Jak dostat z bankomatu cizí peníze. Experti přišli na tři způsoby

Za jedinou noc vybrali útočníci z osmi bankomatů přes 800 000 dolarů. Zbyla po nich jediná stopa. Soubor s logy operací a hláškou „Sbal ty prachy, vole!“ Ta se zobrazila na displeji bankomatu při neoprávněném výdeji peněz. Odborníci z Kaspersky rozlouskli tři nové způsoby, jak vykrást bankomat.
Zachycená komunikace mezi jednotlivými komponenty bankomatu.

Zachycená komunikace mezi jednotlivými komponenty bankomatu. | foto: Jan Kužník, Technet.cz

Celkem osm bankomatů jedné nejmenované ruské banky vydalo za jedinou noc 800 000 dolarů (cca 20 milionů Kč). Na tom by nebylo nic divného, kdyby ty peníze nezmizely bez vědomí banky. Ráno byly bankomaty prázdné. Po útočnících ani stopy. Žádný viditelný malware ani jeho zbytky. Nic. Vypadalo to na naprosto dokonalý útok. Na záběrech bezpečnostních kamer byl navíc pokaždé vidět jen neznámý příchozí, který se bankomatu ani nedotkl. Pouze si po chvilce čekání odebral peníze, které mu automat jakoby zázrakem nabídl.

Jak ovšem zjistila dvojice bezpečnostních expertů Sergej Golovanov a Igor Soumenkov, zase taková záhada to nebyla. Pozadí celé akce odhalili na odborné konferenci Security Analyst Summit. Minimálně v jednom přístroji totiž zbyl na harddisku malý textový soubor s označení KL.txt. Obsahoval kompletní soupis logů proběhlých operací. Mezi jinými byl i vzkaz, který se pravděpodobně objevil i na displeji bankomatu ve chvíli, kdy byly peníze připraveny k odběru: „Catch some money, bitch!“ (slušně řečeno: Seber ty prachy, vole!). Bílý kůň (experti nepředpokládají, že si pro peníze k bankomatům chodili přímo autoři útoku) se nemusel bankomatu vůbec dotknout. Peníze prostě v jednom okamžiku vyjely ven. Přesně to také zachytily bezpečnostní kamery. „Vyčistit“ jeden bankomat od peněz netrvalo déle než 20 minut.

Takto vypadal zachovaný textový soubor, který experti z Kaspersky Lab nalezli na disku napadeného bankomatu.

Nebyl to útok, kdy útočníci zneužijí legitimní nástroje banky bez nutnosti instalovat jakýkoliv malware, který by zanechával viditelné stopy. Dovnitř instituce se však i v takových případech dostanou podobně, například phishingem nebo ke spolupráci (ať už ke vědomé nebo nevědomé) získají zaměstnance firmy jiným způsobem. Fakt, že se zachoval soubor se záznamem operací (logy) svědčil o instalaci malwaru, který se sice snažil skrýt a nezanechat stopy (například se nahrával pouze do RAM - dočasná paměť - zařízení), ale něco se při jeho odinstalaci pokazilo.

Golovanov a Soumenkov tedy vytvořili detekční YARA pravidlo, které se používá právě v případech, kdy výzkumníci potřebují odhalit dosud neznámý kód. Zpětně tak zjistili, že útočníci využili známé chyby (nezazáplatovaná zranitelnost), kterou už v únoru 2016 Kaspersky odhalil (shrnutí v angličtině) a pomocí níž tehdy hackeři infikovali více než 140 institucí včetně bank, státních a telekomunikačních úřadů po celém světě (včetně Německa, Rakouska, Íránu, Saudské Arábie, atd.).

V případě dvou napadených ruských bank využili útočníci stejný postup. Pomocí známých nástrojů PowerShell a Meterpreter ovládli počítače uvnitř bank a v registrech Windows usadili škodlivý kód. Ten tak po sobě nezanechával žádné stopy (při restartu všechny zmizely) a byl v podstatě nedetekovatelný. Tímto způsobem si hackeři odposlechli potřebná hesla a přístupy a zahájili druhou fázi útoku.

Z napadených počítačů nainstalovali do vybraných bankomatů malware zvaný ATMitch, který jim na dálku obstaral k přístrojům administrátorská práva. Kdykoliv tak skrze něj mohli na dálku vybranému bankomatu říct, aby vydal určitou část peněz. ATMitch vyhledal textový soubor commands.txt, z něj vyčetl příkaz pro zjištění množství peněz v kazetách přístroje i samotný povel k jejich finálnímu vydání. Potom originální soubor z harddisku bankomatu smazal a sentenci zaznamenal do nového souboru.

Chlap s vrtačkou

Za bílého dne stojí chlapík v montérkách u bankomatu a vrtá do něj díru vrtačkou. Pak k přístroji připojí záhadnou krabičku a za chvíli odchází s paklíkem bankovek. Říkáte si, že to se může stát jen v Rusku? Není to pravda. Příběh sice začal v této širé zemi a zřejmě odtud pochází i původní nápad na tento způsob vykrádání bankomatu, ale podobné případy podle expertů z Kaspersky zaznamenaly i banky v Evropě.

Neznámý muž vrtá díru do bankomatu, aby se dostal k ovládání stroje. Snímek z bezpečnostní kamery bankomatu.

Vše začalo zadržením jednoho z pachatelů, který vrtal tak nápadně, až si toho někdo všiml a zavolal policii. Při útěku stihl zničit a zahodit ono neznámé zařízení, které zřejmě chtěl k bankomatu připojit. Děravý bankomat pak putoval do podzemního parkoviště společnosti Kaspersky, kde si pánové Golovanov a Soumenkov na několik týdnů zřídili improvizovanou laboratoř. K dispozici měli pouze onen bankomat a fotografie z bezpečnostní kamery, „útočné zařízení“ se nedochovalo.

Bankomaty dokáží poplachem reagovat na naklopení nebo jiný větší pohyb, ale vrtání vykružovacím vrtákem o průměru 4 centimetry hned vedle klávesnice mu evidentně nevadí. Kromě tohoto evidentního zjištění přišli výzkumníci i na to, že jednotlivé komponenty bankomatu mezi sebou při komunikaci nepoužívají žádnou autentizaci. Jakoukoliv část lze tedy pohodlně podvrhnout jinou a zbytek stroje a tedy ani banka si v první chvíli ničeho nevšimne. Účel díry byl tedy zřejmý - tudy se chtěl útočník připojit k systému a vybrat si peníze.

Otvor s průměrem přes čtyři centimetry umožnil pachateli přístup k SDC sběrnici a tím i k celému bankomatu.

Teď museli Golovanov a Soumenkov zjistit, pomocí jakého zařízení se dá takto přímo bankomat ovládnout. Součástky vyšly na 15 dolarů. Přesný recept pochopitelně přímo nesdělili. Cesta vedla přes desetipinový konektor, přes který se dalo spojit jak s interním počítačem, tak ovládáním výdejníku hotovosti.

Obyčejná bluetooth klávesnice

Posledním z trojice případů, se kterými se Golovanov se Soumenkovem v roce 2016 setkali, byl svým způsobem nejtriviálnější. Banka jim dodala bankomat, který kdosi vykradl neznámo jak.

Igor Soumenkov shrnuje, jak jednoduše vybrat peníze z bankomatu pomocí „zapomenutého“ donglíku od Bluetoothové klávesnice.

Kamery nic nezjistily, protože je pachatel všechny důkladně přelepil páskou (bankomat obvykle není vybaven jen jednou kamerou, ale hned několika a další jsou i v jeho okolí).

Na první pohled to byla záhada, protože po nějakém malwaru nebylo ani stopy. Při rozebírání přístroje však experti našli v servisním modulu (v USB hubu) připojený jakýsi USB dongl. Z něj se nakonec vyklubala součást bezdrátové klávesnice. Pachateli tak stačilo sednout si do parku poblíž bankomatu, přes klávesnici spustit servisní mód a pak už si jen dojít vybrat požadovanou částku. Aby nebyl odhalen, připojil USB dongl několik měsíců dopředu a použil jej až ve chvíli, kdy byly všechny servisní logy (záznamy) automaticky smazány.

Autor:
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 44 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 21 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi je 1 příspěvek

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi jsou 4 příspěvky

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 21 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...