Устройство для заражения банкоматов вредоносным кодом обнаружено в Китае

При этом новые версии троянов для банкоматов, как направленные на выведение наличных денег, так и на сбор информации с карт пользователей, обладают функционалом, способным отключить традиционные антивирусные защитные решения, иногда устанавливаемые на банкомат. Во всех предыдущих случаях заражения банкоматов вредоносным кодом преступникам приходилось каким-то образом получать физический доступ к USB-портам или CD-ROM’у устройства, через которые вредоносный код и попадал на устройство. Однако описанный случай имеет большое количество технических нестыковок. 

Комментирует Станислав Шевченко, технический директор компании SafenSoft, занимающейся разработкой информационной защиты для банкоматов: «Для заражения вредоносным кодом программного обеспечения банкомата необходимо получить доступ к компьютеру. Приведённое устройство не может физически обеспечить данную функцию. Взаимодействие с кардридером не даёт возможности злоумышленнику вторгнуться непосредственно в компьютер, а про вскрытие части банкомата в тексте не сказано. Само устройство выглядит довольно странно для описываемой функции. Других фактов применения подобных устройств не выявлено. Всё это позволяет предположить, что на полученную информацию не стоит полагаться, так как она либо недостаточно достоверна, либо неполна». 

По мнению же Игоря Королева, эскперта компании Wincor Nixdorf: "Если бы такое сказали про банкоматы Wincor Nixdorf в России, про которые у нас есть достоверные сведения, то я бы очень сильно засомневался. Что касается случая в Китае - да, вполне реально. Здесь, по сути, основной задачей является (говоря очень верхнеуровнево) передача файлов с карты на диск системного блока в банкомате. Эта задача разбивается на две подзадачи: а) откуда файлы брать и б) как их передавать. Например, а) записать файл(ы) на USB-накопитель и б) использовать не отключенную службу автозапуска в Windows для копирования на жесткий диск. В китайском случае, очевидно решили записать файл на карту (там есть память и это можно сделать) но поскольку памяти в карте не хватило для хранения трояна, понадобилось ее "расширить" применением ноутбука. Далее, встает вопрос как это перенести в системный блок. Тут вариантов много, но наипростейший, конечно же, это тайно и заранее сделанная закладка в управляющее ПО банкомата. Обиделся, например, разработчик на начальника - и вот результат. Менее вероятно использование уязвимостей в драйвере картридера или его микропрограммном обеспечении, но теоретически это однозначно возможно".

Также эксперт отметил, что такие вещи никогда не делаются под "сферический банкомат в вакууме", они не универсальны. Всегда имеет место либо инсайд, либо кража банкомата, системного блока или хотя бы просто жесткого диска для проведения реверс-инжениринга и отладке трояна. Т. е. если оно сработало на банкоматах какого-то банка в Китае, то вероятность того, что оно подойдет под другие банкоматы ничтожно мала. 

По словам Алексея Голенищева, директора дирекции мониторинга электронного бизнеса Альфа-Банка: "Да есть, чип шиммеры, тоненькие прокладки. Которые имитируют контактную группу чипа и они засовываются не в банкомат (т.к. кард-ридер достаточно глубоко находится), они размещаются в POS-терминалы, и делается это не для заражения их (они не заметно приклеиваются для клиента), а для перехвата данных, когда чип обменивается данными с кард-ридером. Эти устройства опасны для возможной имитации офлайн пиновых транзакций с чиповых карт. Но не в плане заражения. Это похоже на специальный шиммер, изготовленный под банкомат. Но возможно его устанавливают и закрепляют, а потом вытаскивают и вставляют в компьютер, и уже с него собирают данные обмена, но я сомневаюсь, что это устройство предназначено именно для заражения банкомата, т.к. нет такой прямой архитектурной связи между чип ридером и полным обеспечением банкомата. Пока не готов сказать, что такое возможно. На самом деле смысла в этом нет: как правило, открывают переднюю панель банкомата и подключаются к ней напрямую через USB разъем. Или подключаются к банкомату, выключают его, перегружают и грузят потом с флешки или компьютера. Явно, что этот кейс есть, и про эти шиммеры я не только слышу впервые, но и вижу. Опасный звонок на самом деле. Разместить такую вещь в банкомат если и можно, то и данные подцеплять можно в купе с копированием пин-кодов, тем более такое устройство ни один антискиммер не поборет. Одно дело полосовые карточки, а здесь именно чип, а в чипе другая история, как они работают – загадка… А раз их поймали и предъявлено обвинение, значит какой-то бизнес преступный имел место".