Специалисты «Лаборатории Касперского» рассказали о наборе утилит KoffeyMaker, который не содержит фактической малвари и позволяет грабить банкоматы.
Исследователи рассказывают, что невзирая на установленные повсеместно видеокамеры и прочие риски, атаки типа black box (то есть атаки на банкоматы с использованием прямого подключения) по-прежнему весьма популярны. Можно предположить, что основной причиной этого являются низкие требования к квалификации грабителя – на специализированных сайтах можно найти как нужные инструменты, так и инструкции по их применению.
Такие атаки, объединенные инструментарием под условным названием KoffeyMaker, специалисты «Лаборатории Касперского» расследовали в 2017-2018 годах, когда несколько восточноевропейских банков обратились к компании за помощью в расследовании: преступники быстро и практически беспрепятственно опустошали их банкоматы.
Вскоре специалистам стало ясно, что они имеют дело с black box: злоумышленник вскрывал банкомат, подключал диспенсер к своему ноутбуку, закрывал банкомат и покидал место преступления, оставив устройство внутри. Дальнейшее расследование показало, что в качестве «орудия преступления» выступал ноутбук с установленными драйверами для диспенсера банкомата и пропатченной утилитой KDIAG; для организации удаленного доступа к нему был подключен USB GPRS модем. В качестве ОС использовалась Windows, скорее всего, версии XP, ME или 7 для лучшей совместимости с драйверами.
Дальше ситуация развивалась по стандартному сценарию: в условленное время злоумышленник возвращался и имитировал работу с банкоматом, тогда как его сообщник удаленно подключался к спрятанному ноутбуку, запускал KDIAG и отдавал диспенсеру команду на выдачу банкнот. После этого преступник забирал деньги, а затем и ноутбук.
Всю операцию вполне мог реализовать и один человек, однако более распространенной оказалась партнерская схема, в которой один участник является «мулом» и работает непосредственно с деньгами и банкоматом, а второй за долю от награбленного обеспечивает техническое сопровождение операции. Исследователи подчеркивают, что добыча с одного банкомата может исчисляться десятками тысяч долларов, а помешать осуществлению такой атаки может только hardware-шифрование данных на участке «диспенсер – ATM PC».
Аналитики пишут, что в целом атаки с использованием KoffeyMaker напоминают метод Cutlet Maker, описанный в прошлом году (за исключением использованного ПО). Специалистам «Лаборатории Касперского» удалось воспроизвести все стадии атаки KoffeyMaker в тестовой лаборатории. Необходимые для этого инструменты тоже нашлись без труда — для осуществления атаки использовались легитимные программы, за исключением пропатченного KDIAG, который продукты «Лаборатории Касперского» детектируют как RiskTool.Win32.DIAGK.a. Отмечается, что ранее той же самой версией этой программы пользовались члены известной хак-группы Carbanak.
Фото: "Лаборатория Касперского"
