МВД сообщило о продолжении нападений на банкоматы с помощью обнаруженного полгода назад троянца Tyupkin Статьи редакции

Несмотря на публикацию «Лабораторией Касперского» в октябре 2014 года информации о троянской программе Tyupkin, позволяющей злоумышленникам опустошать банкоматы без банковских карточек, сами банки так и не обезопасили себя от этой угрозы. В марте МВД задержало группу взломщиков, попытавшихся с помощью Tyupkin ограбить банкомат в Москве на сумму в 5 миллионов рублей. Об этом сообщает газета «Известия».

Как рассказали газете представители МВД, в марте они задержали группу из трёх злоумышленников, попытавшихся украсть 5 миллионов рублей наличными из банкомата «Альфа-банка» в Москве. Против них уже было возбуждено уголовное дело по статье 158 УК РФ («Кража»), но в «Известиях» считают, что следствие может добавить и 273 УК РФ («Создание и использование вредоносных компьютерных программ»), так как помог взломщикам в ограблении троянец Tyupkin, предварительно загруженный в банкомат. По данным МВД, известно о нескольких десятках ограблений банкоматов в России по этой схеме.

Tyupkin позволяет заражать банкоматы под управлением одной из старых версий Windows XP, загружаясь в BIOS устройств через флешку или загрузочный компакт-диск. При активации Tyupkin сразу же отключает антивирус McAfee Solidcare, что затрудняет его обнаружение. Кроме того, большую часть времени он не показывает никакой активности, принимая команды от преступников только в ночи с субботы на воскресенье и с воскресенья на понедельник, рассказывали специалисты «Лаборатории».

У Tyupkin существует несколько модификаций: одна даёт злоумышленникам доступ к «секретному» меню банкомата, позволяя извлечь купюры. Ещё одна версия вредоносного ПО работает как скиммер: она умеет считывать данные введённых в банкомат кредитных карт и запоминать их PIN-коды. Другие модификации Tupkin умеют уничтожать следы своей активности, стирать видеозаписи с камеры банкомата и отключаться от сети, чтобы затруднить работу службы безопасности.

Чтобы снять деньги, злоумышленникам нужно было ввести на банкомате не только секретную команду, но и уникальный генерируемый сессионный ключ, защищающий от случайного доступа посетителями банка по принципу двухфакторной аутентифиакции. После этого следовало выбрать одну из кассет, в которой хранятся деньги, и затем начать их вывод: обычно устройства позволяют выдавать по 40 купюр за раз.

По данным VirusTotal, большинство вредоносных образцов программы было прислано из России.

Несмотря на то, что о троянской программе и её опасности стало широко известно ещё в октябре, некоторые банки до сих пор не озаботились защитой от её использования злоумышленниками и не собираются этого делать. Например, начальник управления безопасности информационных технологий «СМП Банка» Павел Головлев утверждает, что схема давно известна и не затрагивает интересы клиентов банка, а зампред правления «Локо-банка» Андрей Люшин считает, что в России такие ограбления не слишком распространены.

Часть опрошенных «Известиями» экспертов считает, что проще подождать полного покрытия сетей банкоматов наружными камерами видеонаблюдения, чтобы исключить возможности для физической кражи. При этом главной причиной эффективности такого рода краж называют халатность персонала или его сговор со злоумышленниками, а не технологические уязвимости оборудования.

Мы слышали о Tyupkin, но в самой программе ничего сверхординарного нет — это типичный троян. Опасность заключается в том, что речь идёт об утечке информации. Чтобы открыть банкомат, необходимо иметь дубликаты ключей, значит, их действительно передаёт кто-то из своих, а точнее продаёт. Менять замки и дорабатывать программы — это дополнительные затраты, поэтому лучше усилить контроль за ключами, инкассаторами и технической службой, тщательнее проверять персонал при трудоустройстве.

Эдуард Ахуньянов, начальник управления платёжных систем «Банка расчетов и сбережений»