Специалисты антивирусной компании «Лаборатория Касперского» зафиксировали новую волну краж средств, которая получила название KoffeyMaker. На протяжении всего этого года злоумышленники опустошали банкоматы в странах Восточной Европы, имея в своём арсенале лишь ноутбуки и пару легальных программ. Одной из них оказалась модифицированная версия утилиты для тестирования работы диспенсера, выдающего деньги, – KDIAG. Ранее той же самой версией этой программы пользовались киберпреступники из группировки Carbanak.
Принцип ограбления KoffeyMaker схож с Cutlet Maker, однако на этот раз злоумышленникам не понадобилась ни одна вредоносная программа, все необходимые инструменты и инструкции можно было скачать на специализированных сайтах. Для проведения атаки было необходимо вскрыть банкомат и напрямую подключить свой ноутбук к диспенсеру через USB. После этого злоумышленник оставлял своё устройство в корпусе банкомата, закрывал его и уходил. Далее управление ноутбуком осуществлялось удалённо.
«Обмануть» банкомат помогали предварительно установленные необходимые драйверы, благодаря им диспенсер воспринимал сторонний ноутбук как компьютер банкомата. Далее злоумышленник запускал измененную версию KDIAG, которая позволяла в нужный момент выдать все содержащиеся в диспенсере деньги. После этого достаточно было подойти в определенный момент и забрать деньги. Через некоторое время злоумышленники возвращались, чтобы забрать устройство.
«В этих ограблениях не использовались вредоносные программы, а подключаемые к диспенсерам ноутбуки по окончании операции преступники забирали с собой, поэтому крайне сложно установить, кто стоит за инцидентами и идёт ли речь о новой группе или отдельных случаях, – рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Эти инциденты в очередной раз подтверждают, что злоумышленники могут не обладать глубокими знаниями в IT, более того, для достижения своих целей они всё чаще выбирают легальные инструменты, которые позволяют им оставаться незамеченными».
Для противодействия таким атакам необходимо надёжно защитить часть соединения диспенсера и компьютера банкомата – никто посторонний не должен получить к ним доступ. Если позволяют технические возможности, следует настроить шифрование между диспенсером и компьютером – эта мера поможет избежать подмены управляющего центра банкомата.