مختصری درباره هک دستگاه های خودپرداز با بدافزار Tyupkin

بدست آوردن پول، همیشه یک انگیره مناسب برای مجرمان سایبری است که تلاش کنند تا با ترفندهای مختلف، شماره کارت های کاربران را مورد هدف قرار دهند اما اکنون مجرمان سایبری با استفاده از بدافزارهای تخصصی به منظور برداشت پول حتی بدون نیاز به کارت، دستگاه های خودپرداز یا ATM را مورد هدف قرار می دهند.

برنامه درب پشتی (Backdoor) جدید با لقب "Tyupkin"، به دسترسی فیزیکی به دستگاه ATM که در حال اجرای پلت فرم ویندوز 32bit است و راه اندازی (یا بوت کردن) CD به منظور نصب بدافزار، نیاز دارد. به گفته محققان، این تهدید همچنان ادامه دارد و دستگاه های خودپرداز مختلفی را در آسیا، اروپا و آمریکای لاتین آلوده کرده است.

هیچ جزییاتی درباره باندهای جنایی در پشت این حملات منتشر نشده است، اما آنها در حال حاضر "میلیون ها دلار" از دستگاه های خودپرداز در سراسر جهان با استفاده از این بدافزار پیچیده، به سرقت برده اند. شرکت  امنیتی Kaspersky و Interpol، در حال همکاری با یکدیگر هستند تا تلاش های این باند را خنثی کنند. این بیانیه مشترک در روز سه شنبه منتشر گردید.

Vicente Diaz، محقق امنیتی آزمایشگاه Kaspersky گفته است که: "در طول چند سال گذشته، ما شاهد یک فراز و نشیب بزرگ در حملات ATM با استفاده از دستگاه های Skimming و نرم افزارهای مخرب بوده ایم، "

"اکنون ما شاهد تکامل طبیعی این تهدید با جنبش زنجیره وار مجرمان سایبری و مورد هدف قرار دادن موسسات مالی به طور مستقیم، هستیم. این تهدید با آلوده کردن خود دستگاه های خودپرداز یا راه اندازی حملات با سبک تهدید پیشرفته ی مداوم (APT) علیه بانک ها، انجام می شود. بدافزار Tyupkin، نمونه ای از حمله نفوذگران با استفاده از نقاط ضعف در زیرساخت ATMها می باشد."

 TYUPKIN، چگونه حمله می کند؟

برای نصب درب پشتی مخرب، نیاز به حضور فیزیکی و قرار دادن CD (قابل بوت) می باشد. هنگامی که دستگاه مجدد بوت می شود، ATM تحت کنرل این باند جنایی قرار می گیرد. این بدافزار پیچیده در پس زمینه اجرا می شود و در یک حلقه بی نهایت منتظر دستور از طرف نفوذگر می ماند. با این حال، این بدافزار فقط دستورات را در یک شرایط خاص زمانی قبول می کند.

علاوه بر این، یک کلید ترکیبی منحصربفرد براساس اعداد تصادفی، تولید می شود- به طوری که این امکان فراهم شود، در صورتی که اعضای عمومی یا افراد دیگر بخواهند کد را وارد کنند، از این کار جلوگیری شود. این کد کلید نیاز دارد که قبل از منوی اصلی وارد شود.

"این اپراتور مخرب، دستورالعمل ها را از طریق تلفن اعضای دیگر این باند که می دانند الگوریتم چیست، دریافت می کند و قادر است که یک کلید نشست را تولید کند."


هنگامی که این کلید نشست به درستی وارد شود، ATM جزییات اینکه چقدر پول در هر کاست پول موجود است را نشان می دهد و از اپراتور دعوت می کند که کاست مورد نظر خود را برای سرقت پول، انتخاب کند.

 کشورهای آلوده به بدافزار TYUPKIN

در طول تحقیقات انجام شده توسط محققان بروی بیش از 50 دستگاه ATM از موسسات بانکی در سراسر شرق اروپا متوجه شده اند که اکثر ارسالی های Tyupkin در روسیه اتفاق افتاده است. این بدافزار به نظر می رسد که در کشورهای آمریکا، هند، چین، اسرائیل، فرانسه و مالزی گسترش پیدا کرده است.

 

علی اصغر جعفری لاری

علی اصغر جعفری لاری هستم. از سال 82 وارد دنیای "نفوذگری در وب" شدم و به صورت فردی، فعالیتم رو در این حوزه شروع کردم. پس از شش سال، دیدگاه اصلی من نسبت به این علم، به سمت و سوی "هک اخلاقی" تغییر پیدا کرد و سعی کردم شش سال دوم تجربیات زندگیم رو به صورت قانونمند و سودمند پیش ببرم. تخصص اصلی من "تست نفوذ برنامه های کاربردی وب" و تحقیق در حوزه "امنیت سایبری" هست و از روی علاقه، به مباحثی همچون تست نفوذ حوزه هایی مثل شبکه های بیسم، برنامه های کاربردی موبایل، کلاینت ها،سیستم های صنعتی و امواج رادیویی نیز پرداختم. تاکنون شش کتاب در حوزه هک و امنیت تالیف و ترجمه کردم و تیم پارسینگ رو برای رسیدن به اهداف بلندش یاری کردم.

وبگاه: www.parsing.ir پست الکترونیکی این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: