Pondělí 29. listopadu 2021, svátek má Zina
  • schránka
  • Přihlásit Můj účet
  • Pondělí 29. listopadu 2021 Zina

Jak dostat z bankomatu cizí peníze. Experti přišli na tři způsoby

Za jedinou noc vybrali útočníci z osmi bankomatů přes 800 000 dolarů. Zbyla po nich jediná stopa. Soubor s logy operací a hláškou „Sbal ty prachy, vole!“ Ta se zobrazila na displeji bankomatu při neoprávněném výdeji peněz. Odborníci z Kaspersky rozlouskli tři nové způsoby, jak vykrást bankomat.

Zachycená komunikace mezi jednotlivými komponenty bankomatu. | foto: Jan Kužník, Technet.cz

Celkem osm bankomatů jedné nejmenované ruské banky vydalo za jedinou noc 800 000 dolarů (cca 20 milionů Kč). Na tom by nebylo nic divného, kdyby ty peníze nezmizely bez vědomí banky. Ráno byly bankomaty prázdné. Po útočnících ani stopy. Žádný viditelný malware ani jeho zbytky. Nic. Vypadalo to na naprosto dokonalý útok. Na záběrech bezpečnostních kamer byl navíc pokaždé vidět jen neznámý příchozí, který se bankomatu ani nedotkl. Pouze si po chvilce čekání odebral peníze, které mu automat jakoby zázrakem nabídl.

Jak ovšem zjistila dvojice bezpečnostních expertů Sergej Golovanov a Igor Soumenkov, zase taková záhada to nebyla. Pozadí celé akce odhalili na odborné konferenci Security Analyst Summit. Minimálně v jednom přístroji totiž zbyl na harddisku malý textový soubor s označení KL.txt. Obsahoval kompletní soupis logů proběhlých operací. Mezi jinými byl i vzkaz, který se pravděpodobně objevil i na displeji bankomatu ve chvíli, kdy byly peníze připraveny k odběru: „Catch some money, bitch!“ (slušně řečeno: Seber ty prachy, vole!). Bílý kůň (experti nepředpokládají, že si pro peníze k bankomatům chodili přímo autoři útoku) se nemusel bankomatu vůbec dotknout. Peníze prostě v jednom okamžiku vyjely ven. Přesně to také zachytily bezpečnostní kamery. „Vyčistit“ jeden bankomat od peněz netrvalo déle než 20 minut.

Takto vypadal zachovaný textový soubor, který experti z Kaspersky Lab nalezli...

Takto vypadal zachovaný textový soubor, který experti z Kaspersky Lab nalezli na disku napadeného bankomatu.

Nebyl to útok, kdy útočníci zneužijí legitimní nástroje banky bez nutnosti instalovat jakýkoliv malware, který by zanechával viditelné stopy. Dovnitř instituce se však i v takových případech dostanou podobně, například phishingem nebo ke spolupráci (ať už ke vědomé nebo nevědomé) získají zaměstnance firmy jiným způsobem. Fakt, že se zachoval soubor se záznamem operací (logy) svědčil o instalaci malwaru, který se sice snažil skrýt a nezanechat stopy (například se nahrával pouze do RAM - dočasná paměť - zařízení), ale něco se při jeho odinstalaci pokazilo.

Golovanov a Soumenkov tedy vytvořili detekční YARA pravidlo, které se používá právě v případech, kdy výzkumníci potřebují odhalit dosud neznámý kód. Zpětně tak zjistili, že útočníci využili známé chyby (nezazáplatovaná zranitelnost), kterou už v únoru 2016 Kaspersky odhalil (shrnutí v angličtině) a pomocí níž tehdy hackeři infikovali více než 140 institucí včetně bank, státních a telekomunikačních úřadů po celém světě (včetně Německa, Rakouska, Íránu, Saudské Arábie, atd.).

Fotogalerie

V případě dvou napadených ruských bank využili útočníci stejný postup. Pomocí známých nástrojů PowerShell a Meterpreter ovládli počítače uvnitř bank a v registrech Windows usadili škodlivý kód. Ten tak po sobě nezanechával žádné stopy (při restartu všechny zmizely) a byl v podstatě nedetekovatelný. Tímto způsobem si hackeři odposlechli potřebná hesla a přístupy a zahájili druhou fázi útoku.

Z napadených počítačů nainstalovali do vybraných bankomatů malware zvaný ATMitch, který jim na dálku obstaral k přístrojům administrátorská práva. Kdykoliv tak skrze něj mohli na dálku vybranému bankomatu říct, aby vydal určitou část peněz. ATMitch vyhledal textový soubor commands.txt, z něj vyčetl příkaz pro zjištění množství peněz v kazetách přístroje i samotný povel k jejich finálnímu vydání. Potom originální soubor z harddisku bankomatu smazal a sentenci zaznamenal do nového souboru.

Chlap s vrtačkou

Za bílého dne stojí chlapík v montérkách u bankomatu a vrtá do něj díru vrtačkou. Pak k přístroji připojí záhadnou krabičku a za chvíli odchází s paklíkem bankovek. Říkáte si, že to se může stát jen v Rusku? Není to pravda. Příběh sice začal v této širé zemi a zřejmě odtud pochází i původní nápad na tento způsob vykrádání bankomatu, ale podobné případy podle expertů z Kaspersky zaznamenaly i banky v Evropě.

Neznámý muž vrtá díru do bankomatu, aby se dostal k ovládání stroje. Snímek z...

Neznámý muž vrtá díru do bankomatu, aby se dostal k ovládání stroje. Snímek z bezpečnostní kamery bankomatu.

Vše začalo zadržením jednoho z pachatelů, který vrtal tak nápadně, až si toho někdo všiml a zavolal policii. Při útěku stihl zničit a zahodit ono neznámé zařízení, které zřejmě chtěl k bankomatu připojit. Děravý bankomat pak putoval do podzemního parkoviště společnosti Kaspersky, kde si pánové Golovanov a Soumenkov na několik týdnů zřídili improvizovanou laboratoř. K dispozici měli pouze onen bankomat a fotografie z bezpečnostní kamery, „útočné zařízení“ se nedochovalo.

Bankomaty dokáží poplachem reagovat na naklopení nebo jiný větší pohyb, ale vrtání vykružovacím vrtákem o průměru 4 centimetry hned vedle klávesnice mu evidentně nevadí. Kromě tohoto evidentního zjištění přišli výzkumníci i na to, že jednotlivé komponenty bankomatu mezi sebou při komunikaci nepoužívají žádnou autentizaci. Jakoukoliv část lze tedy pohodlně podvrhnout jinou a zbytek stroje a tedy ani banka si v první chvíli ničeho nevšimne. Účel díry byl tedy zřejmý - tudy se chtěl útočník připojit k systému a vybrat si peníze.

Otvor s průměrem přes čtyři centimetry umožnil pachateli přístup k SDC sběrnici...

Otvor s průměrem přes čtyři centimetry umožnil pachateli přístup k SDC sběrnici a tím i k celému bankomatu.

Teď museli Golovanov a Soumenkov zjistit, pomocí jakého zařízení se dá takto přímo bankomat ovládnout. Součástky vyšly na 15 dolarů. Přesný recept pochopitelně přímo nesdělili. Cesta vedla přes desetipinový konektor, přes který se dalo spojit jak s interním počítačem, tak ovládáním výdejníku hotovosti.

Obyčejná bluetooth klávesnice

Posledním z trojice případů, se kterými se Golovanov se Soumenkovem v roce 2016 setkali, byl svým způsobem nejtriviálnější. Banka jim dodala bankomat, který kdosi vykradl neznámo jak.

Igor Soumenkov shrnuje, jak jednoduše vybrat peníze z bankomatu pomocí...

Igor Soumenkov shrnuje, jak jednoduše vybrat peníze z bankomatu pomocí „zapomenutého“ donglíku od Bluetoothové klávesnice.

Kamery nic nezjistily, protože je pachatel všechny důkladně přelepil páskou (bankomat obvykle není vybaven jen jednou kamerou, ale hned několika a další jsou i v jeho okolí).

Na první pohled to byla záhada, protože po nějakém malwaru nebylo ani stopy. Při rozebírání přístroje však experti našli v servisním modulu (v USB hubu) připojený jakýsi USB dongl. Z něj se nakonec vyklubala součást bezdrátové klávesnice. Pachateli tak stačilo sednout si do parku poblíž bankomatu, přes klávesnici spustit servisní mód a pak už si jen dojít vybrat požadovanou částku. Aby nebyl odhalen, připojil USB dongl několik měsíců dopředu a použil jej až ve chvíli, kdy byly všechny servisní logy (záznamy) automaticky smazány.

Autor:
  • Nejčtenější

Startujeme německý tankový motor z války, desetiletí pohřbený v bahně

Takhle zní zrekonstruovaný motor Maybach HL 120 TRM z německého útočného děla StuG. Strávil celá desetiletí pohřben v...

Padl jeden z důvodů, proč nemít Windows 11. Vraťte si Start a hlavní panel

S Windows 11 chce Microsoft vstoupit do nové éry používání počítačů a kvůli tomu změnil dvě z hlavních součástí...

Žádný rachot ani kouř. Prozkoumali jsme český vodíkový generátor elektřiny

Premium Generátor H2Base vyrábí elektřinu z vodíku a vzduchu, jediným odpadem je vodní pára. Může tak vyrábět elektřinu i v...

Ceny sluchátek, notebooků i telefonů padají. Black Friday startuje

Advertorial Úvahy nad vánočními dárky mnohdy zaberou člověku hodiny. Přeci jen chce člověk darovat něco hodnotného a pěkného, co...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Pět největších nesmyslů tradovaných o druhu Tyrannosaurus rex

Dravý dinosaurus druhu Tyrannosaurus rex vyhynul před nepředstavitelně dávnou dobou 66 milionů let. I když toho o něm...

ANALÝZA: Případ Kenosha. Média si napsala vlastní verzi

Premium Půlka Ameriky si udělala z Kylea Rittenhouse, jenž zastřelil dva lidi, vzorovou karikaturu bílého rasisty s puškou, a...

Pět nejčastějších chyb, které Češi dělají v penzijním spoření

Premium Ve starém „penzijku“ si na důchod spoří více než tři miliony Čechů a v nových fondech už přes 1,3 milionu lidí. Stát...

Strach se do lidí pouští jako jed. Horší než covid je hysterie, říká herec Dušek

Premium Je hercem, režisérem, scenáristou, moderátorem. Renesančního ducha zřejmě Jaroslav Dušek zdědil po svém rodu s modrou...

  • Další z rubriky

Jak funguje satelitní internet Elona Muska v Česku? Vyzkoušeli jsme ho

Premium Vyzkoušeli jsme Starlink, vysokorychlostní internetové připojení, které má pokrýt celý svět a kouzlo rychlých dat...

Britské námořnictvo představilo vizi autonomní flotily jako ze sci-fi

Balon ve stratosféře vybavený útočnými drony, podvodní plavidlo pro bojové a humanitární mise inspirované mozkovým...

Velký průvodce muzikou na internetu. Užijte si hudbu naplno

Premium Desítky milionů hudebních skladeb ve výborné kvalitě uspořádané v katalozích, kterými můžete procházet a prohledávat...

Naše nejrychlejší parní lokomotivy přicházely zpravidla ze Škodovky

V bývalém Československu se ve velkých počtech vyráběly lokomotivy mnoha typů a pro řadu uživatelů, včetně...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Neočkovaný herec Etzler je na kyslíku s oboustranným zápalem plic

Miroslav Etzler skončil s covidovou atakou a oboustranným zápalem plic v nemocnici. Své příznivce na sociálních sítích...

Světem se kvůli mutaci valí lavina výprodejů. Padají akcie, ropa i bitcoin

Kvůli nové mutaci koronaviru, která byla detekována v Jihoafrické republice, klesly v pátek asijské akcie nejvíce za...

Michal po mně skočil, popsala start intimního života zrzka z experimentu

Z šesti dvojic televizní Svatby na první pohled čeká rozhodnutí už jen tři páry. Jarda s Romanou spolu zůstali, vztah...

Souboj na talíři skončil. Kašpárek, Forejt a Punčochář ukázali rodiny

Velkým finále skončila v úterý večer kulinární show Souboj na talíři. Diváci se dozvěděli, kdo ze tří skvělých kuchařů...

Verdikt lékařů manžel neustál, říká Hana Robinson o roztroušené skleróze

Zpěvačka Hana Robinson bojuje už řadu let s roztroušenou sklerózou, která mimo jiné ovlivňuje i hybnost rukou. K té se...