Symantec обнаружила новую разновидность вредоносной программы для банкоматов Backdoor.Ploutus.B, которая позволяет злоумышленникам удаленно контролировать банкомат при помощи подключенного к нему мобильного телефона
Подключив телефон к банкомату и заразив его вирусом, злоумышленники получают возможность отправлять на этот телефон SMS-сообщения с кодами команд. Получая такое сообщение, телефон преобразует команду в сетевой пакет и по USB-кабелю передает банкомату, заставляя выдавать наличные деньги, сообщает «CyberSecurity».
В адрес компаний и частных пользователей все чаще доносятся призывы перейти с Windows XP на более новую версию этой операционной системы — если не ради расширенного функционала, то хотя бы ради более надежной системы защиты и лучшей технической поддержки. Банкоматы — это, по сути, компьютеры, контролирующие доступ к наличным деньгам. И оказывается, что почти 95% всех банкоматов находятся под управлением Windows XP. В свете того, что официальная поддержка Windows XP прекратится 8 апреля 2014 года, банковская отрасль стоит перед угрозой кибератак на свои «парки» банкоматов. И этот риск совсем не гипотетический — это уже происходит. Злоумышленники атакуют банкоматы, используя все более изощренные методы.
В конце 2013 года специалисты Symantec сообщали о том, что в Мексике была обнаружена новая вредоносная программа для банкоматов, которая давала злоумышленникам возможность при помощи внешней клавиатуры заставлять банкомат выдавать наличные деньги. Эта угроза была названа Backdoor.Ploutus. Несколько недель спустя эксперты компании обнаружили ее новую разновидность, которая уже могла похвастаться модульной архитектурой. Эта новая версия была переведена на английский язык, что наводило на мысль о том, что злоумышленники решили начать осваивать новые территории. Эта новая разновидность была названа Backdoor.Ploutus.B ― далее просто Ploutus.
Интересная особенность нового варианта Ploutus состоит в том, что он давал злоумышленникам возможность отправлять на зараженный банкомат SMS-сообщение, а затем просто подходить к нему и забирать вылезающие из него деньги. Это может показаться невероятным, но такая технология на данный момент применяется в ряде мест во всем мире.
Злоумышленники могут удаленно контролировать банкоматы при помощи мобильного телефона, который подключен к «начинке» банкомата. Существует множество способов это сделать. Самый распространенный ― активация в телефоне режима точки доступа и подключение его к банкомату по USB-кабелю.
Злоумышленники должны правильно настроить телефон, подключить его к банкомату и заразить банкомат вирусом Ploutus. При выполнении этих шагов между банкоматом и телефоном устанавливается полноценная двухсторонняя связь и можно начинать приступать к изыманию денег.
Поскольку телефон подключен к банкомату через USB-порт, он постоянно находится на зарядке, а значит, может работать на протяжении неопределенного срока.
Подключив телефон к банкомату, злоумышленники получают возможность отправлять на этот телефон SMS-сообщения с кодами команд. Получая такое сообщение, телефон распознает его как команду, преобразует в сетевой пакет и по USB-кабелю передает банкомату.
Одним из модулей вредоносной программы является анализатор сетевых пакетов ― программа, которая отслеживает весь сетевой трафик, идущий на банкомат. Как только зараженный банкомат получает от телефона корректный TCP- или UDP-пакет, этот модуль его анализирует — ищет последовательность 5449610000583686 в определенной части пакета, а затем, найдя искомую последовательность, модуль считывает следующие 16 цифр, из которых и строит команду для запуска Ploutus. Например, такая команда может выглядеть следующим образом:
cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985
В более ранних версиях Ploutus злоумышленнику приходилось бы сообщать этот код «курьеру», забирающему деньги. Таким образом последний мог бы понять, как работает система, и обманывать вирусописателя. В данной версии Ploutus курьер никогда не видит этих 16 цифр, что обеспечивает дополнительную безопасность для вирусописателя и позволяет централизованным образом контролировать забор денег. Код действует в течение 24 часов.
Использование SMS-сообщений для удаленного управления банкоматами ― это намного более удобный метод для всех участников преступной схемы, потому что она дискретна и работает практически без проволочек. Главный преступник всегда точно знает, сколько денег получит курьер, и курьеру не нужно длительное время слоняться вокруг банкомата в ожидании, когда же выйдут деньги. Руководитель и курьер могут синхронизировать свои действия таким образом, чтобы деньги выходили из банкомата именно в тот момент, когда курьер проходит мимо банкомата или делает вид, что хочет снять наличность.