Начнем с главной загадки последних месяцев в сфере финансовой кибербезопасности.
«Бесфайловые» атаки и ATMitch
В июне 2016 года в «Лабораторию Касперского» обратился один из российских банков, ставший жертвой целевой атаки. Злоумышленники смогли получить контроль над банкоматами и загрузить на них вредоносную программу, а после получения денег программа была удалена. Криминалисты банка не смогли восстановить вредоносные исполняемые файлы из-за фрагментации жесткого диска после атаки, но при этом поделились с нами двумя файлами с журналами зловреда. На основании этих данных мы создали YARA-правило, чтобы найти образец вредоносной программы — и нашли.
Зловред, которому мы присвоили кодовое название ATMitch, действует довольно просто. Выполняется удаленная установка троянца, а затем происходит удаленное соединение с банкоматом изнутри банка. После этого ATMitch ищет файл command.txt, который должен быть создан атакующим и расположен в одной папке со зловредом. Если файл найден, троянец читает его содержимое, состоящее из одного символа, и исполняет соответствующую команду: например, открывает диспенсер или выдает деньги. Закончив исполнение команды, ATMitch записывает результаты исполнения в журнал и удаляет с жесткого диска банкомата файл command.txt.
Следует отметить, что зловред работает на любом банкомате, поддерживающем библиотеку XFS (а таких банкоматов подавляющее большинство).
Кто хочет стать миллиардером
В начале 2016 года по всему миру прогремела новость о краже $81 миллиона и попытке вывести еще $851 миллион из центрального банка Бангладеш. «Лаборатория Касперского» с самого начала принимала участие в расследовании инцидента, за которым стоит группа злоумышленников, названная Lazarus.
Тщательно изучив все обстоятельства случившегося, мы поняли, какими инструментами пользовались киберпреступники и как именно они действовали при атаках. Среди их целей были не только банки, но и другие финансовые учреждения, казино и даже разработчики ПО для инвестиционных компаний.
Злоумышленники проникали в чужую инфраструктуру через один из входящих в нее компьютеров. Обычно это происходило путем дистанционного использования уязвимости или методом заражения стороннего сайта, на который заходили сотрудники компании. При посещении взломанной страницы на машину «подсаживался» вредоносный код.
Затем с помощью обширного арсенала зараза распространялась по другим компьютерам в корпоративной сети. Таким образом формировались пути обхода защитных систем. В ходе расследования мы выявили более 150 зловредов, имеющих отношение к деятельности группы.
Дальше злоумышленниками велась кропотливая работа по сбору данных об информационной инфраструктуре жертвы. Их конечная цель — получить учетные данные для программ, обслуживающих финансовые транзакции. Чтобы найти эти сведения, злоумышленники изучали серверы с резервными копиями данных, контроллеры доменов, почтовые серверы и так далее.
В итоге преступники создавали специальные зловреды, способные обходить защиту финансового софта, и выводили средства со счетов жертвы. Дальше получить эти деньги — дело техники.
К сожалению, пока злоумышленники остаются безнаказанными. Однако по нашему опыту, даже если они сумели проникнуть в инфраструктуру, не поздно пресечь их манипуляции, избежать потери денег и ухудшения репутации.
Сверлите, Шура, сверлите!
Это дело началась для нас осенью 2016 года, когда один из банков-клиент обнаружил опустошенный банкомат с единственным доказательством несанкционированного доступа: небольшим отверстием рядом с клавиатурой. Чтобы скрыть следы операции, воры даже аккуратно заклеили дыру. Позже нам стало известно еще, как минимум, о дюжине подобных ограблений. Когда полиция арестовала подозреваемого в одном из случаев, у него нашли ноутбук и кабель, который он, по-видимому, вставлял куда-то в просверленное отверстие. Ноутбук, провод и дыра в банкомате — вот и все улики, которыми мы располагали.
Мы захотели выяснить, какой контроль над банкоматом можно получить с помощью всего лишь одного отверстия и одного провода. Оказалось, что почти полный. Мы смогли «подчинить» себе диспенсер банкомата и заставить выдавать деньги с помощью его же микрокомпьютера. Вот как это было.
Пострадавшая модель банкомата широко используется еще с 90-х годов, поэтому в нашей лаборатории оказался тестовый образец. Мы сняли переднюю панель устройства и нашли под ней порт, который позволяет подключиться к внутренней шине, объединяющей все компоненты банкомата от микрокомпьютера до диспенсера. Мы провели пять недель в компании осциллографа и логического анализатора, чтобы расшифровывать протокол внутренних сообщений АТМ из электрических сигналов. Оказалось, что единственным способом шифрования на устройстве был слабый XOR-шифр, который легко взломать, и что между модулями машины не было установлено практически никаких механизмов аутентификации.
Проще говоря: любая часть банкомата может посылать команды другим частям, и те будут слушаться! Это позволило злоумышленникам управлять диспенсером через микрокомпьютер банкомата, которому тот безоговорочно доверяет.
Мы не можем назвать производителей банкоматов или затронутые банки, но точно знаем, что воры уже использовали подобную схему в России и Европе. «Лаборатория Касперского» оповестила производителя банкоматов об уязвимости, но все оказалось не так просто: программное обеспечение устройства нельзя обновить удаленно. Более того, для этого потребуется заменить и часть железа или же уповать на физические меры безопасности типа ограничения доступа и камер видеонаблюдения.
Кто виноват, понятно. А что делать?
Несмотря на профессионализм злоумышленников, остановить их и минимизировать риск хищения денежных средств можно. Важно следовать нескольким советам. Во-первых, обеспечьте свою IT-инфраструктуру надежной защитой, которая способна засекать целевые атаки и противостоять им. Особенно тщательно защищайте серверы с резервными копиями данных, на которых могут быть обнаружены логины, пароли и даже токены для аутентификации. Во-вторых, следите за осведомленностью своих сотрудников о современном мире киберугроз и методах противодействия им, а в случае необходимости устраивайте тренинги. В-третьих, регулярно проводите аудит инфраструктуры на предмет уязвимостей и следов проникновения злоумышленников. Наконец, если вы заподозрили постороннее присутствие в своей IT-инфраструктуре, обязательно воспользуйтесь услугами экспертов, способных провести полноценное расследование. Помните: защиты не бывает слишком много.
Лучшие новости сегодня
Вы искали сегодня
Другие новости сегодня
srcset=" https://www.zakon.kz/pbi/WEBP/2024-05-07/file-3584a2c0-3b3f-41b4-acc7-8b5d698e9cf8/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-05-07/file-3584a2c0-3b3f-41b4-acc7-8b5d698e9cf8/800x450.webp 800w " sizes="(min-width:...
srcset=" https://www.zakon.kz/pbi/WEBP/2024-05-07/file-d3687680-4303-45da-9e2c-703579a25248/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-05-07/file-d3687680-4303-45da-9e2c-703579a25248/800x450.webp 800w " sizes="(min-width:...
По ее словам, сейчас банки предлагают вклады только с возможностью пополнения или с возможностью пополнения и снятия денег до неснижаемого остатка, а также вклады с капитализацией, когда проценты начисляются...
Она перечислила основные проблемы при покупке автомобиля, который принадлежал банкроту. Если человек планирует приобрести автомобиль банкрота на торгах, ему следует быть готовым к определенным сложностям...
Как следует из условий проведения денежных переводов Сбербанка, максимальный суточный лимит на операции в приложении "Сбербанк Онлайн" составляет 2 млн рублей в сутки при наличии биометрии, из которых 1 млн можно перевести по СБП и еще 1 млн по номеру счета. При исчерпании лимита платежи и переводы
srcset=" https://www.zakon.kz/pbi/WEBP/2024-05-06/file-458d6e06-0732-4f7b-a2cc-6e35c76dc600/400x225.webp 400w, https://www.zakon.kz/pbi/WEBP/2024-05-06/file-458d6e06-0732-4f7b-a2cc-6e35c76dc600/800x450.webp 800w " sizes="(min-width:...
«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.
Только четверть россиян — 24% — не копят деньги и не собираются это делать. В
Подробнее Россияне пожилого возраста, которые отправляются в заграничные путешествия,
Подробнее 🔷 В Сбере предсказали, как вырастет курс доллара . В мае рубль будет...
ПодробнееВ Астане прошли переговоры между авиационными властями Республики Казахстан и
ПодробнееБольшая часть профессиональных футбольных клубов в Казахстане поддерживается
ПодробнееЛидеры стран Евразийского экономического союза поддержали предложение об
ПодробнееЭкономика сегодня
Только четверть россиян — 24% — не копят деньги и не собираются это делать. В то же время 44% формируют финансовые накопления, а еще 32% рассматривают такую возможность. Об этом свидетельствуют результаты...
Подробнее Россияне пожилого возраста, которые отправляются в заграничные путешествия, могут столкнуться с неприятностями не только из-за травм, но и обострения хронических заболеваний. О некоторых типичных случаях...
Подробнее 🔷 В Сбере предсказали, как вырастет курс доллара . В мае рубль будет...
Подробнее 🔷 Аналитики ФГ «Финам» объяснили, почему россияне в марте кинулись покупать доллары: граждане использовали фазу стабильности курса рубля...
Подробнее Правительство России зашло в тупик с законопроектом, определяющим статус апартаментов, но ...
Подробнее 🔸 В Сбербанке рассказали, как будут работать в майские праздники
Подробнее
Комментарии (0)