Начнем с главной загадки последних месяцев в сфере финансовой кибербезопасности.

«Бесфайловые» атаки и ATMitch

Злоумышленники смогли получить контроль над банкоматами и загрузить на них вредоносную программу, а после получения денег программа была удалена

В июне 2016 года в «Лабораторию Касперского» обратился один из российских банков, ставший жертвой целевой атаки. Злоумышленники смогли получить контроль над банкоматами и загрузить на них вредоносную программу, а после получения денег программа была удалена. Криминалисты банка не смогли восстановить вредоносные исполняемые файлы из-за фрагментации жесткого диска после атаки, но при этом поделились с нами двумя файлами с журналами зловреда. На основании этих данных мы создали YARA-правило, чтобы найти образец вредоносной программы — и нашли.

Зловред, которому мы присвоили кодовое название ATMitch, действует довольно просто. Выполняется удаленная установка троянца, а затем происходит удаленное соединение с банкоматом изнутри банка. После этого ATMitch ищет файл command.txt, который должен быть создан атакующим и расположен в одной папке со зловредом. Если файл найден, троянец читает его содержимое, состоящее из одного символа, и исполняет соответствующую команду: например, открывает диспенсер или выдает деньги. Закончив исполнение команды, ATMitch записывает результаты исполнения в журнал и удаляет с жесткого диска банкомата файл command.txt.

Следует отметить, что зловред работает на любом банкомате, поддерживающем библиотеку XFS (а таких банкоматов подавляющее большинство).

Кто хочет стать миллиардером

В начале 2016 года по всему миру прогремела  новость о краже $81 миллиона и попытке вывести еще $851 миллион из центрального банка Бангладеш. «Лаборатория Касперского» с самого начала  принимала участие в расследовании инцидента, за которым стоит группа злоумышленников, названная Lazarus.

Тщательно изучив все обстоятельства случившегося, мы поняли, какими инструментами пользовались киберпреступники и как именно они действовали при атаках. Среди их целей были не только банки, но и другие финансовые учреждения, казино и даже разработчики ПО для инвестиционных компаний.

Злоумышленники проникали в чужую инфраструктуру через один из входящих в нее компьютеров

Злоумышленники проникали в чужую инфраструктуру через один из входящих в нее компьютеров. Обычно это происходило путем дистанционного использования уязвимости или методом заражения стороннего сайта, на который заходили сотрудники компании. При посещении взломанной страницы на машину «подсаживался» вредоносный код.

Затем с помощью обширного арсенала зараза распространялась по другим компьютерам в корпоративной сети. Таким образом формировались пути обхода защитных систем. В ходе расследования мы выявили более 150 зловредов, имеющих отношение к деятельности группы.

Дальше злоумышленниками велась кропотливая работа по сбору данных об информационной инфраструктуре жертвы. Их конечная цель — получить учетные данные для программ, обслуживающих финансовые транзакции. Чтобы найти эти сведения, злоумышленники изучали серверы с резервными копиями данных, контроллеры доменов, почтовые серверы и так далее.

В итоге преступники создавали специальные зловреды, способные обходить защиту финансового софта, и выводили средства со счетов жертвы. Дальше получить эти деньги — дело техники.

Пока злоумышленники остаются безнаказанными

К сожалению, пока злоумышленники остаются безнаказанными. Однако по нашему опыту, даже если они сумели проникнуть в инфраструктуру, не поздно пресечь их манипуляции, избежать потери денег и ухудшения репутации.

Сверлите, Шура, сверлите!

Это дело началась для нас осенью 2016 года, когда один из банков-клиент обнаружил опустошенный банкомат с единственным доказательством несанкционированного доступа: небольшим отверстием рядом с клавиатурой. Чтобы скрыть следы операции, воры даже аккуратно заклеили дыру. Позже нам стало известно еще, как минимум, о дюжине подобных ограблений. Когда полиция арестовала подозреваемого в одном из случаев, у него нашли ноутбук и кабель, который он, по-видимому, вставлял куда-то в просверленное отверстие. Ноутбук, провод и дыра в банкомате — вот и все улики, которыми мы располагали.

Мы захотели выяснить, какой контроль над банкоматом можно получить с помощью всего лишь одного отверстия и одного провода

Мы захотели выяснить, какой контроль над банкоматом можно получить с помощью всего лишь одного отверстия и одного провода. Оказалось, что почти полный. Мы смогли «подчинить» себе диспенсер банкомата и заставить выдавать деньги с помощью его же микрокомпьютера. Вот как это было.

Пострадавшая модель банкомата широко используется еще с 90-х годов, поэтому в нашей лаборатории оказался тестовый образец. Мы сняли переднюю панель устройства и нашли под ней порт, который позволяет подключиться к внутренней шине, объединяющей все компоненты банкомата от микрокомпьютера до диспенсера. Мы провели пять недель в компании осциллографа и логического анализатора, чтобы расшифровывать протокол внутренних сообщений АТМ из электрических сигналов. Оказалось, что единственным способом шифрования на устройстве был слабый XOR-шифр, который легко взломать, и что между модулями машины не было установлено практически никаких механизмов аутентификации.

Проще говоря: любая часть банкомата может посылать команды другим частям, и те будут слушаться! Это позволило злоумышленникам управлять диспенсером через микрокомпьютер банкомата, которому тот безоговорочно доверяет.

Мы не можем назвать производителей банкоматов или затронутые банки, но точно знаем, что воры уже использовали подобную схему в России и Европе. «Лаборатория Касперского» оповестила производителя банкоматов об уязвимости, но все оказалось не так просто: программное обеспечение устройства нельзя обновить удаленно. Более того, для этого потребуется заменить и часть железа или же уповать на физические меры безопасности типа ограничения доступа и камер видеонаблюдения.

Кто виноват, понятно. А что делать?

Помните: защиты не бывает слишком много

Несмотря на профессионализм злоумышленников, остановить их и минимизировать риск хищения денежных средств можно. Важно следовать нескольким советам. Во-первых, обеспечьте свою IT-инфраструктуру надежной защитой, которая способна засекать целевые атаки и противостоять им. Особенно тщательно защищайте серверы с резервными копиями данных, на которых могут быть обнаружены логины, пароли и даже токены для аутентификации. Во-вторых, следите за осведомленностью своих сотрудников о современном мире киберугроз и методах противодействия им, а в случае необходимости устраивайте тренинги. В-третьих, регулярно проводите аудит инфраструктуры на предмет уязвимостей и следов проникновения злоумышленников. Наконец, если вы заподозрили постороннее присутствие в своей IT-инфраструктуре, обязательно воспользуйтесь услугами экспертов, способных провести полноценное расследование. Помните: защиты не бывает слишком много.