Ataki na bankomaty za pomocą szkodliwego oprogramowania nie są niczym nowym. Na pewno nas niepokoją, ale nie zaskakują – ataki fizyczne obserwujemy od 2009 r. „Fizyczne”, tj. polegające na otwarciu obudowy maszyny, dostaniu się do płyty głównej i podłączeniu do niej napędu USB lub płyty CD-ROM w celu zainfekowania systemu operacyjnego. Zarażony bankomat znajduje się całkowicie pod kontrolą przestępców, co w praktyce oznacza, że mogą oni opróżnić kasetę z pieniędzmi i uciec z pełnymi portfelami.
W 2016 r. opublikowaliśmy artykuł napisany wspólnie z Europejskim Centrum Walki z Cyberprzestępczością (EC3) Europolu, w którym informowaliśmy, że cyberprzestępcy zastąpili fizyczne metody opróżniania bankomatów metodami cyfrowymi. Przedstawiliśmy również znane wówczas rodziny szkodliwego oprogramowania atakującego bankomaty.
Co się zmieniło od tego czasu? Zgodnie z oczekiwaniami pojawiło się wiele nowych rodzin szkodliwego oprogramowania, ale poza tym mamy do czynienia z nowym zjawiskiem, które – jak przewidywaliśmy – musiało niestety nastąpić: hakerzy zaczęli infekować bankomaty za pośrednictwem sieci. Media doniosły już o pięciu takich incydentach, co według ekspertów Trend Micro jest bardzo niepokojące, ponieważ oznacza, że cyberprzestępcy zarzucili na bankomaty mocną sieć.
Podobnie jak w przypadku fizycznych ataków na bankomaty z użyciem szkodliwego oprogramowania, również w przypadku ataków sieciowych kradzież „twardej” gotówki nie jest jedynym celem cyberprzestępców. Próbują oni nie tylko wycisnąć z ofiar ile się da, lecz także przejąć dane klientów banku, aby następnie kraść pieniądze w formie zer i jedynek. Takie szkodliwe oprogramowanie można więc porównać z wirtualnym urządzeniem do kopiowania pasków magnetycznych kart. Ataki za pośrednictwem sieci są dużo trudniejsze do wykrycia.
Jeśli przestępca uzyska dostęp do sieci banku i zainstaluje w niej szkodliwe oprogramowanie, nie musi udawać się fizycznie do bankomatu. Wystarczą mu wspólnicy, którzy na miejscu wypłacą dla niego pieniądze. Zainfekowanie sieci wymaga jednak od hakera większego nakładu pracy i wiedzy technologicznej w porównaniu z częściej stosowaną metodą fizyczną. Trudność polega na uzyskaniu dostępu do sieci bankomatów z sieci głównej banku.
W dobrze zaplanowanej architekturze sieć bankomatów powinna być odseparowana od sieci głównej banku. Wówczas dostęp do jednej z nich nie oznacza dostępu do drugiej. Najlepiej, gdy każda sieć jest chroniona przez zaporę i inne protokoły zabezpieczeń.
Niestety, nie wszystkie banki stosują segmentację sieci. Ponadto w niektórych zgłoszonych przypadkach okazało się, że choć te dwie sieci były od siebie odseparowane, przestępcom udało się stworzyć stały punkt zaczepienia w sieci głównej banku i wykorzystać go do instalacji szkodliwego oprogramowania w bankomatach.
Rysunek 1. Sposób przeprowadzenia typowego ataku szkodliwego oprogramowania na bankomat za pośrednictwem sieci
Z obserwacji sieciowych ataków na bankomaty wynika, że przestępcy infiltrują sieci banków tak prostymi metodami, jak wysyłanie wiadomości e-mail do pracowników w celu wyłudzenia danych uwierzytelniających. Następnie przemieszczają się po sieci poziomo, aby zbadać podsieci, włącznie z bankomatowymi, i uzyskać do nich dostęp.
Jeden z najgłośniejszych sieciowych ataków na bankomaty był oparty na Ripperze – pierwszym znanym szkodliwym oprogramowaniu tego typu, wykorzystującym sieć jako wektor infekcji. Ripper atakował urządzenia trzech największych producentów, a w 2016 r. w Tajlandii jego ofiarą padły tysiące bankomatów. Może dosłownie rozbić bank, tj. umożliwia wypłacanie dużych sum gotówki aż do całkowitego opróżnienia bankomatu. Inna podstępna funkcja tego oprogramowania sprawia, że dokonuje ono samozniszczenia i usuwa wszelkie ślady swojej aktywności w zaatakowanym środowisku, co znacznie utrudnia śledztwo.
Aby dokładniej objaśnić ten temat i przedstawić typy szkodliwego oprogramowania atakującego bankomaty, wspólnie z Europejskim Centrum Walki z Cyberprzestępczością (EC3) Europolu opublikowaliśmy obszerny raport pt. Cashing in on ATM Malware. W raporcie opisano zarówno fizyczne, jak i sieciowe ataki na bankomaty z użyciem szkodliwego oprogramowania. Pełna wersja raportu znajduje się pod adresem: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/shift-in-atm-malware-landscape-to-network-based-attacks