Умный банковский троян позволяет снимать почти неограниченное количество денег в банкоматах



    «Лаборатория Касперского» обнаружила и проанализировала интересное зловредное ПО, которое нацелено на банки и банковские сети. Это целый программный комплекс, состоящий примерно из 30 различных модулей, способных долгое время находиться в банковской сети незамеченными. Называется система Metel (есть и другое название — Corkow). Само программное обеспечение — не новинка, но сейчас «Лаборатория Касперского» сделала ряд презентаций по этой теме. Один из наиболее интересных объектов для изучения — как раз Metel.

    Один из ее модулей занимается тем, что программно «откатывает» последние выполненные транзакции по банкоматам. Таким образом, злоумышленники с картой скомпрометированного банка могут снимать практически неограниченные суммы денег из банкоматов, принадлежащих другим банкам. Сумма снятия зависит только от количества налички в системе. И поскольку модуль постоянно возвращает баланс карты к исходному значению, лимит злоумышленники не превышают, и система не блокирует карточку.

    В прошлом году подобная схема помогла злоумышленникам снять в России миллионы рублей за одну ночь. Способ проникновения Metel в сети банков простой и обычный — сотрудников банка тем либо иным образом стимулируют открыть сайт, распространяющий загрузочный модуль malware. При открытии зараженного файла троян проникает в систему банка. Далее представители группировки, разработавшей Metel, занимаются исследованием сети и компрометированием других ПК в сети банка-жертвы. Часто используется и социальный инжиниринг, об этом компания рассказала в своем блоге.


    Изображение: Kaspersky Lab

    При помощи этого же malware хакерам удалось значительно увеличить волатильность курса рубля в феврале 2015 года, о чем уже сообщалось на Geektimes.

    Сложность программного обеспечения, используемого злоумышленниками, постоянно увеличивается. Взломщики используют множество техник, приемов и разновидностей ПО для достижения цели.

    «Лаборатория Касперского» рассказала и о других примерах атак, нацеленных на финансовые институты:

    • Группа GCMAN, получившая свое прозвище из-за того, что для создания своего ПО она использует компилятор GCC. Как и в случае с «Метелью», члены группы начинают атаку на банк со специально подготовленных писем, для инфицирования банковских сетей. После этого используются обычные инструменты вроде Putty, VNC, Meterpreter для расширения доступа. В одном из известных случаев у членов группы доступ к сети банка сохранялся около 18 месяцев, и группа только после этого сняла какие-то средства. После начала работы скриптов началась перекачка средств в размере около $200 в минуту (использовалось специальное замедление, чтобы системы банка не среагировали на слишком быстрое снятие средств). Средства переводились на счет подставного человека, который и должен был снимать деньги.
    • Система Carbanak 2.0, malware, использовавшееся для получения доступа злоумышленников к финансовой организации. После этого в системе была добавлена информация о владельцах компании. Добавленные лица были подставными — как и в предыдущем случае, эти люди снимали средства со счетов. Проблем со снятием денег у «владельцев» финансовой организации никаких не было.


    Сейчас все эти группы и системы активны, и продолжают работать. Как сообщалось ранее, только при помощи Corkow в России инфицированы сети 250 финансовых организаций и бизнес-компаний. Сколько жертв на самом деле, никто не знает.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 31

      +3
      «сотрудников банка тем либо иным образом стимулируют открыть сайт, распространяющий загрузочный модуль malware.»
      мне казалось, что из внутренних сетей банка, сотрудникам нельзя ходить в интернет
        +3
        не всем, например секретарю (помошнику директора, самому директору и прочим «высококвалифицированным кадрам») по специфике работы надо иметь (можно иметь) доступ в интернет с рабочего компа, разумеется через прокси с блокировщиками VK (хе хе).
        Ну и исходя из вышесказанного все сотрудники, имеющие доступ в интернет успешно ломятся в ВК, набирая в яндексе/гугле «анонимайзер ВК». =)
          +1
          Это сильно от банка зависит. Точнее, от ее службы информационной безопасности.
          У нас только для операционистов были «белые списки» сайтов. Бухгалтерия же по долгу службы имела доступ. Как и IT, и директорат. Антивирус и прокси были, да.
            +2
            Ой, ну бухгалтерия одна уже достаточна для того чтобы дел натворить. Как работавший немало с бухгалтерами в качестве программиста 1С скажу. Они особенно то не рубят в технологиях и нажать установить могут все что угодно. Даже если они неплохо шарят и весьма осторожны — обвести при желании можно только так. Кто из ваших бухгалтеров смотрит в адресную строку когда логинится в каком нибудь сервисе? Я не уверен что вы сами это делаете (как впрочем и я не всегда могу это заметить).

            Я думаю правильным решением для такой ситуации, а также любых мест, где важна информационная безопасность — тщательное и кропотливое планирование зон безопасности для разных рабочих мест. Понятное дело что сие требует квалификации, времени, что упирается в хорошие деньги, на которые мало кто считает нужным раскошелиться. Так же это нередко упирается в то, что будет определенный уровень дискомфорта, т.к. у директора например не будет доступ ко всему только потому что он директор.

            Да о чем мы говорим. Мы живем во время, когда не только к компаниям, к странам получают доступ за счет взлома компов работников высоких должностей (Меркель, Хилари Клинтон).
              +2
              Так же это нередко упирается в то, что будет определенный уровень дискомфорта, т.к. у директора например не будет доступ ко всему только потому что он директор.

              Именно! Попробуй докажи главбуху, что она не должна лазить по сайтам и открывать вложения с «очень важными актами», в которых шифровальщики и трояны лежат. Будешь долго доказывать, потом премии лишаться, а человека не переубедишь.
              Тут же как: 80% безопасности — это административные меры и только 20% — технические.
            0
            Ну есть еще вариант когда весь доступ к Интернету для людей осуществляется через терминальный сервер где предоставляется интернет, а на самих рабочих местах нету Интернета.

            Но как писали — некоторые лица Выше этого. Плюс остаются носимые устроиства руководства и других сотрудников которые должны работать как на рабочих местах, так и вне рабочей сети.

            И другие возможости получить заразу во внутреннюю сеть наверника остаются.
            +9
            К черту подробности, где исходники и инструкция по заражению? :)
              +3
              «К черту подробности» «где исходники и инструкция по заражению».
              Не противоречьте сами себе — мозг перезагрузился на Вашем комментарии)
                0
                упс, погорячился) На счет подробностей имел в виду те абзацы про лабу касперского и прочее неважное )
                p.s. минус не мой
                +1
                У злоумышленника.
                  +2
                  Вы уже на пятерочку наспрашивали
                    +3
                    ну так там еще злой умысел доказать надо. Может, я из СБ банка и хочу защититься
                    +1
                    У Вас иммунитет к терморектальному криптоанализу?
                      +2
                      А лучше дайте список скомпрометированных банкоматов.
                      +2
                      «Таким образом, злоумышленники с картой скомпрометированного банка могут снимать практически неограниченные суммы денег из банкоматов, принадлежащих другим банкам.» — кто бы объяснил необходимость нескопроментированного банка(банков)

                      понравилось в источнике
                      They penetrated the devices of HR and accounting specialists and then waited until the system administrator logs into the system. Sometimes they moved the process along by crashing Microsoft Word or 1C (a program used for accounting that is very popular in Russia). As the user called for help and the system administrator came to solve the problem, criminals would steal the admin’s password.
                        0
                        кто бы объяснил необходимость нескопроментированного банка
                        Возможно, проще внедриться в процедуру отката внешней транзакции, чем внутренней.
                          0
                          Взаимодействие банков происходит намного сложнее чем взаимодействие банка и его банкомата. Таким образом злоумышленники дольше остаются не замеченными и системы безопасности на них не реагируют. Я думаю это основная причина.
                            0
                            Я бы сказал наоборот, взаимодействия между банками намного проще чем банка с его банкоматами, развернутый ответ внизу.
                          +1
                          Note: «1C» is pronounced as «Odin ass».
                          0
                          Эти люди (разработчики вирусов) должны знать какое ПО стоит в банке и как оно работает, чтобы совершать какие-то действия. Значит ли это, что все банки используют одинаковый софт?

                          Может кто-нибудь напишет статью, как вообще с точки зрения технологий организованна работа банка, было бы интересно.
                            0
                            Большинство основного банковского ПО покупается банками, выбор не очень большой. И это ПО допиливается разработчиками по заявкам банка и допиливается самим банком.
                            Только некоторые пишут полностью свое, типа Сбера.
                              0
                              У сбера не свои процессинговые системы, тоже от вендоров. OpenWay и вроде BPC.
                            0
                            Всего в России несколько крупных интеграторов, софт пишется на Java EE у всех включая Сбер. Только вот подходы разные. Работал в одном таком, вспоминать не хочется.
                              0
                              Каким образом связана банковская сеть и банкоматы? Банкоматы «сидят» в своей сети, у них даже нет выхода в интернет, только к процессингу ( к конкретному IP).
                              Но банковская сеть и процессинг — две разные структуры, зачастую даже в разных концах города, между собой не связанных. Как вирус из компьютера секретарши может попасть в процессинг, а потом в банкомат?

                              Проще банкомат заразить. Или инсайдера в процессинге найти. Потому что, чтобы откатить транзакцию, нужно сообщить об этом процессингу. В процессинге будут видны транзакции с отменой. Частые транзакции с отменой привлекают внимание.
                                0
                                Между процессингом и банкоматом есть свое API, которое более чем вероятно имеет свои уязвимости и может даже позволяет удаленно выполнять код. Думаю вариантов может быть более чем предостаточно.
                                +1
                                «могут снимать практически неограниченные суммы денег из банкоматов, принадлежащих другим банкам»

                                Принцип работы кроется в этой фразе, сейчас объясню:

                                Заходить со стороны общения с банкоматамив рамках одного банка — это достаточно сложно: мало того что есть много протоколов обмена, многие процессинговые системы еще и ведут учет счетчиков кассет с наличностью на банкомате, а инкасаторы их в свою очередь сверяют, подвох был бы замечен достаточно быстро.

                                Но, у всех процессинговых систем есть одна общая точка входа — каналы платежных систем, общение по этом каналам никак не шифруется и происходит по протоколу ISO8583. Когда вы снимаете деньги в банкомате, проходит авторизация — сообщение 0100, в котором ваш банк эмитент проверяет пин блок, средства на вашем счету и т.п. Если банкомат по каким-то причинам не получил ответ от вашего банка, или же не смог выдать наличность (застряло в кассете, не открылась шторка, выключилось питание..), то автоматически инициируется процедура отката — сообщение 0420 (reversal advice).

                                Распознать операцию с банкомата достаточно просто, у них в авторизациях стоит MCC (Merchant Category Code) 6011, соответственно если как-то встать между процессинговой системой банка и платежной системой, можно отловить снятие наличных, и послать в процессинговую систему эмитента сообщение об отмене, таким образом банк эмитент считает что операция была отменена, а банк обслуживающий банкомат напротив думает что с клиента были сняты деньги.

                                Но процедура реального расчета между банками проходит позже… у Visa авторизации с банкомата сразу считаются финансовыми и не требуют подтверждения, а например у MasterCard ожидается клиринг, который может прийти через несколько дней. Вот в этот период карточка злоумышленника практически безлимитна, но как только придет клиринг она уйдет в технический овердрафт.
                                  0
                                  Только не 0100(авторизация требующая последующего клиринга) а 0200(фин. сообщение влияющее на баланс счета мгновенно).
                                  Банкомат работает безо всяких авторизаций. Там принцип немного другой SMS (Single message system). Тогда как 0100 это часть DMS.
                                  И первый нолик в сообщении — это версия протокола. В вашем примере ISO 8583-87 года. Сейчас более популярна всё-таки вторая и третьи ревизии 93 и 2003 годов соответственно.
                                    0
                                    Про 0200 верно, правда SMS обязателен как раз только у визы. А чтобы где-то использовали 1*** 2*** сообщения я ни разу не видел, ни в общении с платежками, ни по меж-хосту, ни на POS-ах.
                                      0
                                      А у мастера в банк эмитент прилетает все та же сотка, и в их подобии SMS все равно на стороне МПС она разбивается на обычную авторизацию + клиринговую транзакцию.
                                  0
                                  Интересно, банки переложат (может, уже переложили) бремя возмещения потерь этих денег на своих клиентов или вложатся в безопасность по всем фронтам – от технических аспектов до социальных?

                                  Кстати, подумалось, что рыночное позиционирование банком себя, как надежного игрока под атаками учащающихся киберпреступлений, может быть в ближайшем будущем неплохим пунктом «за» при выборе.
                                    0
                                    И то, и другое, в любом случае перекладывается на клиентов (что в случае возврата денег банком, что в случае отказа в возврате денег, что в случае модернизации/развития систем, в том числе ИБ), т.к. это расходы банков, а доходы они получают со своих клиентов (+биржа и инвестиции конечно).

                                  Only users with full accounts can post comments. Log in, please.