Банкоматный вирус Tyupkin: будут ли новые атаки?

БСМ: В октябре 2014 г. Интернет пестрил комментариями о новом трояне «Тюпкин». В нашей стране банки лишились миллионов благодаря вирусу. Расскажите, пожалуйста, откуда он пришел и как был обнаружен?

– Глобальный центр исследований «Лаборатории Касперского» совместно с Интерполом начали криминалистическое расследование по просьбе одной финансовой организации, которая прислала нам образцы вируса, заразившего их банкоматы. Позже мы получили схожие образцы из нескольких других стран.

К началу проведения расследования новым вирусом «болели» свыше 50 банкоматов. Большинство образцов вредоносного ПО поступило из России, однако создатели «Тюпкина» явно были нацелены выйти за пределы страны: по статистике, собранной на сайте VirusTotal, троян «прогуливался» во Франции, Малайзии, Израиле, Китае, Индии и США.

БСМ: Каким образом злоумышленникам удавалось грабить банкоматы? Каков алгоритм работы вируса?

– Ограбления совершались без использования кодов карт физлиц, путем прямых манипуляций с банкоматами. Специалисты Глобального центра исследований «Лаборатории Касперского» проанализировали видеоматериалы с камер наблюдения, которые были установлены в местах размещения зараженных банкоматов, и выявили, что киберпреступники получали деньги из банкоматов, предварительно установив вредоносный код с загрузочного компакт-диска.

Алгоритм работы вируса Backdoor.MSIL.Tyupkin следующий:

1. На банкомат с загрузочного диска копируется файл: C:\Windows\system32\ulssm.exe%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

2. Вирус стирает файл с расширением .lnk в системном реестре банкомата и создает в нем ключ: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]»AptraDebug» = «C:\Windows\system32\ulssm.exe»

3. Вирус начинает «работать» в банкомате, используя стандартную библиотеку MSXFS.dll – расширение для финансовых сервисов (Extension for Financial Services – XFS). При этом запускается бесконечный цикл ожидания пользовательского ввода. «Тюпкин» понимает команды (набираются в виде последовательностей цифр на пинпаде банкомата) «Показать главную страницу», «Удалить программу с устройства с помощью пакетного файла», «Продлить период активности программы», «Скрыть главную страницу».

Чтобы максимально долго скрывать вирус, его создатели настроили «Тюпкина» (по умолчанию) на прием команд только ночью в воскресенье и понедельник, в остальное время вирус «спал». Кроме того, хакеры проработали вопрос использования ПО случайными лицами: после ввода команды «Показать главную страницу» вирусная программа выдает сообщение о необходимости ввести сессионный ключ (одноразовый пароль) для продолжения взаимодействия с банкоматом. Для каждой сессии ключ генерируется из числа, выбранного случайным образом, – оператор «Тюпкина» должен знать алгоритм, который позволяет создать сессионный ключ из числа, отражающегося на экране банкомата. При введении верного сессионного ключа программа просит ввести номер кассеты с наличными, из которой преступнику выдается 40 купюр. Если ключ введен некорректно, программа выводит сообщение об отключении локальной сети (то есть фактически вирус «перекрывает» доступ к данным для удаленного анализа манипуляций с банкоматом).

БСМ: Сколько версий данного вируса было обнаружено вашими специалистами?

– Большинство проанализированных «Лабораторией Касперского» образцов вредоносного ПО были созданы еще в начале 2014 г. При этом в ходе расследования нам пришлось иметь дело в том числе с последней версией (версия d) Backdoor.MSIL.Tyupkin, которая значительно усовершенствована по сравнению с ранними образцами: во-первых, в ее коде заложена защита от анализа, осуществляемого с применением отладчиков и эмуляторов; во-вторых, данная версия вируса при активации способна отключать предустановленную на банкоматах защиту McAfee Solidcore.

БСМ: Есть ли какие-то особенные характеристики у банкоматов, подвергавшихся кибератакам, или потенциально «Тюпкин» может заразить любой банкомат?

– Эксперты «Лаборатории Касперского» обнаружили, что Backdoor.MSIL.Tyupkin актуален для банкоматов, работающих на 32-разрядной платформе Microsoft Windows. То есть фактически, несмотря на то что вирус был обнаружен на банкоматах только одного производителя, опасности подвержены любые банкоматы на старой версии платформы Microsoft Windows.

БСМ: Сегодняшние антивирусы способны блокировать «Тюпкина»?

– Да, полностью: все исполняемые файлы этого вируса детектируются последним антивирусом «Лаборатории Касперского». Для усиленной защиты мы рекомендуем последнюю версию антивируса Kaspersky Internet Security, который подходит для любых устройств, работающих на операционных системах Windows, Android и Mac.

БСМ: Какие рекомендации дает «Лаборатория Касперского» разработчикам программного обеспечения для банкоматов? На что следует обратить внимание фирмам-производителям ПО, чтобы избежать рисков, связанных с распространением более сильных аналогов Backdoor.MSIL.Tyupkin?

– После проведения расследования по новому вирусу наши специалисты разработали ряд конкретных рекомендаций для финансовых организаций, компаний, занимающихся обслуживанием банкоматов, и разработчиков ПО для банкоматов.

На наш взгляд, во избежание рисков «попадания» на банкоматные вирусы необходимо:

•           усилить физическую защиту банкоматов (важно, чтобы банкомат надежно стоял на месте – был прикреплен к стене или полу либо помещен в специальный защитный бокс);

•           установить надежную охранную сигнализацию на каждый банкомат (по данным «Лаборатории Касперского», Tyupkin заражал только банкоматы без сигнализации);

•           заменить все замки и мастер-ключи от производителя, запирающие верхние отсеки банкоматов;

•           сменить установленные по умолчанию пароли BIOS (отмечу, что разработчикам ПО следует в целом уделять больше внимания безопасности устройств: уникальные пароли BIOS должны быть сложными, состоящими не только из цифр, но и букв и спецсимволов);

•           регулярно обновлять антивирусную защиту банкоматов;

•           регулярно выполнять полную проверку файловой системы каждого банкомата;

•           регулярно проверять банкоматы на наличие сторонних устройств (скиммеров);

•           использовать только проверенные Whitelisting-продукты на банкоматах, чтобы снизить вероятность определения антивирусами чистого программного обеспечения как вредоносного и наоборот.

БСМ: В ноябре, через месяц после обнародования вами вируса «Тюпкин», в Англии был обнаружен его двойник со схожим алгоритмом работы, позволивший украсть из местных банкоматов 1,6 млн фунтов стерлингов. Кроме того, Backdoor.MSIL.Tyupkin – не первый троян для банкоматов, найденный специалистами «Лаборатории Касперского». Расскажите, пожалуйста, о предшественниках «Тюпкина».

– Да, действительно, «Тюпкин» – далеко не первый троян, нацеленный на банкоматы.

Первый вирус, нацеленный на банкоматы, был найден нами в 2009 г. Backdoor.Win32.Skimmer до сих пор обнаруживается на некоторых банкоматах. Этот троян крадет данные кредитных карт пользователей, а также умеет несанкционированно выдавать деньги.

В качестве другого интересного примера можно привести Trojan-Spy.Win32.SPSniffer, или Chupa Cabra. Этот троян, впервые замеченный нами в 2010 г. в Бразилии, работает на всех типах банкоматов. Он перехватывает данные с устройства для считывания информации с карты.

В начале 2013 г. наши специалисты имели дело с еще одним зловредом в Центральной Америке, известным как Ploutus. Этот вирус на программном уровне контролирует банкомат и выдает деньги по команде злоумышленника.

БСМ: На ваш взгляд, существует ли тенденция к увеличению киберпреступлений в ближайшей перспективе?

– Мы считаем, что в 2015 г. мир ждет рост количества атак на банкоматы и банковские системы в целом. Для получения доступа к банкоматам злоумышленники будут использовать сложные целевые атаки класса APT (Advanced Persistent Threat). Следующим этапом может стать взлом компьютерных сетей банков и использование полученного доступа для манипуляции банкоматами в режиме реального времени. Остается надеяться, что российские финансовые организации примут необходимые и своевременные меры защиты во избежание серьезных потерь денежных средств.