Néhány éve egy Black Hat konferencia nagy attrakciója volt az azóta elhunyt Barnaby Jack bemutatója: ún. jackpotting technikával pénzköpő automatát csinált egy ATM-ből.  Közelmúltban kiberbűnözök ugyanezt hajtották végre, bár más módszerrel: egy trójait telepítettek kelet-európai ATM-ekre. A támadásokról a Biztonságportál készített összefoglalót.

Az ATM vonzó célpont, és nem csak a kiberbűnözőknek. Sokan próbálkoznak-próbálkoztak – Magyarországon is – fizikai károkozással hozzájutni a benne lévő készpénzhez. Vannak azonban kifinomultabb, és nyilván hatékonyabb módszerek is, melyek az ATM-eket az informatikai rendszeren keresztül támadják. Ilyen a közelmúltban felbukkant, főleg Kelet-Európában elterjedt módszer is, amikor egy trójai programmal támadják a pénzkiadó automatákat.

Tyupkin manipulál

A károkozások legfőbb eszköze a Tyupkin nevű trójai program, amelynek az a feladata, hogy manipulálja a fertőzött ATM-eket. A dologban az az érdekes, hogy a Tyupkin jelenleg nem képes arra, hogy hálózaton keresztül fertőzzön, azaz manuálisan kell feljuttatni a kiszemelt ATM-re. Ennek ellenére csak Kelet-Európában már eddig is több mint ötven sikeres támadást hajtottak végre a segítségével – állítja a Kaspersky Lab.

A trójai kódja azonban nem csak errefelé ismert: többek között az USA-ból, Indiából, Kínából és Franciaországból is feltöltötték már a VirusTotalra. Ennek ellenére nagyon nehéz feltérképezni a fertőzés mértékét, mert a biztonsági cégek felhőalapú monitorozó rendszereibe az ATM-ek nem küldenek adatokat.

Először a balta, aztán a bit

A Tyupkin a fizikai és az alkalmazásszintű védelmi vonalakat is próbára teszik. A trójai bejuttatásához ugyanis a támadóknak fizikailag is fel kell törniük az adott ATM-et, hogy hozzáférjenek az abban található számítógéphez. Ha ezt sikerül megtenniük, akkor a gépbe behelyeznek egy bootolható CD-t, amiről újraindítják a rendszert. Ettől kezdve pedig tulajdonképpen bármit megtehetnek.

Joggal merülhet fel a kérdés: ha már az ATM külső borítását feltörik, miért nem robbantják fel az ATM-et, és viszik el az összes pénzt. Erre valószínűleg az a magyarázat, hogy sok ATM-áet felszereltek olyan belső védelemmel, amely erős mechanikai hatásra (például ha kitépik az ATM-et a helyéről) jelez, robbantáskor pedig megfesti a kazettákban lévő pénzt, így az használhatatlanná válik. A vezérlő számítógéphez ellenben ennél egyszerűbben is hozzá lehet férni. Bár az továbbra sem világos a híradásokból, hogy ilyenkor miért nem riasztottak a meghackelt gépek.

A Tyupkinról annyit lehet tudni, hogy csak egy bizonyos típusú ATM-nél használható, ám azt – érthető módon – a kutatók nem árulták el, melyikkel. Annyi azonban biztos, hogy a 32 bites Windows XP-t futtató rendszerek egy részét veszélyezteti.

A trójai az ATM-ek PIN-kód megadására is szolgáló billentyűzetén keresztül vezérelhető speciális kódokkal (lásd a fenti videót). Az elkövetők megjeleníthetik vagy elrejthetik a károkozó nyitóképernyőjét, egy batch fájl segítségével gyorsan törölhetik a nemkívánatos programot, illetve meghatározhatják, hogy a trójai mikor reagáljon a parancsokra. Alapértelmezésként a trójai vasárnap és hétfő éjjel aktív. Annak érdekében, hogy a bankautomatát rendeltetésszerűen használó ügyfelek vagy akár az ATM üzemeltetői még véletlenül se találkozhassanak a károkozóval, azt csak egy rendszeresen változó digitális kulccsal lehet életre kelteni. Ilyenkor a tolvajok pár kód megadásával tudják utasítani az automatát, hogy az előzőleg kiválasztott kazettából adjon ki 40 darab bankjegyet.

Klasszikusokat követ

A Tyupkin sok mindenben hasonlít az egyéb windowsos károkozókhoz. Például bemásolja magát a Windows rendszerkönyvtárába ulssm.exe néven, majd a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy a rendszer újraindítása után is be tudjon kerülni a memóriába.

Legújabb variánsa már felismeri a debugger eszközöket, a különféle emulációs védelmi technikákat, sőt szükség esetén a McAfee Solidcore védelmét is hatástalanítja. Emellett hibás kódok megadása esetén rögtön blokkolja a hálózati adatforgalmat, hogy megnehezítse meg a fertőzés detektálását és a helyreállítási munkák elvégzését.