Sajber kriminalne grupe sa ruskog govornog područja koriste bankomate kako bi opljačkali korisnike. Otkriven 2009. godine, Skimer je bio prvi maliciozni program koji targetira bankomate. Sedam godina kasnije, sajber kriminalci ponovo su počeli da koriste ovaj malver, ali su u međuvremenu i kriminalci i sam program napredovali, pa tako predstavljaju naprednu pretnju za banke i njihove korisnike širom sveta.
Tokom istrage incidenta, tim stručnjaka kompanije Kaspersky Lab otkrio je krivičnu radnju i pronašao tragove napredne verzije Skimer malvera na bankomatu. Malver je bio instaliran na bankomat i bio je neaktivan sve dok sajber kriminalci ne bi poslali kontrolnu naredbu, što je bio pametan način da sakriju tragove.
Skimer grupa započinje operaciju kada dobije pristup sistemu bankomata, bilo putem fizičkog pristupa ili preko interne mreže banke. Nakon što je Backdoor.Win32.Skimer uspešno instaliran na sistem, on inficira jezgro bankomata – deo mašine zadužen za njenu interakciju sa infrastrukturom banke, procesom obrade novca i kreditnih kartica.
Kriminalci nakon toga imaju potpunu kontrolu nad zaraženim bankomatima, međutim, oni pažljivo pristupaju operaciji i njihove akcije su vešto isplanirane. Umesto instaliranja „skimer“ uređaja (lažni čitač kartica postavljen preko legitimnog čitača) kojim se izvlače podaci sa kartice, oni pretaraju ceo bankomat u „skimer“ uređaj. Kada uspešno zaraze bankomat Backdoor.Win32.Skimer malverom, kriminalci mogu da povuku sva sredstva sa bankomata ili da preuzmu podatke sa kartica koje su bile korišćene na tom bankomatu, uključujući broj bankovog računa korisnika i PIN kod. Ne postoji način da obični ljudi vide razliku između zaraženog i nezaraženog bankomata. U ovom slučaju, ne postoji nikakav fizički dokaz o kompromitovanosti bankomata, za razliku od situacije kada kriminalci postave „skimer“ uređaj na čitač kartice, pri čemu napredni korisnici mogu da primete da nešto nije u redu.
Pritajena pretnja
Direktno povlačenje novca iz bankomata biće odmah otkriveno posle prve krađe, dok malver u bankomatu može neometano da prikuplja podatke sa kartica u dužem vremenskom periodu. Zbog toga Skimer kriminalne grupe ne deluju odmah – veoma su pažljivi u sakrivanju tragova: njihov malver može delovati na inficiranom bankomatu nekoliko meseci bez ikakve dalje aktivacije.
Da bi aktivirali ovu pretnju, kriminalci ubacuju posebnu karticu koja ima određene zapise na magnetnoj traci. Nakon čitanja zapisa, „skimer“ može obaviti određenu komandu ili zahtevati od kriminalaca da obave komande preko specijalnog menija koji aktivira kartica.
Pomoću ovog menija, kriminalci mogu da aktiviraju 21 različitu komandu, kao što je ispuštanje novca (40 novčanica iz određene kasete), sakupljanje informacija sa ubačenih kartica, itd. Takođe, tokom prikupljanja informacija sa kartice, „skimer“ može da sačuva fajl sa PIN kodovima na čipu iste kartice, ili može da odštampa podatke sa kartice koje je sakupio sa priznanica bankomata.
U većini slučajeva, kriminalci odlučuju da sačekaju i prikupe podatke sa kartica koje su prošle kroz „skimer“, sa namerom da kasnije naprave kopije ovih kartica. Sa ovim kopijama oni idu u druge, nezaražene bankomate i podižu novac sa računa korisnika. Na ovaj način kriminalci mogu biti sigurni da zaraženi bankomat neće biti otkriven u skorije vreme.
„Veteran“ među malverima
Skimer je intenzivno distribuiran između 2010. i 2013. godine. Njegova pojava rezultovala je drastičnim porastom napada na bankomate, a kompanija Kaspersky Lab identifikovala je čak devet različitih malver porodica. To obuhvata i Tyupkin porodicu, otkrivenu u martu 2014. godine, koje je postala najpopularnija i najrasprostranjenija. Međutim, čini se da je ponovo aktivan Backdoor.Win32.Skimer. Kompanija Kaspersky Lab do sada je identifikovala 49 modifikacija ovog malvera, pri čemu 37 modifikacija targetiraju bankomate samo jednog velikog proizvođača. Najnovije verzije otkrivene su početkom maja 2016. godine.
Uz pomoć uzoraka koji su dostavljeni na platformu VirusTotal, primetno je da je geografska rasprostranjenost potencijalno zaraženih bankomata izuzetno široka. Najnovijih 20 uzoraka Skimer porodice postavljeno je sa više od 10 lokacija širom sveta: Ujedinjeni Arapski Emirati, Francuska, SAD, Rusija, Makao, Kina, Filipini, Španija, Nemačka, Gruzija, Poljska, Brazil, Češka.
Tehničke protivmere
Kako bi sprečili ovu pretnju, stručnjaci iz kompanije Kaspersky Lab preporučuju redovno antivirus skeniranje, koje bi bilo upotpunjeno „whitelist“ tehnologijom, dobrom politikom upravljanja uređajima, potpunom enkripcijom diskova, obezbeđivanje BIOS-a bankomata jakim lozinkama, dozvoljavajući na taj način samo HDD podizanje sistema i izolaciju mreža bankomata sa bilo koje druge interne bankovne mreže.
,,Postoji jedna važna dodatna protivmera koja može biti primenjena u ovom slučaju. Backdoor.Win32.Skimer proverava informacije (devet posebnih brojeva) kodirane na magnetnoj traci kartice kako bi utvrdio da li je neophodno da se aktivira. Otkrili smo kodirane brojeve koje koristi ovaj malver i te informacije smo podelili sa bankama. Nakon što banke dobiju te brojeve, one ih mogu proaktivno tražiti unutar njihovih procesnih sistema, detektovati potencijalno zaražene bankomate, ili blokirati bilo koji pokušaj napadača da aktiviraju malver’’ izjavio je Sergej Golovanov (Sergey Golovanov), glavni bezbednosni istraživač u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab detektuju ovu pretnju kao Backdoor.Win32.Skimer.