Перейти к материалам
истории

Просто просверли дырку «Лаборатория Касперского» — о двух необычных способах обчистить банкомат

Источник: Meduza
Фото: Saikat Paul / Pacific Press / Sipa USA / Rex / Vida Press

«Лаборатория Касперского» рассказала о необычном методе взлома банкоматов, который успешно применял как минимум один хакер. Все, что нужно взломщику, — дрель и несложное устройство, которое можно собрать самостоятельно. «Медуза» рассказывает, как работает этот и еще один метод и почему от него сложно защититься.

Осенью 2016 года в «Лабораторию Касперского» обратился один из банков, который обнаружил опустошенный банкомат с небольшим отверстием диаметром в несколько сантиметров возле клавиатуры для ввода пин-кода. Дырка была прикрыта наклейкой. Позже исследователи обнаружили еще около десятка аналогичных краж из банкоматов такой же модели.

Эксперты начали изучать эту модель и обнаружили порт, подключенный к шине компьютера — подсистеме, через которую его составные части обмениваются данными друг с другом. В частности, через шину открывался доступ к диспенсеру для выдачи денег. Через просверленное отверстие взломщик легко дотягивался до порта.

Сотрудники «Лаборатории» пять недель изучали сигналы, передаваемые по шине, и в итоге смогли разобраться с протоколом передачи данных. Оказалось, что внутри банкомата команды передаются в слабо защищенном виде.

После этого исследователи собрали несложное устройство из микроконтроллера Atmega (такие используются в платах Arduino), батарейки, нескольких конденсаторов и адаптера для подключению к порту. Устройство, которое обошлось в 15 долларов, позволило передавать диспенсеру команды на выдачу денег.

Одного из взломщиков, использовавших эту уязвимость, поймала полиция —когда и где это произошло, не уточняется. У него не было устройства на базе микроконтроллера — вместо этого он использовал ноутбук с кабелем, с помощью которого подключался через отверстие к порту банкомата и отдавал команду выдать все деньги.

При использовании такого способа возникала небольшая проблема: в какой-то момент компьютер внутри банкомата понимал, что диспенсер работает без его команды, и перезагружался. Но после перезагрузки злоумышленник мог вновь отправить команду на выдачу денег — и делать так до тех пор, пока банкомат не выдаст все купюры.

Метод с просверливанием дырки позволял получить деньги без шума — если злоумышленник решит вскрыть замок и снять всю переднюю панель, среагирует сигнализация.

В «Лаборатории Касперского» не уточнили, какие банки или модели банкоматов оказались уязвимы к такому методу взлома, но отметили, что такую атаку уже не раз применяли в России и Европе. Защититься от нее довольно сложно: производители не могут просто обновить программное обеспечение, им нужно заменить оборудование внутри банкоматов. В крайнем случае можно ограничить доступ к банкоматам или установить возле них видеонаблюдение.

***

Также 3 апреля «Лаборатория Касперского» рассказала о еще одном способе красть деньги с банкоматов — его называют бесфайловой атакой. Суть заключается в том, чтобы вирусом заражать корпоративные сети банков, а уже через них, используя удаленное администрирование, передавать команды банкоматам. От нее пострадал как минимум один российский банк.

Так как атака происходит удаленно, со стороны все выглядит невинно — злоумышленник даже не трогает банкомат. Просто время от времени машина выдает пачки по 40 купюр, которые остается забрать. На то, чтобы обчистить один банкомат, уходит меньше 20 минут, после чего можно двигаться к следующей точке.

Бесфайловой атаку называют потому, что она не оставляет следов: после выдачи денег вирус удаляет себя. Но на одном из пострадавших банкоматов исследователям удалось найти два текстовых документа, в которых хранились журналы операций (они, по всей видимости, не удалились по ошибке).

В этих журналах было несколько фраз на английском: «вхожу в процесс выдачи», «разблокирую диспенсер» и «лови денежки, сучка!» Предположительно, эти строки выводились на экран банкомата в момент, когда злоумышленник приходил забрать деньги.

Исследователи поискали эти строчки по текстам других вирусов и нашли подходящий — его ранее обнаруживали в России и Казахстане. Как отмечает «Лаборатория Касперского», вирус, который прозвали ATMitch, может запускаться на подавляющем большинстве банкоматов. С помощью бесфайловых атак уже украли больше 800 тысяч долларов.

Султан Сулейманов