Celkem osm bankomatů jedné nejmenované ruské banky vydalo za jedinou noc 800 000 dolarů (cca 20 milionů Kč). Na tom by nebylo nic divného, kdyby ty peníze nezmizely bez vědomí banky. Ráno byly bankomaty prázdné. Po útočnících ani stopy. Žádný viditelný malware ani jeho zbytky. Nic. Vypadalo to na naprosto dokonalý útok. Na záběrech bezpečnostních kamer byl navíc pokaždé vidět jen neznámý příchozí, který se bankomatu ani nedotkl. Pouze si po chvilce čekání odebral peníze, které mu automat jakoby zázrakem nabídl.
Jak ovšem zjistila dvojice bezpečnostních expertů Sergej Golovanov a Igor Soumenkov, zase taková záhada to nebyla. Pozadí celé akce odhalili na odborné konferenci Security Analyst Summit. Minimálně v jednom přístroji totiž zbyl na harddisku malý textový soubor s označení KL.txt. Obsahoval kompletní soupis logů proběhlých operací. Mezi jinými byl i vzkaz, který se pravděpodobně objevil i na displeji bankomatu ve chvíli, kdy byly peníze připraveny k odběru: „Catch some money, bitch!“ (slušně řečeno: Seber ty prachy, vole!). Bílý kůň (experti nepředpokládají, že si pro peníze k bankomatům chodili přímo autoři útoku) se nemusel bankomatu vůbec dotknout. Peníze prostě v jednom okamžiku vyjely ven. Přesně to také zachytily bezpečnostní kamery. „Vyčistit“ jeden bankomat od peněz netrvalo déle než 20 minut.
Takto vypadal zachovaný textový soubor, který experti z Kaspersky Lab nalezli na disku napadeného bankomatu.
Nebyl to útok, kdy útočníci zneužijí legitimní nástroje banky bez nutnosti instalovat jakýkoliv malware, který by zanechával viditelné stopy. Dovnitř instituce se však i v takových případech dostanou podobně, například phishingem nebo ke spolupráci (ať už ke vědomé nebo nevědomé) získají zaměstnance firmy jiným způsobem. Fakt, že se zachoval soubor se záznamem operací (logy) svědčil o instalaci malwaru, který se sice snažil skrýt a nezanechat stopy (například se nahrával pouze do RAM - dočasná paměť - zařízení), ale něco se při jeho odinstalaci pokazilo.
Golovanov a Soumenkov tedy vytvořili detekční YARA pravidlo, které se používá právě v případech, kdy výzkumníci potřebují odhalit dosud neznámý kód. Zpětně tak zjistili, že útočníci využili známé chyby (nezazáplatovaná zranitelnost), kterou už v únoru 2016 Kaspersky odhalil (shrnutí v angličtině) a pomocí níž tehdy hackeři infikovali více než 140 institucí včetně bank, státních a telekomunikačních úřadů po celém světě (včetně Německa, Rakouska, Íránu, Saudské Arábie, atd.).
V případě dvou napadených ruských bank využili útočníci stejný postup. Pomocí známých nástrojů PowerShell a Meterpreter ovládli počítače uvnitř bank a v registrech Windows usadili škodlivý kód. Ten tak po sobě nezanechával žádné stopy (při restartu všechny zmizely) a byl v podstatě nedetekovatelný. Tímto způsobem si hackeři odposlechli potřebná hesla a přístupy a zahájili druhou fázi útoku.
Z napadených počítačů nainstalovali do vybraných bankomatů malware zvaný ATMitch, který jim na dálku obstaral k přístrojům administrátorská práva. Kdykoliv tak skrze něj mohli na dálku vybranému bankomatu říct, aby vydal určitou část peněz. ATMitch vyhledal textový soubor commands.txt, z něj vyčetl příkaz pro zjištění množství peněz v kazetách přístroje i samotný povel k jejich finálnímu vydání. Potom originální soubor z harddisku bankomatu smazal a sentenci zaznamenal do nového souboru.
Chlap s vrtačkou
Za bílého dne stojí chlapík v montérkách u bankomatu a vrtá do něj díru vrtačkou. Pak k přístroji připojí záhadnou krabičku a za chvíli odchází s paklíkem bankovek. Říkáte si, že to se může stát jen v Rusku? Není to pravda. Příběh sice začal v této širé zemi a zřejmě odtud pochází i původní nápad na tento způsob vykrádání bankomatu, ale podobné případy podle expertů z Kaspersky zaznamenaly i banky v Evropě.
Neznámý muž vrtá díru do bankomatu, aby se dostal k ovládání stroje. Snímek z bezpečnostní kamery bankomatu.
Vše začalo zadržením jednoho z pachatelů, který vrtal tak nápadně, až si toho někdo všiml a zavolal policii. Při útěku stihl zničit a zahodit ono neznámé zařízení, které zřejmě chtěl k bankomatu připojit. Děravý bankomat pak putoval do podzemního parkoviště společnosti Kaspersky, kde si pánové Golovanov a Soumenkov na několik týdnů zřídili improvizovanou laboratoř. K dispozici měli pouze onen bankomat a fotografie z bezpečnostní kamery, „útočné zařízení“ se nedochovalo.
Bankomaty dokáží poplachem reagovat na naklopení nebo jiný větší pohyb, ale vrtání vykružovacím vrtákem o průměru 4 centimetry hned vedle klávesnice mu evidentně nevadí. Kromě tohoto evidentního zjištění přišli výzkumníci i na to, že jednotlivé komponenty bankomatu mezi sebou při komunikaci nepoužívají žádnou autentizaci. Jakoukoliv část lze tedy pohodlně podvrhnout jinou a zbytek stroje a tedy ani banka si v první chvíli ničeho nevšimne. Účel díry byl tedy zřejmý - tudy se chtěl útočník připojit k systému a vybrat si peníze.
Otvor s průměrem přes čtyři centimetry umožnil pachateli přístup k SDC sběrnici a tím i k celému bankomatu.
Teď museli Golovanov a Soumenkov zjistit, pomocí jakého zařízení se dá takto přímo bankomat ovládnout. Součástky vyšly na 15 dolarů. Přesný recept pochopitelně přímo nesdělili. Cesta vedla přes desetipinový konektor, přes který se dalo spojit jak s interním počítačem, tak ovládáním výdejníku hotovosti.
Obyčejná bluetooth klávesnice
Posledním z trojice případů, se kterými se Golovanov se Soumenkovem v roce 2016 setkali, byl svým způsobem nejtriviálnější. Banka jim dodala bankomat, který kdosi vykradl neznámo jak.
Igor Soumenkov shrnuje, jak jednoduše vybrat peníze z bankomatu pomocí „zapomenutého“ donglíku od Bluetoothové klávesnice.
Kamery nic nezjistily, protože je pachatel všechny důkladně přelepil páskou (bankomat obvykle není vybaven jen jednou kamerou, ale hned několika a další jsou i v jeho okolí).
Na první pohled to byla záhada, protože po nějakém malwaru nebylo ani stopy. Při rozebírání přístroje však experti našli v servisním modulu (v USB hubu) připojený jakýsi USB dongl. Z něj se nakonec vyklubala součást bezdrátové klávesnice. Pachateli tak stačilo sednout si do parku poblíž bankomatu, přes klávesnici spustit servisní mód a pak už si jen dojít vybrat požadovanou částku. Aby nebyl odhalen, připojil USB dongl několik měsíců dopředu a použil jej až ve chvíli, kdy byly všechny servisní logy (záznamy) automaticky smazány.
