Tyupkin, un backdoor folosit în Europa de Est pentru furtul banilor din ATM-uri

Tyupkin, un backdoor folosit în Europa de Est pentru furtul banilor din ATM-uri

Până acum, clienţii băncilor au riscat să rămână fără bani în cont fie în urma clonării cardurilor cu ajutorul skimmer-elor instalate pe ATM-uri, fie în urma interceptării datelor de autentificare în mediul online. Interpol şi Kaspersky au anunţat că au descoperit o reţea de infractori care au conceput o metodă şi mai avansată, prin instalarea unui backdoor pe ATM-uri aceştia reuşind să retragă bani direct din conturile băncilor.

Interpol şi Kaspersky afirmă că reţeaua infracţională, care activează în Europa de Est şi Rusia, a reuşit să compromită până acum securitatea a 50 de ATM-uri şi să extragă milioane de dolari direct din conturile băncilor. Backdoor-ul Tyupkin a fost descoperit în urma unui audit de securitate efectuat de Kaspersky la cererea unui client, compania având suspiciuni că utilizarea acestuia s-ar fi extins între timp şi în Statele Unite, China şi India.

Tyupkin afectează doar anumite modele de ATM-uri, acesta fiind creat pentru a exploata vulnerabilităţile unor modele Windows x86 fabricate de un producător nedivulgat. Backdoor-ul nu se poate răspândi de unul singur, filmările camerelor de securitate arătând că acesta a fost instalat manual prin intermediul unui disc optic de către nişte infractori care au reuşit cumva să obţină acces fizic deplin la sistem.

După instalare, malware-ul Tyupkin foloseşte diverse tehnici pentru a-şi camufla prezenţa, acesta fiind activ doar într-un anumit interval orar. În perioada în care este funcţional, software necesită introducerea unui cod din şase cifre pentru activare, infractorii care extrag banii primind telefonic codul de acces de la operatorii reţelei. După introducerea codului, ATM-ul afişează sumele de bani disponibile în casetele de depozitate, infractorii putând extrage liniştiţi cel mult 40 de bancnote într-o singură sesiune direct din conturile băncii. În acest timp, conexiunea la Internet este dezactivată, infractorii încercând să evite astfel posibile analize sau investigaţii în timp real.

Deoarece Tyupkin nu foloseşte în nici un fel datele clienţilor, aceştia nu sunt în pericol să-şi vadă conturile golite, singurul păgubit fiind banca ale cărei fonduri lichide s-au evaporat din ATM.

Prima versiune a backdoor-ului Tyupkin a fost compilată în luna martie a acestui an, infractorii dezvoltând între timp versiuni noi care folosesc metode mai avansate pentru a ocoli sau păcăli sistemele anti-malware.

Tags: