Sajber kriminalne grupe sa ruskog govornog područja koriste bankomate kako bi opljačkali korisnike. Otkriven 2009. godine, Skimer je bio prvi maliciozni program koji targetira bankomate.
Sedam godina kasnije, sajber kriminalci ponovo su počeli da koriste ovaj malver, ali su u međuvremenu i kriminalci i sam program napredovali, pa tako predstavljaju naprednu prijetnju za banke i njihove korisnike širom svijeta.
Tokom istrage incidenta, tim stručnjaka kompanije Kaspersky Lab otkrio je krivičnu radnju i pronašao tragove napredne verzije Skimer malvera na bankomatu. Malver je bio instaliran na bankomat i bio je neaktivan sve dok sajber kriminalci ne bi poslali kontrolnu naredbu, što je bio pametan način da sakriju tragove.
Skimer grupa započinje operaciju kada dobije pristup sistemu bankomata, bilo putem fizičkog pristupa ili preko interne mreže banke. Nakon što je Backdoor.Win32.Skimer uspješno instaliran na sistem, on inficira jezgro bankomata – dio mašine zadužen za njenu interakciju sa infrastrukturom banke, procesom obrade novca i kreditnih kartica.
Kriminalci nakon toga imaju potpunu kontrolu nad zaraženim bankomatima, međutim, oni pažljivo pristupaju operaciji i njihove akcije su vješto isplanirane. Umjesto instaliranja „skimer“ uređaja (lažni čitač kartica postavljen preko legitimnog čitača) kojim se izvlače podaci sa kartice, oni pretvaraju cijeli bankomat u „skimer“ uređaj. Kada uspješno zaraze bankomat Backdoor.Win32.Skimer malverom, kriminalci mogu da povuku sva sredstva sa bankomata ili da preuzmu podatke sa kartica koje su bile korišćene na tom bankomatu, uključujući broj bankovog računa korisnika i PIN kod. Ne postoji način da obični ljudi vide razliku između zaraženog i nezaraženog bankomata. U ovom slučaju, ne postoji nikakav fizički dokaz o kompromitovanosti bankomata, za razliku od situacije kada kriminalci postave „skimer“ uređaj na čitač kartice, pri čemu napredni korisnici mogu da primete da nešto nije u redu.
Pritajena prijetnja
Direktno povlačenje novca iz bankomata biće odmah otkriveno poslije prve krađe, dok malver u bankomatu može neometano da prikuplja podatke sa kartica u dužem vremenskom periodu. Zbog toga Skimer kriminalne grupe ne djeluju odmah – veoma su pažljivi u sakrivanju tragova: njihov malver može djelovati na inficiranom bankomatu nekoliko mjeseci bez ikakve dalje aktivacije.
Da bi aktivirali ovu pretnju, kriminalci ubacuju posebnu karticu koja ima određene zapise na magnetnoj traci. Nakon čitanja zapisa, „skimer“ može obaviti određenu komandu ili zahtijevati od kriminalaca da obave komande preko specijalnog menija koji aktivira kartica.
Pomoću ovog menija, kriminalci mogu da aktiviraju 21 različitu komandu, kao što je ispuštanje novca (40 novčanica iz određene kasete), sakupljanje informacija sa ubačenih kartica, itd. Takođe, tokom prikupljanja informacija sa kartice, „skimer“ može da sačuva fajl sa PIN kodovima na čipu iste kartice, ili može da odštampa podatke sa kartice koje je sakupio sa priznanica bankomata.
U većini slučajeva, kriminalci odlučuju da sačekaju i prikupe podatke sa kartica koje su prošle kroz „skimer“, sa namjerom da kasnije naprave kopije ovih kartica. Sa ovim kopijama oni idu u druge, nezaražene bankomate i podižu novac sa računa korisnika. Na ovaj način kriminalci mogu biti sigurni da zaraženi bankomat neće biti otkriven u skorije vrijeme.
„Veteran“ među malverima
Skimer je intenzivno distribuiran između 2010. i 2013. godine. Njegova pojava rezultovala je drastičnim porastom napada na bankomate, a kompanija Kaspersky Lab identifikovala je čak devet različitih malver porodica. To obuhvata i Tyupkin porodicu, otkrivenu u martu 2014. godine, koje je postala najpopularnija i najrasprostranjenija. Međutim, čini se da je ponovo aktivan Backdoor.Win32.Skimer. Kompanija Kaspersky Lab do sada je identifikovala 49 modifikacija ovog malvera, pri čemu 37 modifikacija targetiraju bankomate samo jednog velikog proizvođača. Najnovije verzije otkrivene su početkom maja 2016. godine.
Uz pomoć uzoraka koji su dostavljeni na platformu VirusTotal, primjetno je da je geografska rasprostranjenost potencijalno zaraženih bankomata izuzetno široka. Najnovijih 20 uzoraka Skimer porodice postavljeno je sa više od 10 lokacija širom svijeta: Ujedinjeni Arapski Emirati, Francuska, SAD, Rusija, Makao, Kina, Filipini, Španija, Njemačka, Gruzija, Poljska, Brazil, Češka.
Tehničke protivmjere
Kako bi spriječili ovu pretnju, stručnjaci iz kompanije Kaspersky Lab preporučuju redovno antivirus skeniranje, koje bi bilo upotpunjeno „whitelist“ tehnologijom, dobrom politikom upravljanja uređajima, potpunom enkripcijom diskova, obezbjeđivanje BIOS-a bankomata jakim lozinkama, dozvoljavajući na taj način samo HDD podizanje sistema i izolaciju mreža bankomata sa bilo koje druge interne bankovne mreže.
“Postoji jedna važna dodatna protivmjera koja može biti primijenjena u ovom slučaju. Backdoor.Win32.Skimer provjerava informacije (devet posebnih brojeva) kodirane na magnetnoj traci kartice kako bi utvrdio da li je neophodno da se aktivira. Otkrili smo kodirane brojeve koje koristi ovaj malver i te informacije smo podijelili sa bankama. Nakon što banke dobiju te brojeve, one ih mogu proaktivno tražiti unutar njihovih procesnih sistema, detektovati potencijalno zaražene bankomate, ili blokirati bilo koji pokušaj napadača da aktiviraju malver’’ izjavio je Sergej Golovanov (Sergey Golovanov), glavni bezbjednosni istraživač u kompaniji Kaspersky Lab.
