Zatrudniony w firmie Sophos ekspert od wirusów Vanja Svacjer poinformował na łamach firmowego bloga o swoim najnowszym odkryciu: jest nim trojan wykradający kody PIN. Interesujący jest przy tym fakt, iż trojan ten jest wyspecjalizowany w oprogramowaniu bankomatów firmy Diebold z zainstalowanym systemem Windows.
Problem
Gdy Svacjer postanowił sprawdzić plotki na temat szkodliwego oprogramowania do bankomatów i przetestował dostępny zbiór malware'u pod kątem możliwości jego zastosowania na urządzeniach firmy Diebold, jego uwagę zwróciły trzy pliki. Dokładniejsza analiza programów pozwoliła następnie na wykrycie kodu, który za pośrednictwem nieudokumentowanych funkcji z pakietu Agilis firmy Diebold nawiązywał komunikację z czytnikiem kart magnetycznych i przemycał własny kod do rozmaitych procedur realizowanych przez bankomat.
Zagrożenie
Svacjer twierdzi, że jest "raczej pewien", iż odkrył kod służący do przechwytywania kodów PIN wpisywanych na klawiaturze bankomatów. W tym miejscu wyjaśnienia eksperta budzą jednak pewne wątpliwości. W bankomatach spełniających wymagania niemieckiej centralnej komisji kredytowej ZKA (Zentraler Kreditausschuss) wprowadzanie PIN-u odbywa się za pośrednictwem specjalnie zabezpieczonego modułu HSM (Hardware Security Module), który bezpośrednio komunikuje się z czytnikiem kart. Działający w systemie operacyjnym bankomatu trojan nie potrafiłby raczej odczytać kodu PIN, ponieważ nigdy nie występuje on w otwartej postaci na zastosowanym tam komputerze. Na liście bankomatów dopuszczonych do użytku przez ZKA znajdują się także systemy firmy Diebold wyposażone w Windows XP i oprogramowanie Agilis.
W Polsce również wykorzystywane są bankomaty produkowane przez firmę Diebold, jednak moduł HSM nie jest wdrożony we wszystkich. Piotr Konieczny, konsultant bezpieczeństwa zainteresowany tą tematyką, twierdzi, że spotkał się z podobnymi konfiguracjami na przykład w Krakowie. Niektóre firmy od jakiegoś czasu instalują nowe moduły zabezpieczające i uważny użytkownik bankomatu jest czasami w stanie to dostrzec. Podczas prośby o wprowadzenie kodu PIN wyświetlany jest element, który wyglądem odstaje od reszty graficznego interfejsu; na przykład zamiast zintegrowanego z tłem formularza pojawia się stylistycznie odmienna nakładka.
Trzeba więc zauważyć, że Svacjer może mieć też trochę racji. Amerykański dziennikarz Robert McMillan napisał, że firma Diebold potwierdziła informacje o przypadkach występowania trojanów w rosyjskich bankomatach, co w styczniu tego roku skłoniło producenta do ostrzeżenia swoich klientów. Firma rozesłała nawet aktualizację bezpieczeństwa dla swojego windowsowego oprogramowania przeznaczonego do obsługi bankomatów.
Vanja Svacjer przypuszcza, że w celu przemycenia trojana potrzebny jest bezpośredni dostęp do bankomatu. W podsumowaniu napisał, że nie sądzi, iż dojdzie do znacznego rozpowszechnienia ataków na bankomaty. Mimo to program antywirusowy Sophosa rozpoznaje omawianego trojana jako Troj/Skimer-A.
wydanie internetowe www.heise-online.pl
