Jak obrabować bankomat? Wystarczy pendrive, scyzoryk i ...Hiren's

Podczas konwentu niemieckiej organizacji Chaos Computer Club zaprezentowano metodę wyciągania pieniędzy z bankomatów która zadziwia swą finezją. Przestępcom wystarczy kilka prostych narzędzi i jeden skrypt...

Chaos Computer Club to niemieckie stowarzyszenie w szeregach którego znajduje się ok. 4000 specjalistów od łamania zabezpieczeń. Podczas ostatniego konwentu organizacji przedstawiono metodę włamywania się do bankomatów, która pozwala wyczyścić je do zera praktycznie bez pozostawienia śladów. Metoda stosowana przez cyberprzestępców wymaga doskonałej znajomości konkretnych maszyn.

Jeden z banków przestraszony zwiększającą się ilością przypadków opróżnienia bankomatów postanowił zabezpieczyć je dodatkowymi kamerami. Przyniosło to efekt, bo jednego z przestępców udało się złapać na gorącym uczynku i odebrać mu pendrive, dzięki któremu można było włamać się do bankomatu.

Przebieg ataku opisał serwis Niebezpiecznik.pl:

Przestępca musi wyłamać (np. scyzorykiem) fragment obudowy zasłaniający wejście USB przeznaczone do podpięcia drukarki. W łącze to wpina pendrive na którym znajduje się popularny system "ratunkowy" firmy Hiren.

Następnie złodziej zmusza maszynę (większość bankomatów jest obsługiwana przez komputery działające na systemie Windows) do restartu - musi np. odciąć na chwilę zasilanie.  Podczas restartu istnieje możliwość wyboru kolejności bootowania - zostaje więc uruchomiony Hiren's.

Haker na ekranie bankomatu zobaczy własne menu. Teraz musi jedynie uruchomić skrypt o nazwie... hack.bat.

To jednak nie koniec  - przestępcy nie mogą ot tak po prostu otworzyć sejfu znajdującego się w bankomacie. Trzeba zmusić go do wypłacenia gotówki. Do tego potrzeba informacji pochodzących z komputera obsługującego bankomat - trzeba przeanalizować elementy rejestru, logi transakcji finansowych.

Tutaj sprawa się komplikuje - teraz złodziej musi wywołać na ekranie bankomatu specjalny kod, zadzwonić do swojej bazy i uzyskać inny kod. Po jego zatwierdzeniu gotówkę można już wypłacać.

Przestępcy nie zapomnieli też o zacieraniu śladów - po opróżnieniu szufladek z banknotami złodziej jednym przyciskiem na ekranie bankomatu uruchamia funkcję czyszczenia wszystkich logów.

W całej sprawie jest jeszcze coś bardzo interesującego - przestępcy muszą stworzyć oprogramowanie pod konkretne bankomaty. Niebezpiecznik.pl wyjaśnia to następująco:

Złośliwe funkcje są zaszyfrowane (XOR) kluczem o wartości odpowiadającej tzw. VolumeSerial, czyli unikatowemu numerowi przypisywanemu przez system operacyjny podczas formatowania dysku. Innymi słowy, złośliwy kod jest przygotowywany pod konkretny egzemplarz bankomatu. Dodatkowo aplikacja rabusiów stosuje techniki utrudniające jej reverse engineering.

Scenariusz ataku pozwala przypuszczać, że cyberprzestępcy mają jakieś powiązania z pracownikami mającymi legalny dostęp do bankomatów.