Jak dostat z bankomatu cizí peníze. Experti přišli na tři způsoby

aktualizováno 
Za jedinou noc vybrali útočníci z osmi bankomatů přes 800 000 dolarů. Zbyla po nich jediná stopa. Soubor s logy operací a hláškou „Sbal ty prachy, vole!“ Ta se zobrazila na displeji bankomatu při neoprávněném výdeji peněz. Odborníci z Kaspersky rozlouskli tři nové způsoby, jak vykrást bankomat.

Zachycená komunikace mezi jednotlivými komponenty bankomatu. | foto: Jan Kužník, Technet.cz

Celkem osm bankomatů jedné nejmenované ruské banky vydalo za jedinou noc 800 000 dolarů (cca 20 milionů Kč). Na tom by nebylo nic divného, kdyby ty peníze nezmizely bez vědomí banky. Ráno byly bankomaty prázdné. Po útočnících ani stopy. Žádný viditelný malware ani jeho zbytky. Nic. Vypadalo to na naprosto dokonalý útok. Na záběrech bezpečnostních kamer byl navíc pokaždé vidět jen neznámý příchozí, který se bankomatu ani nedotkl. Pouze si po chvilce čekání odebral peníze, které mu automat jakoby zázrakem nabídl.

Jak ovšem zjistila dvojice bezpečnostních expertů Sergej Golovanov a Igor Soumenkov, zase taková záhada to nebyla. Pozadí celé akce odhalili na odborné konferenci Security Analyst Summit. Minimálně v jednom přístroji totiž zbyl na harddisku malý textový soubor s označení KL.txt. Obsahoval kompletní soupis logů proběhlých operací. Mezi jinými byl i vzkaz, který se pravděpodobně objevil i na displeji bankomatu ve chvíli, kdy byly peníze připraveny k odběru: „Catch some money, bitch!“ (slušně řečeno: Seber ty prachy, vole!). Bílý kůň (experti nepředpokládají, že si pro peníze k bankomatům chodili přímo autoři útoku) se nemusel bankomatu vůbec dotknout. Peníze prostě v jednom okamžiku vyjely ven. Přesně to také zachytily bezpečnostní kamery. „Vyčistit“ jeden bankomat od peněz netrvalo déle než 20 minut.

Takto vypadal zachovaný textový soubor, který experti z Kaspersky Lab nalezli...

Takto vypadal zachovaný textový soubor, který experti z Kaspersky Lab nalezli na disku napadeného bankomatu.

Nebyl to útok, kdy útočníci zneužijí legitimní nástroje banky bez nutnosti instalovat jakýkoliv malware, který by zanechával viditelné stopy. Dovnitř instituce se však i v takových případech dostanou podobně, například phishingem nebo ke spolupráci (ať už ke vědomé nebo nevědomé) získají zaměstnance firmy jiným způsobem. Fakt, že se zachoval soubor se záznamem operací (logy) svědčil o instalaci malwaru, který se sice snažil skrýt a nezanechat stopy (například se nahrával pouze do RAM - dočasná paměť - zařízení), ale něco se při jeho odinstalaci pokazilo.

Golovanov a Soumenkov tedy vytvořili detekční YARA pravidlo, které se používá právě v případech, kdy výzkumníci potřebují odhalit dosud neznámý kód. Zpětně tak zjistili, že útočníci využili známé chyby (nezazáplatovaná zranitelnost), kterou už v únoru 2016 Kaspersky odhalil (shrnutí v angličtině) a pomocí níž tehdy hackeři infikovali více než 140 institucí včetně bank, státních a telekomunikačních úřadů po celém světě (včetně Německa, Rakouska, Íránu, Saudské Arábie, atd.).

Fotogalerie

V případě dvou napadených ruských bank využili útočníci stejný postup. Pomocí známých nástrojů PowerShell a Meterpreter ovládli počítače uvnitř bank a v registrech Windows usadili škodlivý kód. Ten tak po sobě nezanechával žádné stopy (při restartu všechny zmizely) a byl v podstatě nedetekovatelný. Tímto způsobem si hackeři odposlechli potřebná hesla a přístupy a zahájili druhou fázi útoku.

Z napadených počítačů nainstalovali do vybraných bankomatů malware zvaný ATMitch, který jim na dálku obstaral k přístrojům administrátorská práva. Kdykoliv tak skrze něj mohli na dálku vybranému bankomatu říct, aby vydal určitou část peněz. ATMitch vyhledal textový soubor commands.txt, z něj vyčetl příkaz pro zjištění množství peněz v kazetách přístroje i samotný povel k jejich finálnímu vydání. Potom originální soubor z harddisku bankomatu smazal a sentenci zaznamenal do nového souboru.

Chlap s vrtačkou

Za bílého dne stojí chlapík v montérkách u bankomatu a vrtá do něj díru vrtačkou. Pak k přístroji připojí záhadnou krabičku a za chvíli odchází s paklíkem bankovek. Říkáte si, že to se může stát jen v Rusku? Není to pravda. Příběh sice začal v této širé zemi a zřejmě odtud pochází i původní nápad na tento způsob vykrádání bankomatu, ale podobné případy podle expertů z Kaspersky zaznamenaly i banky v Evropě.

Neznámý muž vrtá díru do bankomatu, aby se dostal k ovládání stroje. Snímek z...

Neznámý muž vrtá díru do bankomatu, aby se dostal k ovládání stroje. Snímek z bezpečnostní kamery bankomatu.

Vše začalo zadržením jednoho z pachatelů, který vrtal tak nápadně, až si toho někdo všiml a zavolal policii. Při útěku stihl zničit a zahodit ono neznámé zařízení, které zřejmě chtěl k bankomatu připojit. Děravý bankomat pak putoval do podzemního parkoviště společnosti Kaspersky, kde si pánové Golovanov a Soumenkov na několik týdnů zřídili improvizovanou laboratoř. K dispozici měli pouze onen bankomat a fotografie z bezpečnostní kamery, „útočné zařízení“ se nedochovalo.

Bankomaty dokáží poplachem reagovat na naklopení nebo jiný větší pohyb, ale vrtání vykružovacím vrtákem o průměru 4 centimetry hned vedle klávesnice mu evidentně nevadí. Kromě tohoto evidentního zjištění přišli výzkumníci i na to, že jednotlivé komponenty bankomatu mezi sebou při komunikaci nepoužívají žádnou autentizaci. Jakoukoliv část lze tedy pohodlně podvrhnout jinou a zbytek stroje a tedy ani banka si v první chvíli ničeho nevšimne. Účel díry byl tedy zřejmý - tudy se chtěl útočník připojit k systému a vybrat si peníze.

Otvor s průměrem přes čtyři centimetry umožnil pachateli přístup k SDC sběrnici...

Otvor s průměrem přes čtyři centimetry umožnil pachateli přístup k SDC sběrnici a tím i k celému bankomatu.

Teď museli Golovanov a Soumenkov zjistit, pomocí jakého zařízení se dá takto přímo bankomat ovládnout. Součástky vyšly na 15 dolarů. Přesný recept pochopitelně přímo nesdělili. Cesta vedla přes desetipinový konektor, přes který se dalo spojit jak s interním počítačem, tak ovládáním výdejníku hotovosti.

Obyčejná bluetooth klávesnice

Posledním z trojice případů, se kterými se Golovanov se Soumenkovem v roce 2016 setkali, byl svým způsobem nejtriviálnější. Banka jim dodala bankomat, který kdosi vykradl neznámo jak.

Igor Soumenkov shrnuje, jak jednoduše vybrat peníze z bankomatu pomocí...

Igor Soumenkov shrnuje, jak jednoduše vybrat peníze z bankomatu pomocí „zapomenutého“ donglíku od Bluetoothové klávesnice.

Kamery nic nezjistily, protože je pachatel všechny důkladně přelepil páskou (bankomat obvykle není vybaven jen jednou kamerou, ale hned několika a další jsou i v jeho okolí).

Na první pohled to byla záhada, protože po nějakém malwaru nebylo ani stopy. Při rozebírání přístroje však experti našli v servisním modulu (v USB hubu) připojený jakýsi USB dongl. Z něj se nakonec vyklubala součást bezdrátové klávesnice. Pachateli tak stačilo sednout si do parku poblíž bankomatu, přes klávesnici spustit servisní mód a pak už si jen dojít vybrat požadovanou částku. Aby nebyl odhalen, připojil USB dongl několik měsíců dopředu a použil jej až ve chvíli, kdy byly všechny servisní logy (záznamy) automaticky smazány.

Autor:


Nejčtenější

Afrika do Evropy narazí, shodují se vědci. Budoucnost však zůstává záhadou

Předpověď budoucího pohybu kontinentů Christophera Scoteseho.

Zatímco rekonstrukce minulosti pohybu kontinentů je skutečná věda, jejich predikce je spíše koníček či spekulace....

Jeho fotky jsou až neskutečně nádherné. Podívejte se, jak vznikají

Kalendář 43. výsadkového praporu - Nic nepotěší potápěče průzkumného týmu po...

Jeho fotky výsadkářů z Chrudimi viděl téměř každý. Vypadají jako vystřižené z toho nejdražšího hollywoodského akčního...



Sedm častých lží, mýtů a omylů o přechodu na nové televizní vysílání

V roce 2020 budou mít sběrné dvory napilno.

Mnoho lidí se v blížící se změně vysílacího standardu neorientuje, a tak se snadno může klamavou nabídkou či...

Podívejte se, kdy vám vypnou současné televizní vysílání a co s tím udělat

Nelamte si s DVB-T2 hlavu. Vše podstatné se dozvíte níže.

Současné pozemní digitální televizní vysílání má před sebou poslední měsíce života. První vysílače budou vypnuty již...

Start lodě Sojuz MS-10 se nezdařil, modul s posádkou nouzově přistál

Start Sojuzu MS-10 z Bajkonuru 11. října 2018.

Čtvrteční start lodě Sojuz MS-10 z kosmodromu Bajkonur v Kazachstánu se nezdařil. Kvůli závadě na nosné raketě Sojuz...

Další z rubriky

Bydlení jako v garáži i ikonická prodejna Applu. Co v Praze nenajdete

Čaj, na který zájemci čekají více než hodinu, pohyblivá reklama v tunelech...

Čaj, na který zájemci čekají více než hodinu, pohyblivá reklama v tunelech metra s mobilním signálem, automatizované...

Na papíře skvělá, v reálu však není autokamera A5 Pro WiFi žádná sláva

Kamera TrueCam A5 Pro Wifi

Nad počínáním některých řidičů zůstává rozum stát a záznam z palubní kamery může být rozhodujícím důkazem při...

Armáda služebníků od LG pomůže s nákupem, odnese kufry a ukáže cestu

Nývlt Václav: LG CLOi

Některé již jezdí po světě, jiné na první úkoly teprve čekají. Centrální část stánku společnosti LG na veletrhu IFA...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!



Najdete na iDNES.cz