Jak obrabować bankomat? Wystarczy pendrive, scyzoryk i ...Hiren's
Fot. za Niebezpiecznik.pl
Chaos Computer Club to niemieckie stowarzyszenie w szeregach którego znajduje się ok. 4000 specjalistów od łamania zabezpieczeń. Podczas ostatniego konwentu organizacji przedstawiono metodę włamywania się do bankomatów, która pozwala wyczyścić je do zera praktycznie bez pozostawienia śladów. Metoda stosowana przez cyberprzestępców wymaga doskonałej znajomości konkretnych maszyn.
Jeden z banków przestraszony zwiększającą się ilością przypadków opróżnienia bankomatów postanowił zabezpieczyć je dodatkowymi kamerami. Przyniosło to efekt, bo jednego z przestępców udało się złapać na gorącym uczynku i odebrać mu pendrive, dzięki któremu można było włamać się do bankomatu.
Przebieg ataku opisał serwis Niebezpiecznik.pl:
Przestępca musi wyłamać (np. scyzorykiem) fragment obudowy zasłaniający wejście USB przeznaczone do podpięcia drukarki. W łącze to wpina pendrive na którym znajduje się popularny system "ratunkowy" firmy Hiren.
Następnie złodziej zmusza maszynę (większość bankomatów jest obsługiwana przez komputery działające na systemie Windows) do restartu - musi np. odciąć na chwilę zasilanie. Podczas restartu istnieje możliwość wyboru kolejności bootowania - zostaje więc uruchomiony Hiren's.
Haker na ekranie bankomatu zobaczy własne menu. Teraz musi jedynie uruchomić skrypt o nazwie... hack.bat.
To jednak nie koniec - przestępcy nie mogą ot tak po prostu otworzyć sejfu znajdującego się w bankomacie. Trzeba zmusić go do wypłacenia gotówki. Do tego potrzeba informacji pochodzących z komputera obsługującego bankomat - trzeba przeanalizować elementy rejestru, logi transakcji finansowych.
Tutaj sprawa się komplikuje - teraz złodziej musi wywołać na ekranie bankomatu specjalny kod, zadzwonić do swojej bazy i uzyskać inny kod. Po jego zatwierdzeniu gotówkę można już wypłacać.
Przestępcy nie zapomnieli też o zacieraniu śladów - po opróżnieniu szufladek z banknotami złodziej jednym przyciskiem na ekranie bankomatu uruchamia funkcję czyszczenia wszystkich logów.
W całej sprawie jest jeszcze coś bardzo interesującego - przestępcy muszą stworzyć oprogramowanie pod konkretne bankomaty. Niebezpiecznik.pl wyjaśnia to następująco:
Złośliwe funkcje są zaszyfrowane (XOR) kluczem o wartości odpowiadającej tzw. VolumeSerial, czyli unikatowemu numerowi przypisywanemu przez system operacyjny podczas formatowania dysku. Innymi słowy, złośliwy kod jest przygotowywany pod konkretny egzemplarz bankomatu. Dodatkowo aplikacja rabusiów stosuje techniki utrudniające jej reverse engineering.
Scenariusz ataku pozwala przypuszczać, że cyberprzestępcy mają jakieś powiązania z pracownikami mającymi legalny dostęp do bankomatów.
-
Lidl i Aldi sprzedają "laguny". "Nie ma się czego bać!"
-
Dodatkowy zasiłek opiekuńczy. Do kiedy? Co zrobić, żeby go otrzymać?
-
Majówka w hotelu? Rząd zakazał, a nielegalny wynajem kwater kwitnie. "Powiemy, że jest pan rodziną"
-
Do Polski wchodzi niemiecka sieć sklepów. Rossmann będzie mieć konkurenta
-
Nowy harmonogram. Urodziłeś się w latach 1974-1990? Daty rejestracji na szczepienie przeciwko COVID-19
- Ponad 40 proc. wzrostu PKB w czasie globalnego kryzysu. "El Dorado 2020". Co się stało w Gujanie?
- Otwarcie przedszkoli i żłobków już w poniedziałek. Co ze świadczeniem opiekuńczym?
- Ile kosztował nas lockdown? Na pomoc dla biznesu wydano dwa razy tyle, co na całe 500+
- Niemieckie badania: Po zakażeniu koronawirusem przeciwciała szybko znikają
- Po wydaleniu 18 dyplomatów Czechy planują wykluczyć rosyjski Rosatom z przetargu. Chodzi o elektrownię atomową