Банкоматам производства Wincor Nixdorf, самым популярным в России, грозят массовые атаки. Фактически в открытой продаже появилось новое «пакетное решение» под названием «котлета» для взлома, которое при небольшой цене (максимум $5 тыс.) и простоте в эксплуатации может быть использовано даже начинающим злоумышленником. Столь доступного и массового продукта до сих пор хакеры на рынок не выпускали, и если продажи не будут остановлены в кратчайшие сроки, число хищений из банкоматов может вырасти многократно, предупреждают эксперты.
«Лаборатория Касперского» объявила о выявлении нового вредоносного программного обеспечения (ПО), предназначенного для хищения средств из банкоматов. Как следует из сообщения, ПО, представляющее собой пакетный продукт с инструкцией, свободно продается в Даркнете (частная сеть, соединения которой устанавливаются только между доверенными пирами, иногда именующимися как «друзья», с использованием нестандартных протоколов и портов).
О рисках хищения средств через банкоматную сеть также предупредили подписчиков сервисы Threat Intelligence и Group-IB. Как сообщили “Ъ” в Group-IB, они еще в конце июня выявили на андеграундном форуме «migalki.pw» объявление, где злоумышленник продавал «котлету» как софт для взлома всех моделей банкоматов WINCOR за $5 тыс. Сейчас, по данным Group-IB, «котлету» на специализированных сайтах предлагают по $800–1200.
«Котлета» для ограбления банкоматов состоит из трех элементов. Это программа Cutlet Maker, которая является основным модулем для коммуникации с диспенсером (устройство выдачи денег) банкомата. Программа c0decalc — генерирует пароли для запуска приложения Cutlet Maker, предотвращая неавторизованное (то есть неоплаченное) использование «котлеты». И приложение Stimulator, которое отображает количество и номинал банкнот в кассетах банкомата,— благодаря ему злоумышленник действует не вслепую, по очереди снимая деньги из каждой кассеты, а сразу выбирает ячейку, содержащую самую большую сумму денег.
Для хищения необходимо получить доступ к USB-порту банкомата (то есть взломать его физически) и загрузить программы. Подробные инструкции по физическому взлому банкомата, с перечислением всех необходимых инструментов и мер предосторожностей, входят в пакетное предложение.
Эксперты отмечают, что пакетные продукты продавались хакерами и раньше, но столь недорогих, простых в использовании вариантов в широкую продажу до сих пор не поступало. «В Даркнете существуют целые торговые площадки, на которых можно купить вредоносное ПО,— рассказывает директор по маркетингу компании Solar Security Валентин Крохин.— Но обычно у продавцов есть определенная специализация — эксплойты, трояны, ботнеты и т. д., поэтому комплекты встречаются реже».
По словам собеседника “Ъ” в правоохранительных органах, стоимость пакетного продукта обычно составляет порядка $100 тыс. «Как правило, похожие программные продукты предназначены для взлома банкоматной сети изнутри, там более сложные программы и они недоступны широкому кругу лиц,— отмечает ведущий антивирусный эксперт “Лаборатории Касперского” Сергей Голованов.— “Котлета” же уникальна тем, что приобрести ее не составляет труда, к тому же она весьма демократична по цене. Если учесть, что в банкомате в среднем от 5 млн до 10 млн руб., то она окупается за одно хищение». Собеседник “Ъ” в правоохранительных органах отметил, что на сегодняшний день уголовных дел по подобным хищениям — единицы. Впрочем, «котлета» — свежий продукт, массовые продажи которого начались недавно. Более того, разработчики «котлеты» не сидят сложа руки. По данным портала www.bleepingcomputer.com, на портале ATMjackpot уже продается новая версия «котлеты», более устойчивая к антивирусам, чем первая версия. «Если банки не примут мер по защите банкоматов, хищений может быть очень много»,— предупреждает Сергей Голованов. «Несмотря на то что банки в среднем достаточно много внимания уделяют информационной безопасности, атаки с помощью такого “набора” могут нанести некоторым из них серьезный финансовый ущерб»,— отмечает Валентин Крохин. Эксперты сходятся во мнении, что для того, чтобы обезопаситься от «котлеты», необходима физическая защита банкоматов, их USB-портов, видеонаблюдение и иные решения.
Банкиры же надеются, что проблему решит производитель банкоматов. «Банкоматы Wincor Nixdorf, по моим оценкам, в России одни из наиболее распространенных,— отмечает начальник управления развития дистанционных каналов ОТП Банка Рустем Аминов — Как правило, при возникновении подобных угроз производители банкоматов и банки совместно предпринимают необходимые действия по дополнительной защите банкоматов. Думаю, так произойдет и сейчас». По информации источников “Ъ”, Wincor Nixdorf располагает информацией о новой угрозе от «котлеты». Получить комментарии Wincor Nixdorf в четверг “Ъ” не удалось.