În timpul investigației unui incident, echipa de experți a Kaspersky Lab a descoperit urmele unei versiuni îmbunătățite a programului malware Skimer pe unul dintre bancomatele băncii. Fusese implantat acolo și lăsat inactiv până când infractorii cibernetici îl pun în acțiune – un mod inteligent de a-și ascunde urmele.
Grupul Skimer își începe activitatea obținând acces la sistemul ATM-ului – fie în mod fizic, fie prin rețeaua internă a băncii. După ce instalează cu succes Backdoor.Win32.Skimer în sistem, acesta infectează părțile critice ale bancomatului – programul responsabil de interacțiunile aparatului cu infrastructura bancară, procesarea numerarului și a cardurilor.
Infractorii au, apoi, control total asupra bancomatelor infectate, dar acționează prudent și abil. În loc să instaleze dispozitivele de tip skimmer (un fals cititor de card peste cititorul autentic) pentru a colecta datele de card, transformă întregul ATM într-un skimmer. Având ATM-ul infectat cu Backdoor.Win32.Skimer, infractorii pot retrage toate fondurile disponibile sau fura datele de pe cardurile folosite la bancomatul respectiv: inclusiv numărul de cont bancar al clientului și codul PIN. Utilizatorii nu au cum să își dea seama că ATM-urile acelea sunt infectate. Nu au niciun indiciu că ar fi compromise, spre deosebire de dispozitivele de tip skimmer, unde un utilizator versat poate descoperi dacă acestea înlocuiesc adevăratul cititor de card al aparatului.
Zombie-ul adormit
Retragerile directe de bani din casetele de numerar vor fi descoperite imediat după prima încasare, în timp ce programele malware aflate în interiorul bancomatului pot copia datele de pe carduri o perioadă îndelungată. De aceea, infractorii din Skimer nu încep să acționeze imediat – sunt foarte grijulii să își ascundă urmele: programul lor poate fi prezent pe un bancomat infectat timp de mai multe luni, fără să aibă nicio activitate.
Pentru a-l activa, infractorii inserează un anumit card, care are înscrise o serie de informații pe banda magnetică. După citirea acelor informații, Skimer poate ori să lanseze comanda “hardcoded” (în programare, folosirea unei denumiri explicite, în locul unui simbol pentru ceva ce este posbil să se schimbe ulterior), ori să dea comenzi printr-un meniu special, activat de card. Interfața grafică a programului malware Skimer apare pe display doar după ce cardul este retras și infractorul inserează elementele de criptare corecte într-un formular special, în mai puțin de 60 de secunde.
Cu ajutorul acestui meniu, infractorul poate activa 21 de comenzi diferite, cum ar fi eliberarea de numerar (40 de bancnote din caseta specificată), colectarea informațiilor de pe cardurile inserate, auto-ștergerea, actualizarea (din codul malware updatat, înscris pe chip-ul cardului), etc. De asemenea, atunci când colectează informațiile de pe card, programul Skimer poate salva fișierul cu toate datele pe chip-ul aceluiași card sau poate tipări informațiile pe care le-a colectat de pe carduri, pe chitanțele de la ATM.
În majoritatea cazurilor, infractorii aleg să aștepte și să adune datele de pe cardurile afectate, pentru a crea copii ale acestor carduri mai târziu. Cu aceste copii, merg la un ATM diferit, neinfectat, și retrag bani din conturile clienților. Astfel, infractorii se asigură că ATM-ul infectat nu va fi descoperit curând.
Un hoț veteran
Programul malware Skimer a fost răspândit masiv între 2010 și 2013. Apariția sa a dus la creșterea dramatică a numărului de atacuri împotriva ATM-urilor, cu până la nouă familii diferite de malware identificate de Kaspersky Lab. Acestea includ familia Tyupkin, descoperită în luna martie 2014, care a avut cea mai largă răspândire. În prezent, se pare că Backdoor.Win32.Skimer a revenit. Kaspersky Lab identifică acum 49 de modificări ale acestui program malware, cu 37 dintre acestea vizând bancomatele unuia dintre cei mai mari producători. Cea mai recentă versiune a fost descoperită la începutul lunii mai 2016.
Cu ajutorul mostrelor trimise la VirusTotal, putem vedea distribuția geografică foarte largă a bancomatelor potențial infectate. Cele mai recente 20 de mostre din familia Skimer au fost încărcate din peste 10 surse, aflate pe tot globul: Emiratele Arabe Unite, Franța, SUA, Rusia, Macao, China, Filipine, Spania, Germania, Georgia, Polonia, Brazilia, Cehia.
Contraofensiva tehnică
Pentru a contracara această amenințare, Kaspersky Lab recomandă scanarea cu regularitate a sistemelor, împreună cu folosirea tehnologiilor de “whitelisting”, o politică eficientă de management al dispozitivelor, criptarea totală a discului, protejarea BIOS-ului de la ATM, cu o parolă, izolarea rețelei ATM-ului de orice altă rețea internă a băncii.
“Există o altă măsură importantă, ce se poate aplica în acest caz. Backdoor.Win32.Skimer verifică informația (nouă cifre) codată direct pe banda magnetică a cardului, pentru a identifica dacă ar trebui să se activeze. Am descoperit cifrele folosite de acest program malware și împărtășim informația, deschis, cu băncile. După ce acestea obțin cifrele, le pot căuta, în mod proactiv, în cadrul sistemelor de procesare, pot detecta ATM-uri potențial infectate și “cărăuși de bani” sau bloca tentativele atacatorilor de activare a malware-ului”, comentează Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.
Produsele Kaspersky Lab detectează această amenințare ca Backdoor.Win32.Skimer.