Vyšetrovací tím expertov z Kaspersky Lab znovu objavil stopy jeho aktivity. Tentoraz však ide o oveľa vyspelejšiu formu, ktorá sa prispôsobila technologickému vývoju. S napadnutým bankomatom dokáže v tichosti spolunažívať aj niekoľko mesiacov a parazitovať na dátach z kariet používateľov bez povšimnutia. Posledná verzia malvéru Skimer bola objavená v máji tohto roku. Medzi krajinami s potenciálne rizikovými bankomatmi, v ktorých sa našli vzorky tohto malvéru, figuruje aj Česká republika, Poľsko či Nemecko. Vyšetrovanie stále pokračuje.
Po siedmich rokoch od odhalenia malvéru Skimer, objavil vyšetrovací tím Kaspersky Lab opäť stopy jeho škodlivých aktivít. V novej, tentoraz oveľa pokročilejšej verzii bol nenápadne implantovaný do jedného z preverovaných bankomatov, kde niekoľko mesiacov v tichosti čakal na pokyn k aktivite.
Aktivita skupiny Skimer začína získaním prístupu do systému bankomatu – či už prostredníctvom fyzického prístupu, alebo cez internú sieť príslušnej banky. Hneď potom, ako dôjde k úspešnej inštalácii škodlivého programu (v tomto prípade ide konkrétne o verziu Backdooor.Win32.Skimer), je infikované jadro bankomatu. Skimer tak získava nadvládu nad interakciami s bankovou infraštruktúrou, finančnými operáciami a kreditnými kartami.
Napadnutý bankomat začína okamžite spolupracovať s podvodníkmi. V tomto prípade už nie je potrebná inštalácia podvodnej čítačky kariet, nová verzia Skimeru urobila čítačku zo samotného bankomatu. Zločinci si tak s jeho pomocou môžu pokojne vybrať z bankomatu všetky finančné prostriedky. Rovnako sa môžu zmocniť údajov z kariet vrátane bankových účtov a PIN kódov používateľov bez toho, aby si to vôbec všimli. Pre bežného používateľa je takmer nemožné odhaliť tento podvod, pretože neexistujú žiadne viditeľné či fyzické známky škodlivej aktivity.
Spiaci Zombie
Zločinecká skupina využívajúca na svoje podvody Skimer ťaží z toho, že malvér parazitujúci vnútri bankomatu dokáže sťahovať dáta z kariet pomerne dlhý čas bez povšimnutia. Preto sú vo svojich aktivitách veľmi opatrní. Ich cieľom je starostlivo ukryť akékoľvek stopy. Len tak môže malvér bezpečne operovať bez povšimnutia.
V „spánkovom“ režime dokáže malvér vydržať niekoľko mesiacov. Na jeho prebudenie používajú kriminálnici kartu so špeciálnym kódom nahratým na jej magnetickom pásiku. Okamžite po načítaní kódu dostane malvér povel k aktivácií pomocou špeciálneho menu. Hneď po vysunutí karty sa na obrazovke bankomatu objaví špeciálne grafické rozhranie požadujúce zadanie správneho číselného kľúča. Ten musí podvodník vyťukať na klávesnici do 60 sekúnd od vyzvania.
S pomocou špeciálneho menu vedia zločinci aktivovať 21 rozličných príkazov, ako napr. výdaj hotovosti (40 bankoviek z vybraného zásobníka), sťahovanie údajov z vložených kariet, samo-mazanie, aktualizáciu atď. Navyše, pri sťahovaní údajov z karty dokáže Skimer ukladať súbory s kópiami záznamov a PIN kódov priamo do čipu na karte alebo vytlačiť detaily karty na bankomatovú potvrdenku.
Vo väčšine prípadov sa ale podvodníci rozhodnú počkať a pomaly sťahovať dáta z kariet vložených do bankomatu, z ktorých si neskôr vytvoria kópie. Získané a skopírované údaje potom zneužijú pri operáciách v iných (neinfikovaných) bankomatoch. Týmto spôsobom zakrývajú stopy k napadnutému bankomatu, ktorý je potom ťažko odhaliteľný.
Veterán medzi zlodejmi
Skimer vykazoval najväčšiu aktivitu v období medzi rokmi 2010 a 2013. Počet útokov na bankomaty vtedy dramaticky vzrástol. Kaspersky Lab v tom čase vystopoval 9 rôznych kmeňov tohto malvéru. Jedným z nich bol aj Tyupkin, objavený v marci 2014 – patrí medzi najrozšírenejšie a najpopulárnejšie malvéry tohto typu. Teraz to však vyzerá, že Backdoor.Win32.Skimer je späť v akcii a v novej, pokročilej verzii sa snaží o masívny prienik (podobne ako pred časom Tyupkin). Kaspersky Lab doteraz identifikoval 49 modifikácií tohto malvéru, pričom až 37 z nich zaútočilo na bankomaty jedného z najväčších výrobcov. Posledná verzia bola objavená len začiatkom mája tohto roku.
S pomocou vzoriek zaslaných do databázy VirusTotal vieme odsledovať geografickú pôsobnosť malvéru a jeho rozšírenie. Posledných 20 vzoriek Skimerov pochádza z bankomatov nachádzajúcich sa vo viacerých krajinách sveta vrátane Českej republiky, Poľska, Nemecka, Francúzska, Španielska, Ruska, USA, Spojených Arabských Emirátov, Macaa, Číny či Brazílie.
Základné technické opatrenia
Experti z Kaspersky Lab odporúčajú zaviesť účinné preventívne opatrenia, ktoré by zabránili masívnemu rozšíreniu sa tejto hrozby a zaistili bezpečnosť bankomatov a ich používateľov. Jedným z najdôležitejších je pravidelný antivírusový skening, používanie len bezpečných a overených technológií, správna politika starostlivosti o zariadenia, úplné šifrovanie disku, ochrana centra bankomatu (ATM BIOS) pomocou hesla, spustenie systému len pomocou HDD, izolácia bankomatovej siete od ostatných interných bankových sietí.
„V tomto konkrétnom prípade netreba zabudnúť na jedno mimoriadne dôležité opatrenie. Backdoor.Win32.Skimer sa aktivuje pri rozpoznaní spravidla 9-miestneho číselného kľúča nahraného na magnetickom pásiku karty. Nám sa podarilo detekovať číselné kódy využívané týmto malvérom a poskytli sme ich bezplatne aj bankám. Banky tak môžu skontrolovať, či sa tieto číselné kódy nenachádzajú v ich systémoch, identifikovať potenciálne napadnuté bankomaty alebo zablokovať akýkoľvek pokus útočníkov aktivovať malvér,“ povedal Sergey Golovanov, hlavný výskumník, Kaspersky Lab.
Produkty spoločnosti Kaspersky Lab detekovali túto hrozbu ako Backdoor.Win32.Skimer.
