Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Kaspersky Lab har netop udvidet sit samarbejde med både Interpol og Europol. Det nye tættere samarbejde skal gøre det lettere at nå det fælles mål om at bekæmpe cyberkriminalitet. Samarbejdet har allerede båret frugt, da Kaspersky Lab og Interpol lige nu arbejder på en ny sag, hvor cyberkriminelle tømmer hæveautomater for kontanter i store dele af verden.
Kaspersky Labs sikkerhedseksperter har udført en kriminalteknisk undersøgelse af cyberkriminelle angreb rettet mod adskillige hæveautomater i store dele af verden. Via disse undersøgelser er der fundet malware, som gør, at bagmændene kan tømme hæveautomaterne for millioner af kroner. Interpol har advaret de berørte medlemslande og assisterer nu i den videre efterforskning.
Sådan foregår det
De arbejder om natten – men kun om søndagen og mandagen. De indtaster en PIN-kode på hæveautomatens tastatur, ringer til en bagmand, hvor de får endnu en kode, som de indtaster, hvorefter automaten begynder at spytte penge ud – helt uden brug af kreditkort. Herefter forsvinder de.
De kriminelle arbejder på to trin. Først skaffer de sig fysisk adgang til den udvalgte hæveautomat for at installere en malware via en cd. Malwaren har Kaspersky Lab døbt ”Tyupkin”. Når systemet genstartes, har de kriminelle kontrol over den inficerede hæveautomat.
Efter en succesfuld inficering kører malwaren i et uendeligt loop, indtil den modtager en kommando. For at gøre svindelnummeret endnu sværere at opdage, er Tyupkin programmeret til kun at modtage kommandoer på helt specifikke tidspunkter om aftenen på søndage og om mandage. Det er på præcis disse tidspunkter, at det er muligt at tømme de ramte maskiner for kontanter.
Hele dette forløb er blevet fanget på video af sikkerhedskameraer. En unik talkombination, baseret på tilfældige tal, bliver genereret ved hver session, hvilket sikrer, at ingen udefrakommende har mulighed for at indtaste den rigtige kode. Den kriminelle ringer til et andet medlem af gruppen og oplyser den kode, som der står på hæveautomatens display. Personen i den anden ende af røret kender algoritmen bag malwaren, hvorfor han kan generere en ny kode, som personen ved hæveautomaten herefter indtaster. Telefonopkaldet sikrer, at personen ved hæveautomaten ikke kan udføre kuppet alene og stikke af med pengene.
Når denne kode indtastes, viser maskinen hvor mange penge, der findes i hver enkelt kassette. Herefter skal der blot træffes et valg om, hvilken kassette, der skal tømmes. Hæveautomaten spytter nu 40 pengesedler ud ad gangen fra den udvalgte kassette.
Malwaren Tyupkin
Kaspersky Labs globale forsknings- og analyseteam har på opfordring fra en finansiel institution udført en kriminalteknisk undersøgelse dette cyberkriminelle angreb. Malwaren blev fundet af Kaspersky Lab og navngivet Backdoor.MSIL.Tyupkin. Den er indtil videre fundet i hæveautomater i Latinamerika, Europa og Asien.
”I løbet af de seneste år har vi set en større stigning af angreb rettet mod hæveautomater ved hjælp af skimming-enheder og malware. Vi ser nu den naturlige udvikling, hvor de cyberkriminelle bevæger sig op i fødekæden og angriber de finansielle institutioner direkte. Dette gøres ved, at selve hæveautomaterne inficeres eller ved hjælp af direkte APT-lignende angreb på bankerne. Tyupkin-malwaren er et eksempel på, hvordan hackere udnytter svaghederne i hæveautomaternes infrastruktur,” siger Vicente Diaz, Principal Security Researcher i Kaspersky Labs globale forsknings- og analyseteam.
”Vi anbefaler på det kraftigste bankerne at gennemgå netværkssikkerheden og den fysiske sikkerhed omkring deres hæveautomater samt at overveje at investere i gode sikkerhedsløsninger,” fortsætter Diaz.
”Gerningsmændene finder konstant nye tilgange for at udvikle deres kriminelle metoder, og det er essentielt, at vi holder myndighederne i vores medlemslande involveret og informeret om de nyeste tendenser og modus operandi,” siger Sanjay Virmani, direktør i INTERPOL Digital Crime Centre.