczowym znaczeniu. Tym samym mają ogromny potencjał komercyjny.

Aby uzyskać dostęp do wewnętrznych systemów bankowych, oszuści często wykorzystują zaawansowane zagrożenia o charakterze trwałym (APT), inżynierię społeczną lub ataki typu „spear phishing” skierowane na pracowników banku. Czasami złodziejom udaje się zaatakować tylko wewnętrzną sieć bankomatową, po czym następuje fizyczny atak na jeden bankomat, co pozwala rozszerzyć infekcję na wszystkie pozostałe urządzenia w danej sieci. 

Jeden z niedawnych ataków tego typu zakończył się masowym zainfekowaniem rosyjskich bankomatów za pośrednictwem wewnętrznej sieci bankowej. Z informacji opublikowanych w rosyjskich mediach wynika, że atak ten był szczególnie interesujący, ponieważ wykorzystano w nim złośliwe oprogramowanie bez użycia plików. Oprogramowanie to działa w pamięci urządzenia i jest odporne na ponowne uruchomienie systemu operacyjnego zainfekowanego bankomatu (zwykle z systemem Windows). 

Z dostępnych informacji wynika, że złośliwe oprogramowanie może zaszyć się na przykład w głównym rekordzie rozruchowym na dysku twardym urządzenia, w oprogramowaniu układowym (BIOS/UEFI) lub przyjąć postać złośliwego oprogramowania poweliks ukrywającego się w rejestrze systemu Windows.

Po wprowadzeniu specjalnego kodu zainfekowany bankomat wydaje wszystkie pieniądze z pierwszego podajnika, w którym zwykle przechowywane są banknoty o najwyższych nominałach. Ta metoda nazywana jest także „atakiem typu jackpotting” komentują esperci z Laboratorium wirusów Avast

Infekcje bankomatów zdarzają się coraz częściej, stopniowo wypierając metody typu skimming (skopiowanie zawartości paska magnetycznego karty płatniczej lub kredytowej), które wymagały zainstalowania sprzętu w określonym bankomacie, co zwiększało ryzyko wykrycia sprawców.

Oszustwa bankowe pomysłem na biznes

Najbardziej niesławne grupy oszustów bankowych to Metel, GCMAN, Carbanak, Buhtrp/Cobalt i Lazarus. Grupy te działają niezwykle sprawnie i składają się z profesjonalistów dysponujących dogłębną wiedzą na temat technologii bankowych, łamania zabezpieczeń i programowania. Prawdopodobnie mają powiązania z mafią i grupami zajmującymi się praniem brudnych pieniędzy. Grupy te mogą współpracować ze skorumpowanymi pracownikami banków lub mieć w bankach swoich ludzi. Przygotowanie się do skoku jest niezwykle czasochłonne — może wymagać miesięcy monitorowania, włamywania się do nowych systemów, serwerów oraz sieci, a także badania wewnętrznych systemów, mechanizmów weryfikacyjnych i innych reguł oraz zasad. Każdy, nawet najmniejszy błąd może mieć dla grupy dramatyczne konsekwencje, ponieważ może pozwolić na wykrycie działań oszustów. Aby zapewnić sobie bezpieczeństwo podczas końcowego ataku, złodzieje niezwykle dokładnie zacierają wszelkie ślady i czyszczą dzienniki działań niezgodnych z prawem. Jest to niezbędny element każdej akcji i wymaga precyzyjnego przygotowania.

Ataki na banki zdarzają się coraz częściej. Oszuści kradną ogromne sumy pieniędzy, korzystając z bardzo wyrafinowanych metod. Po każdym udanym ataku oszuści odkładają część kwoty na finansowanie swojej infrastruktury, opracowywanie złośliwego oprogramowania, znajdowanie luk w zabezpieczeniach, a także na opłacanie „słupów”, pranie brudnych pieniędzy oraz korumpowanie pracowników banku. Wszystkie te grupy od lat znajdują się na liście różnych organów ścigania, takich jak FBI czy Europol, ale przywódcy i członkowie grup skutecznie kryją się w zakamarkach Internetu i odmętach darknetu.

Bankomaty są zwykle dobrze zabezpieczone przed atakami fizycznymi, ale niemal wszystkie korzystają z systemu operacyjnego Windows (CE/2000/XP/7). Nie wiemy, czy systemy operacyjne bankomatów są regularnie aktualizowane i czy luki w zabezpieczeniach są eliminowane. Bankomaty prawdopodobnie są chronione za pomocą oprogramowania zabezpieczającego zainstalowanego w sieci wewnętrznej. Bezpieczeństwo sieci jest równe zabezpieczeniom jej najsłabszego elementu. Jeśli nastąpi włamanie do sieci wewnętrznej, bankomaty stają się łatwym łupem. Dlatego w celu zabezpieczenia swoich bankomatów i systemów przed takimi atakami banki powinny bardziej skupić się na wewnętrznych zasadach i technologiach zabezpieczeń, a także na zabezpieczeniu bankomatów.

Czasy się zmieniły — wygląda na to, że łatwiej jest obrabować bankomat elektronicznie niż przy użyciu starych metod fizycznych. Z jednej strony daje to poczucie fizycznego bezpieczeństwa, ale z drugiej — stanowi nową kategorię problemów i wyzwań stojących obecnie przed bankami.