«В первом случае, зловред ATMitch компрометировал банковскую инфраструктуру и получал удаленный контроль над работой банкоматов. Злоумышленники проникали на серверы банка, эксплуатируя незакрытую уязвимость; они заражали компьютеры в банковской сети, используя публично доступные инструменты. При этом, их вредоносное ПО существовало только в оперативной памяти компьютеров и сохранялось на жесткие диски, так что при перезагрузке компьютера практически все его следы терялись. После заражения злоумышленники устанавливали соединение с командным сервером и получали возможность удаленно устанавливать на банкоматах вредоносное ПО. Защитные механизмы при этом не срабатывали, поскольку действия маскировались под обновление ПО банкоматов. После установки зловред искал в системе банкомата файл command.txt, содержащий управляющие устройством односимвольные команды. Далее, он «определял», сколько денег находится в банкомате, а затем давал команду на выдачу денег, которые забирал, ожидающий у банкомата человек, так называемый «мул». После этого зловред записывал всю информацию об операции в файл регистрации и полностью удалял содержимое файла ‘command.txt’.

Сотрудники банка заподозрили неладное, обнаружив на банкоматах один-единственный файл ‘kl.txt’, после чего они связались с «Лабораторией Касперского» и попросили нас расследовать ситуацию. Мы создали YARA-правило для поиска этого файла по нашим системам, и обнаружили, что он попадал в наше поле зрение дважды — один раз в России и один раз в Казахстане. Это позволило нам проанализировать зловред методом обратного инжиниринга и вскрыть общие механизмы проведения атаки.

Исследование другой банковской атаки также началось с запроса из банка. Из банкомата пропадали деньги, при этом журналы банкомата были чисты, а данные камеры видеонаблюдения оказались перезаписаны. Банк привез банкомат в наш офис; вскрыв его, мы обнаружили в нем Bluetooth-адаптер, подсоединенный к USB-концентратору банкомата. После его установки злоумышленники выждали три месяца (чтобы журнал банкомата перезаписался), вернулись, закрыли видеокамеры, при помощи Bluetooth-клавиатуры перезапустили банкомат в сервисном режиме и забрали из диспенсера деньги.

Еще об одной атаке мы так же узнали из банка — его представители обратились к нам с просьбой расследовать кражу денег из банкомата. В этот раз подход киберпреступников оказался гораздо грубее: мы обнаружили в банкомате отверстие около 4 см в диаметре, проделанное около клавиатуры. Чуть позже мы узнали о других подобных атаках на банкоматы в России и Европе. Ситуация прояснилась, когда полиция задержала подозреваемого с ноутбуком и какими-то проводами. Мы вскрыли банкомат и попытались выяснить, к чему злоумышленник пытался получить доступ через отверстие, и обнаружили 10-штыревой разъем, подсоединенный к шине, которая связывает все компоненты банкомата. Также мы обнаружили, что система шифрования слабая и легко может быть взломана. Получив доступ к любому компоненту банкомата, можно было легко контролировать все остальные; а поскольку никакой авторизации между компонентами не было, то любой из них легко можно было подменить. Потратив около 15 долларов и некоторое количество времени, мы сделали простую схему, которая после подсоединения к шине позволила нам контролировать банкомат, в т.ч. отдавать команды на выдачу денег.

По словам наших исследователей, решить эту проблему не так-то просто — нужно поменять аппаратное обеспечение, а это нельзя проделать удаленно. То есть чтобы провести такую замену, ко всем таким банкоматам должен выехать обслуживающий персонал...»