To jest znakomity cel!

Pomimo zabezpieczeń, bankomat jest bardzo dobrym celem ataku. Zdalna aktualizacja systemu operacyjnego jest w nim dość problematyczna, zatem bankomat może zawierać bardzo poważne luki w bezpieczeństwie i prawdopodobnie zawiera. Dzięki temu, że pracuje on w środowisku Windows, większość eksploitów, które działają w dowolnej z jego wersji (w tym także najtańszej, domowej Home Edition), będą działać także w bankomacie. Dotyczy to także sytuacji, gdy wykorzystuje się wersję osadzoną (embedded).

Bankomat nie posiada jednak interfejsu umożliwiającego atak. Naruszenie więc integralności oprogramowania bez otwierania urządzenia jest bardzo trudne. Jedynym praktycznie dostępnym sposobem infekcji jest zamknięta sieć VPN (lub połączenie modemowe), łącząca bankomaty z resztą infrastruktury operatora albo dostęp do samego bankomatu w trybie serwisowym. To ostatnie wcale nie jest proste dla intruza, gdyż urządzenie posiada czujniki nieautoryzowanego otwarcia i naruszenia konstrukcji. Bardzo często bankomaty wykorzystują również niestandardowy sprzęt, który wymaga specjalizowanych sterowników i dedykowanego oprogramowania.

Sposób ataku

Odkryte próbki malware były analizowane w laboratoriach firmy Sophos. Inżynierowie stwierdzili, że dostarczone pliki wyglądały podobnie, ale nie zawierały niczego, co umożliwiłoby automatycznie wykrycie ich jako malware. Fakt przygotowania specjalizowanego oprogramowania przeznaczonego do infekcji konkretnych bankomatów potwierdziła firma Trustwave, raport jest dostępny na jej stronach. Plik wykonywalny jest de facto dropperem napisanym w języku Borland Delphi, który po instalacji za pomocą typowych narzędzi, modyfikuje usługę systemową Windows o nazwie Protected Storage, aby uruchamiać podstawiony do katalogu C:\WINDOWS plik lsass.exe zamiast oryginalnego, z foldera System32 i ustawia odpowiednio uprawnienia. Aplikacja modyfikuje także pliki oprogramowania bankomatu.

Aplikacja wstrzykuje kod do odpowiednich obszarów pamięci, aby przejąć kontrolę nad informacjami

przesyłanymi przez składniki oprogramowania ATM i przejmuje informacje z paska magnetycznego wkładanych kart płatniczych. Oczekiwanymi informacjami są dane z drugiej ścieżki kart płatniczych. Jeśli włożona została specjalna karta, oprogramowanie wyświetli ukryte dotąd menu. W przeciwnym przypadku, program zapisze informacje transakcyjne w tymczasowym pliku w katalogu C:\WINDOWS. Malware przechwytuje nie tylko informacje z karty, ale także PIN oraz informacje o stanie konta w trzech walutach: amerykańskich dolarach, ukraińskich hrywnach oraz rosyjskich rublach. Pobrane dane są przechowywane w plikach tymczasowych, a następnie mogą być wydrukowane w zaszyfrowanej postaci na wbudowanej drukarce potwierdzeń. Przy szyfrowaniu tych danych, trojan wykorzystuje algorytm DES.