Cutlet Maker: zestaw narzędzi pozwalający amatorom włamywać się do bankomatów
Badacze z Kaspersky Lab wykryli szkodliwe oprogramowanie atakujące bankomaty, które było otwarcie sprzedawane na czarnym rynku DarkNet.
Cutlet Maker składa się z trzech komponentów i umożliwia obrabowanie bankomatu, pod warunkiem że atakujący zdoła uzyskać fizyczny dostęp do maszyny. Zestaw narzędzi, przy którego pomocy przestępcy mogą ukraść miliony, był wystawiony na sprzedaż za 5 000 dolarów wraz z załączoną instrukcją użycia krok po kroku.
Bankomaty nadal stanowią lukratywne cele oszustów, którzy stosują różne metody, aby uzyskać maksymalny zysk. Podczas gdy jedni uciekają się do metod rozbojowych poprzez stosowanie narzędzi tnących, a nawet kradzież całego bankomatu, inni stawiają na infekcję przy użyciu szkodliwego oprogramowania, która pozwala im manipulować urządzeniem od środka. Chociaż szkodliwe narzędzia do hakowania bankomatów znane są od wielu lat, najnowsze odkrycie pokazuje, że twórcy szkodliwego oprogramowania inwestują coraz więcej zasobów w udostępnianie swoich „produktów” przestępcom, którzy nie są zbyt biegli w dziedzinie informatyki.
Wcześniej tego roku partner Kaspersky Lab przekazał jednemu z badaczy nieznaną wcześniej próbkę szkodliwego oprogramowania, która została prawdopodobnie stworzona w celu infekowania komputerów działających wewnątrz bankomatów. Badacze chcieli dowiedzieć się, czy szkodnik ten lub coś, co było z nim związane, znajdował się w sprzedaży prowadzonej za pośrednictwem nielegalnych forów. Poszukiwanie unikatowych śladów pozostawionych przez szkodnika zakończyło się powodzeniem: ogłoszenie reklamujące odmianę szkodliwego oprogramowania atakującego bankomaty zamieszczone na popularnej stronie DarkNetu — AlphaBay — pasowało do zapytania wyszukiwania i ujawniło, że pierwotna próbka należała do całego komercyjnego zestawu narzędzi do tworzenia szkodliwego oprogramowania, opracowanego w celu obrabowywania bankomatów. Znaleziony przez badaczy publiczny post autorstwa sprzedawcy szkodnika zawierał nie tylko jego opis i instrukcje dotyczące nabycia tego narzędzia, ale również oferował szczegółowy przewodnik krok po kroku dotyczący wykorzystywania tego zestawu w atakach wraz z instrukcjami i samouczkami wideo.
Badanie wykazało, że omawiany zestaw narzędzi do tworzenia szkodliwego oprogramowania składa się z trzech elementów:
· oprogramowania Cutlet Maker, które stanowi główny moduł odpowiedzialny za komunikowanie się z dystrybutorem gotówki bankomatu;
· programu c0decalc, który generuje hasło w celu uruchomienia aplikacji Cutlet Maker i zabezpieczenia jej przed nieautoryzowanym wykorzystaniem;
· aplikacji, która oszczędza czas przestępców, identyfikując aktualny stan kaset z gotówką bankomatu. Poprzez zainstalowanie tej aplikacji intruz uzyskuje dokładne informacje dotyczące waluty, wartości oraz liczby banknotów w każdej kasecie, dzięki czemu może wybrać tę, która zawiera największą kwotę, zamiast na ślepo wyciągać gotówkę z każdego bankomatu po kolei.
W celu rozpoczęcia kradzieży przestępcy muszą uzyskać bezpośredni dostęp do wnętrza bankomatu, aby mieć dojście do portu USB, który później zostanie wykorzystywany do instalowania szkodliwego oprogramowania. Jeśli warunek ten zostanie spełniony, wpinają urządzenie USB, na którym przechowywany jest zestaw narzędzi. W pierwszym kroku przestępcy instalują oprogramowanie Cutlet Maker. Ponieważ jest ono chronione za pomocą hasła, wykorzystują program c0decalc, który jest zainstalowany na innym urządzeniu, takim jak laptop czy tablet — jest to swego rodzaju ochrona „praw autorskich” instalowana przez autorów oprogramowania Cutlet Maker w celu uniemożliwienia innym przestępcom wykorzystywania go za darmo. Po wygenerowaniu kodu przestępcy wprowadzają go do interfejsu Cutler Makera, aby rozpocząć proces wyciągania pieniędzy.
Cutlet Maker znajdował się w sprzedaży od 27 marca 2017 r., jednak — jak wykryli badacze — najwcześniejsza znana próbka została zidentyfikowana przez społeczność cyberbezpieczeństwa w czerwcu 2016 r. W tym czasie została przesłana z Ukrainy na publiczny serwis oferujący skanowanie antywirusowe z użyciem technologii różnych dostawców (tzw. multi-scanner), później została tam dostarczona również z innych państw. Nie wiadomo, czy szkodnik ten był rzeczywiście wykorzystywany w realnych atakach, jednak wytyczne dostarczone wraz z zestawem do tworzenia tego szkodliwego oprogramowania zawierały filmy prezentowane przez ich autorów jako dowód skuteczności szkodnika w realnych warunkach.
Nie wiadomo również, kto stoi za tym szkodliwym oprogramowaniem. Jeśli chodzi o potencjalnych sprzedawców tego zestawu narzędzi, język, gramatyka oraz błędy stylistyczne sugerują, że nie są to rodzimi użytkownicy języka angielskiego.
Cutlet Maker nie wymaga od przestępcy prawie żadnej zaawansowanej wiedzy czy profesjonalnych umiejętności komputerowych. Tym samym z wyrafinowanej ofensywnej operacji cybernetycznej hakowanie bankomatów staje się jeszcze jednym nielegalnym sposobem zarabiania pieniędzy, z którego może skorzystać praktycznie każdy, kto posiada kilka tysięcy dolarów na zakup szkodnika. Jest to potencjalnie niebezpieczne zagrożenie dla organizacji finansowych. Jednak o wiele istotniejsze jest to, że podczas swojego działania Cutlet Maker komunikuje się z oprogramowaniem i sprzętem bankomatów, nie napotykając na swojej drodze niemal żadnych przeszkód w ramach systemu bezpieczeństwa. Podejście to musi się zmienić, jeżeli bankomaty mają być lepiej chronione — powiedział Konstantin Zykow, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
W celu zapewnienia ochrony swoim bankomatom przed atakami przy użyciu szkodliwych narzędzi takich jak Cutlet Maker oraz jako uzupełnienie niezawodnej fizycznej ochrony bankomatów specjaliści z Kaspersky Lab zalecają zespołom odpowiedzialnym za bezpieczeństwo organizacji finansowych następujące działania:
· wdrożenie rygorystycznych polityk domyślnej odmowy zapobiegających uruchomieniu jakiegokolwiek nieautoryzowanego oprogramowania w bankomacie,
· włączenie mechanizmów kontroli urządzeń w celu ograniczenia możliwości podłączania jakichkolwiek nieautoryzowanych urządzeń do bankomatów,
· wykorzystywanie zindywidualizowanego rozwiązania bezpieczeństwa w celu ochrony bankomatów przed atakami przy użyciu szkodliwego oprogramowania podobnego do Cutlet Makera.
W celu zapewnienia lepszej ochrony bankomatom Kaspersky Lab zaleca również wykorzystywanie odpowiedniego rozwiązania bezpieczeństwa, takiego jak Kaspersky Embedded Systems Security.
Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie Cutlet Maker.
Szczegóły techniczne dotyczące ataków na bankomaty z użyciem szkodliwego oprogramowania Cutlet Maker są dostępne na stronie http://r.kaspersky.pl/EE2zx.
Analiza ta stanowi część aktualnych badań firmy Kaspersky Lab dotyczących finansowego szkodliwego oprogramowania atakującego bankomaty. Więcej informacji na ten temat znajduje się na stronie http://r.kaspersky.pl/G4rYm.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.