«Лаборатория Касперского» описала набор утилит, предназначенных для взлома банкоматов с использованием прямого подключения, а не вредоносного ПО. Исследованный инструментарий использовался для атак типа black box на протяжении 2017–2018 годов и получил название KoffeyMaker.

Жертвами преступников стали несколько банков в Восточной Европе. Взлом происходил по стандартному сценарию: злоумышленники переводили банкомат в режим обслуживания, открывали верхнюю крышку, отключали устройство выдачи купюр от компьютера и присоединяли его через USB к ноутбуку с GPRS-модемом, драйверами для диспенсера и модифицированной утилитой для тестирования оборудования KDIAG. После этого они ставили крышку на место и уходили.

Дальнейшее управление производилось дистанционно. В условленное время на место преступления возвращался преступник или специально нанятый мул. Его сообщник удаленно подключался к ноутбуку, запускал утилиту и давал команду на выдачу банкнот. После этого оставалось только забрать купюры. «Черный ящик» забирал либо тот же человек, который снимал деньги, либо сам установщик, приходивший на другой день.

Годом ранее эксперты «Лаборатории Касперского» описали похожий способ взлома, однако тогда инструментом кражи служил набор Cutlet Maker. Он состоял из трех компонентов: генератора паролей c0decalc, приложения для определения содержимого кассет Stimulator и модуля для взаимодействия с диспенсером.

В отличие от других инструментов, KoffeyMaker почти полностью состоит из легитимного ПО — исключением является только модифицированная версия KDIAG, определяемая как RiskTool.

«В этих ограблениях не использовалось вредоносное ПО, а подключаемые к диспенсерам ноутбуки по окончании операции преступники забирали с собой, поэтому крайне сложно установить, кто стоит за инцидентами, и идет ли речь о новой группе или отдельных случаях, — прокомментировал ситуацию ведущий эксперт «Лаборатории Касперского» Сергей Голованов. — Эти инциденты в очередной раз подтверждают, что злоумышленники могут не обладать глубокими знаниями в IT; более того, для достижения своих целей они все чаще выбирают легальные инструменты, которые позволяют им оставаться незамеченными».

Специалисты установили, что той же версией KDIAG пользовались преступники из группировки Carbanak. В 2015 году посредством многоступенчатой операции они ограбили около сотни банков по всему миру. Сначала мошенники при помощи фишинга проникали в банковскую систему, изучали ее, а затем переводили средства на подконтрольные счета и выводили с помощью денежных мулов и вредоносной утилиты.

Категории: Аналитика, Главное, Хакеры