Cutlet Maker - kolejne zagrożenie dla bankomatów

Bankomaty nadal stanowią lukratywne cele oszustów, którzy stosują różne metody, aby uzyskać maksymalny zysk. Podczas gdy jedni przestępcy uciekają się do metod rozbojowych, stosując narzędzia tnące, aby okraść  bankomat, inni stawiają na infekcję przy użyciu szkodliwego oprogramowania, pozwalającym manipulować urządzeniem od środka. Chociaż szkodliwe narzędzia do hakowania bankomatów znane są od wielu lat, najnowsze odkrycie pokazuje, że twórcy szkodliwego oprogramowania inwestują coraz więcej zasobów w udostępnianie swoich „produktów” przestępcom, którzy nie są zbyt biegli w dziedzinie informatyki.

Partner Kaspersky Lab przekazał jednemu z badaczy nieznaną wcześniej próbkę szkodliwego oprogramowania, która została prawdopodobnie stworzona w celu infekowania komputerów działających wewnątrz bankomatów. Badacze chcieli dowiedzieć się, czy szkodnik ten lub coś, co było z nim związane, znajdował się w sprzedaży prowadzonej za pośrednictwem nielegalnych forów. Poszukiwanie unikatowych śladów pozostawionych przez szkodnika zakończyło się powodzeniem: ogłoszenie reklamujące odmianę szkodliwego oprogramowania atakującego bankomaty zamieszczone na popularnej stronie DarkNetu - AlphaBay - pasowało do zapytania wyszukiwania i ujawniło, że pierwotna próbka należała do całego komercyjnego zestawu narzędzi do tworzenia oprogramowania okradającego bankomaty. Znaleziony przez badaczy publiczny post autorstwa sprzedawcy szkodnika zawierał nie tylko jego opis i instrukcje dotyczące nabycia tego narzędzia, ale również oferował szczegółowy przewodnik krok po kroku dotyczący wykorzystywania zestawu w atakach wraz z instrukcjami i samouczkami wideo.

W celu rozpoczęcia kradzieży przestępcy muszą uzyskać bezpośredni dostęp do wnętrza bankomatu, aby mieć dojście do portu USB, który później zostanie wykorzystywany do instalowania szkodliwego oprogramowania. Jeśli warunek ten zostanie spełniony, wpinają urządzenie USB, na którym przechowywany jest zestaw narzędzi.

W pierwszym kroku przestępcy instalują oprogramowanie Cutlet Maker. Ponieważ jest ono chronione za pomocą hasła, wykorzystują program c0decalc, który jest zainstalowany na innym urządzeniu, takim jak laptop czy tablet - jest to swego rodzaju ochrona „praw autorskich” instalowana przez autorów oprogramowania Cutlet Maker w celu uniemożliwienia innym przestępcom wykorzystywania go za darmo. Po wygenerowaniu kodu przestępcy wprowadzają go do interfejsu Cutler Makera, aby rozpocząć proces wyciągania pieniędzy.

Cutlet Maker znajdował się w sprzedaży od 27 marca 2017 r., jednak - jak wykryli badacze - najwcześniejsza znana próbka została zidentyfikowana przez społeczność cyberbezpieczeństwa w czerwcu 2016 r. W tym czasie została przesłana z Ukrainy na publiczny serwis oferujący skanowanie antywirusowe z użyciem technologii różnych dostawców (tzw. multi-scanner), później została tam dostarczona również z innych państw. Nie wiadomo, czy szkodnik ten był rzeczywiście wykorzystywany w realnych atakach, jednak wytyczne dostarczone wraz z zestawem do tworzenia tego szkodliwego oprogramowania zawierały filmy prezentowane przez ich autorów jako dowód skuteczności szkodnika w realnych warunkach.

Nie wiadomo również, kto stoi za tym szkodliwym oprogramowaniem. Jeśli chodzi o potencjalnych sprzedawców tego zestawu narzędzi, język, gramatyka oraz błędy stylistyczne sugerują, że nie są to rodzimi użytkownicy języka angielskiego.

- Cutlet Maker nie wymaga od przestępcy prawie żadnej zaawansowanej wiedzy czy profesjonalnych umiejętności komputerowych. Tym samym z wyrafinowanej ofensywnej operacji cybernetycznej hakowanie bankomatów staje się jeszcze jednym nielegalnym sposobem zarabiania pieniędzy, z którego może skorzystać praktycznie każdy, kto posiada kilka tysięcy dolarów na zakup szkodnika. Jest to potencjalnie niebezpieczne zagrożenie dla organizacji finansowych. Jednak o wiele istotniejsze jest to, że podczas swojego działania Cutlet Maker komunikuje się z oprogramowaniem i sprzętem bankomatów, nie napotykając na swojej drodze niemal żadnych przeszkód w ramach systemu bezpieczeństwa. Podejście to musi się zmienić, jeżeli bankomaty mają być lepiej chronione - - powiedział Konstantin Zykow, badacz ds. cyberbezpieczeństwa z Kaspersky Lab.

Co należy zrobić, aby zabezpieczyć bankomaty? Eksperci radzą:

- wdrożenie rygorystycznych polityk domyślnej odmowy zapobiegających uruchomieniu jakiegokolwiek nieautoryzowanego oprogramowania w bankomacie,

- włączenie mechanizmów kontroli urządzeń w celu ograniczenia możliwości podłączania jakichkolwiek nieautoryzowanych urządzeń do bankomatów,

- wykorzystywanie zindywidualizowanego rozwiązania bezpieczeństwa w celu ochrony bankomatów przed atakami przy użyciu szkodliwego oprogramowania podobnego do Cutlet Makera.