7:58
8/10/2014

Ofiarą szajki rabusiów padło 50 bankomatów w Europie Wschodniej, ale poszkodowane są także urządzenia znajdujące się w Indiach, USA, Izraelu, Chinach i Francji. Straty szacowane są na ponad milion dolarów, informuje Securelist.com.

Jak wygląda atak?

Najpierw rabusie infekują bankomat. Robią to poprzez włożenie do napędu CD — napęd ten jest obecny w większości bankomatów i jest dostępny po otwarciu (albo nawierceniu) obudowy, co wbrew pozorom nie jest takie trudne… Zresztą sami możecie się o tym przekonać, podziwiając zdjęcia wnętrz bankomatów, np. bankomatu BZWBK z Konina, które wykonał jeden z internautów (nie mamy informacji, aby padł on ofiarą tych rabusiów, ale jak widać na poniższej fotografii, także bankomaty w Polsce posiadają napędy CD/FDD):

Bankomat BZWBK w Koninie

Bankomat BZWBK w Koninie

Kiedy bankomat jest już zainfekowany, rabusie przystępują do drugiej tury ataku. Wynajmują szajkę “mułów”, którym każą podchodzić do bankomatu i wypłacać gotówkę. Ale “wypłata” wcale nie jest prosta…

    Po pierwsze, muł może okraść bankomat jedynie w niedziele bądź poniedziałek wieczorem — tylko wtedy złośliwe oprogramowanie uaktywnia się i przyjmuje komendy z klawiatury bankomatu.

    Po drugie, muł na dzień dobry musi wprowadzić odpowiednią kombinację cyfr na klawiaturze bankomatu. Kombinacja ta jest przekazywana telefonicznie i zmienia się dla każdej sesji (jest generowana na podstawie klucza, który znany jest tylko autorowi malware’u — to pozwala kontrolować “muły”, czyli upewnić się, że same z siebie, po poznaniu “sztuczki”, nie będą w stanie rabować pieniędzy na własny użytek).

Jeśli muł poprawnie wprowadzi kombinację-klucz, bankomat pokazuje na ekranie ile ma kasetek i jak dużo banknotów się w nich znajduje. A następnie pozwala wybrać, którą z kasetek okraść, wyświetlając taki, przyjemny komunikat:

Ekran informujący o gotowości do wypłacania/wykradania gotówki

Ekran informujący o gotowości do wypłacania/wykradania gotówki

Pierwsze wersje malware’u pochodzą z 2014 roku. Nadano mu nazwę Backdoor.MSIL.Tyupkin. Oto pełny zapis “sesji” muła z bankomatem:

Przez CD i USB bankomaty okrada się od dawna…

Tyupkin bardzo dużo czerpie z opisywanego przez nas rok temu ataku na bankomat przez port USB. Tam też najpierw należało zainfekować bankomat poprzez uzyskanie do niego dostępu fizycznego, a następnie przy pomocy odpowiedniej kombinacji wywołać menu złośliwego oprogramowania, które — także tylko i wyłącznie po podaniu odpowiedniego kodu — pozwalało wybrać gotówkę z bankomatu.

Ale przypominamy, że niekiedy wcale nie trzeba zaawansowanej techniki — do okradzenia bankomatu wystarczy bowiem zwykły widelec

Przeczytaj także:

33 komentarzy

Dodaj komentarz
  1. Niby łatwe,ale 90% bankomatów wolno stojących ( czyli poza placówkami bankowymi ) ma czujnik otwarcia,który najzwyczajniej uruchamia cichy alarm,z przekazem do służb ochrony.Po drugie,taka opcja z tego co wiem była wykorzystywana przez grupę w Polsce w jednym z banków,dobrych kilka lat temu na NCRze właśnie,na którym był zainstalowany jeszcze Windows 98 :)
    Pracownik banku,który został przekupiony bądź zwyczajnie był jednym z oszustów,wprowadził do systemu,właśnie przez napęd CD, program,który zbierał informację o nr kart i tym podobne dane.
    A że pracownicy do dziś ładujący bankomat mają również często za zadanie wgrywać kolejne ekrany bankomatowe z reklamami ( starego typu bankomaty ) to można sprytnie wykorzystać tę lukę.

    • AVE…

      Skoro bankomaty mają ciche alarmy, to dlaczego ludziom udaje się je rozwiercić, wyrwać lub wysadzić, albo zwyczajnie otworzyć i zainfekować bez większych problemów? Te ciche alarmy są dla picu, są olewane przez centra monitoringu czy po prostu informacja o otwarciu lub rozwaleniu bankomatu tak wolno krąży między odpowiedzialnymi ludźmi? Bo jak na razie nie tylko w Polsce takie rzeczy przechodzą, ale też i w bardziej cywilizowanych częściach świata.
      Zresztą nawet najlepsze czujniki i najdokładniejszy monitoring nie dadzą rady, jeśli policja potrzebuje kilu do kilkunastu minut na dotarcie na miejsce, i jeszcze więcej czasem na zareagowanie.

    • Wyłącz zasilanie bankomatu, odłącz go od LAN-a/modemu i po cichym alarmie (:

    • O takim czymś jak UPS to słyszałeś? Alarm wysyłany drogą radiową i wsio :)

    • Cichy alarm bardzo dobrze zadziała, gdy złodziej próbuje dobrać się do gotówki w momencie otwarcia bankomatu… gotówka posiada już dość pancerne drzwi w przeciwieństwie do elektroniki… Po wykryciu takowego bardzo rzadko sprawdza się, czy bankomat został zainfekowany, zwykle następuje tylko kontrola stanu bankomatu, czy nie zachowuje się dziwnie, czy nie został fizycznie uszkodzony i ewentualne problemy zostają wtedy naprawione… I backdoor jest po prostu niezauważany…

    • Primo – cichy alarm nadal funkcjonuje i ma sie dobrze, przy czym teraz dział na podstawie najczęściej modemu GSM który wysyła wiadomość do centrum alarmowego. BTW te modemu potrafią działać nawet i 2 mce na baterii ;]
      Secondo – bankomaty posiadają czujki antywstrząsowe – w momęncie nawet silniejszego udezenia ręka następuje blokada sejfu i nieważne co podepniesz pod USB czy wsadzisz do napędu to jest to blokada fizyczna dyspensera który nie wyciągnie nic z kasetki w sejfie. I

    • @navigator
      A przecież połowa czytelników niebezpiecznika przed użyciem bankomatu wali w niego pięścią czy aby nie jest jakiś ‘lichy’, a jakoś nikt nie mówił, że później były problemy..

  2. Żałosne. W każdej książce o bezpieczeństwie na pierwszej stronie jest że wyłącza się autostart z CDka lub pena. Bank jest sam sobie winien.

  3. Buahahaha. Powodzenia…
    Nowe Bankomaty/Wplatomaty NCR pomimo ze dzialaja w srodowisku WINDOWS nie ma mozliwosci instalacji/uruchomienia aplikacji za wyjatkiem podpisanych cyfrowo przez NCR.
    Nowe bankomaty raczej nie posiadaja juz CD raczej boot jest mozliwy przez USB, chodz tez nie do konca bo nalezy zmienic w BIOS kolejnosc bootowania oraz jeszcze jedna opcje. Jak wiadomo do BIOSa mozna wejsc poprzez hasło badz tez token sprzetowy.
    Starsze Bankomaty Wincor 2012/2013 pracuja pod kontrola winxp dostep do GUI Windows jest banalnie prosty, malo tego centrum montioringu danego bankomatu widzi jakie operacje sa wykonywane na danym bankomacie ile jest transakcji na dzien ile jest gotowki w kasetach jak rowniez “widza” czy dany dyspenzer nie jest zablokowany itd… itd… ma tez dostep zdalny do urzadzenia przez znana wszystkim wplikacje

    HACKUJCIE STARE BANKOMATY!

    Co do odpowiedzi Jacka ma racje otwarcie wnetrza bankomatu powoduje włączenie cichego alarmu w momencie gdy ten jest uzbrojony i ma łączność sieciową.
    Mało tego takich alarmów wewnatrz bankomatu jest sporo wiecej…

    • Whitelisting aplikacji zawsze można obejść DLL-ką. Certyfikowanej aplikacji (czy nawet systemowemu regsvr32) kto zabroni podłączyć “swój” moduł? Inna sprawa, że zabezpieczenie jest skuteczne do momentu dogrzebania się złodzieja do rejestru, bo whitelisting jest po prostu zasadą grupy – modyfikując klucz w policies można go w ogóle wyłączyć :)

    • @Lukasz032
      Tak, tak tylko dostań się do tego rejestru…
      Sproboj co kolwiek zainstalować chocby jeden dodatkowy sterownik…
      Wiem ze mozna i wiem jak ale osoba z ulicy nie bedzie w stanie tego zrobic…

      @przemekaugustyn
      7lat temu…

    • Serio nie ma tam regedita? Wbrew pozorom często (zwłaszcza w Warszawie) zdarzają się różne POS-y (w tym i bankomaty) z widocznym zwykłym pulpitem Windowsa (często po crashu GUI). Zakładając, że złodziej zna budowę bankomatu (szajki przestępców infekujące bankomaty mają swoje sztuki na “testy”, w końcu bankomat można wyhaczyć bez problemu na ebayu) oraz ew. strukturę BIOS-u, po skrojeniu odpowiedniej binarki mogą oni wprowadzić ją nawet poza działającym systemem (CD/USB boot?) I na nic tu nawet uprawnienia NTFS czy szeroko stosowany Enhanced Write Filter, bo uprawnienia do plików biorą w glebę po zamontowaniu takiego dysku np. w ntfs-3g pod Linuksem, a EWF jest sterownikiem systemowym i blokuje zmiany dopiero po załadowaniu jądra Windy.

    • Bartosz: tak i nie :) wiem o starych ATM(w ogole pozbawionych jeszcze prezentera), ktore nadal stoja na ulicy czy w barach niektorych miast USA, w ktorych po wcisnieciu domyslnej kombinacji serwisowej na pinpadzie wchodzisz w tryb serwisowy konfiguracji kaset. Dla kolegow – pozwala to na jeszcze mniej inwazyjna forme ataku na ATM, gdzie ATM wyplaca transakcje $1000 w banknotach $100 myslac ze placi jednodolarowkami… Z innych ciekawostek, kilka infrastruktur ktore znam, nie zareaguje na kilkuminutowe problemy z polaczeniem, operatorzy jak jeden maz zignoruja wszystkie alerty w systemie monitoringu (bo sytuacja ma miejsce nagminnie i juz nikogo to nie rusza). Po powrocie polaczenia caly ruch moze juz leciec bypassem.
      To tyle w kwestii bezpieczenstwa.
      Zgadzam sie bez zastrzezen, ze Europie pod wzgledem bezpieczenstwa sytuacja jest nieporownywalnie lepsza. Pewnie dlatego amerykanie chca nadal placic europejczykom za outsourcing :)
      Z drugiej strony, troche sie ciesze ze juz nie pracuje w tej branzy :D Mniej stresow
      Pozdrowienia!

  4. Matulu, tam jest nawet FDD :D

    • To pewnie za ZUS-u ;-)

  5. Napęd CD jest w tym bankomacie nad stacją dyskietek 1,44″ – na zdjęciu w prawym górnym rogu. Tacka ma zaokrąglone brzegi, to może być Samsung lub Mitsumi :)

  6. Kiedyś czytałem takie teksty z ciekawości, czego to ludzie nie wymyślą. Odkąd w wakacje złodzieje wyczyścili nam w ten sposób karty wcale mnie to nie ciekawi i po prostu wk… Dlatego pytam Was, którzy sie na tym znacie, co mogę zrobić ja, co możemy zrobić razem, by gnojom złodziejom utrudnić życie. Pieniądze bank zwrócił po 2 miesiącach, ale lęk przed używaniem atm został.

  7. Widzę, że nasi “niebezpiecznicy” weszli na nowy level pentestów i poszerzyli warsztat narzędzi hakerskich o wiertarkę, śrubokręt i palnik acetylenowy. Czy hakerską nirwaną będzie w takim razie użycie buldożera :D.

    • Już butle z gazem stosują przecież. Google “metoda na polaka” :)

    • Oprócz butli z gazem to również samochodu ciężarowego do pobrania bankomatu jako całość.

  8. Jezeli chodzi o modyfikacje softu to sprawa jest prostsza niz sie wydaje. Soft na ATM to maszyna stanow, ktorej logika/load pobierana jest w trakcie startu bankomatu.
    Wystarczy wstrzyknac w komunikacje swoje odpowiednio spreparowane dodatkowe stany (tak jak te ze screenow powyzej) i voila ;)
    Bawilismy sie z kolega czyms podobnym 7 lat temu :) na legalu.

    “All-N-1 ATMs – A dynamic load system based on a proxy between ATM and the network processor instance to allow extending the ATM functionality by injecting an extra states in to machine state workflow (without interference with the ATM software).
    o Developed on .NET, XML, Diebold 91x message protocol, Columbus Data Services (CDS).”

  9. Jest nie tylko CD ale nawet flop 3,5″. Brakuje jeszcze 5,25″. :)

    • W starych stacjach dyskietek 5,25″ są bardzo fajne silniki krokowe, idealne do robotyki. Warto je odzyskać i mieć do nauki.

  10. @łukasz032 zdziwił byś sie bo w normaln trybie pracy nie ma ncr to nie wincor. W wincorze normalnie uruchamia sie explorer.exe a następnie aplikacja od obsługi bankomatu i tu owszem możesz kombinować… W ncr opartym na win7 zamiast explorer.exe uruchamia sie aplikacja ncr.exe. w Gui aplikacji masz tylko dostęp do zapisu na usb bez odczytu tak w skrócie. Chcąc odpalic proces explorer.exe musisz uruchomić maszynę w trybie awaryjnym włączyć klucz sprzętowych jedną osoba i druga osoba wprowadza hasło do konta admina windows. Tam (hahaha wiadomo że osoba która ma klucz sprzętowych może wszystko) dopiero masz hulaj dusza piekła niema, czyli coś dla niebezpiecznikow. Jak bede miał czas to sprawdze z koń-błotem…

  11. Czekam na pierwsze injection za pomocą chipa bądź paska na karcie ^_^

    • Teoretycznie możliwe, jeśli znajdziesz lukę w oprogramowaniu bankomatu. Ten wymienia dane z chipem karty na zasadzie interfejsu komunikacyjnego. Złośliwe oprogramowanie zainstalowane na karcie może zrobić bankomatowi jakiś buffer overflow i wstrzyknąć trochę kodu.

  12. Autor nie wspomina, że do otwarcia bankomatu w placówce potrzebne są 2 klucze, które mają kasjer i dyrektor placówki. A w niektórych mniejszych oddziałach dodatkowo na czas ładowania gotówki oddział jest zamykany, a klienci nie wpuszczani. Dodatkowo dyrektor przed otwarciem dzwoni do ochrony, potwierdzając zamiar otwarcia sejfu i wymiany kasetek z gotówką.

    • Otwarcie sejfu bankomatu a otwarcie komputera bankomatu to dwie różne rzeczy :)

  13. Wychodzi na to, że najlepiej jest jednak trzymać pieniądze w skarpecie :)

  14. A niektóre bankomaty w Polsce nie mają tak, że w, aby otworzyć sejf musi im autoryzować to zdalne centrum? Wpisanie kodu na pinpadzie i odryglowanie drzwi raczej nie wystarczy.

  15. @Lukasz032: za wyjątkiem sytuacji, gdy dostanie się do komputera nie jest możliwe dla osób z zewnątrz, gdyż i tak nikogo postronnego w tym czasie w oddziale nie ma. Ponadto pierwsze zabezpieczenie na dwa klucze jest dla całej maszyny, nie tylko dla sejfu. do sejfu jest jeszcze jeden klucz.

  16. A jak wygląda komunikacja bezprzewodowa bankomatów? Sygnał alarmowy jak rozumiem przekazywany jest nie tylko po sieci, ale też za pośrednictwem drogi radiowej/gprs. A czy jest możliwa komunikacja z bankomatem w drugą stronę drogą radiową? Jeżeli tak, to w jakim zakresie?

  17. Udany hack bankomatu:
    https://www.youtube.com/watch?v=RdxAXx9kYxY

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.