Банкоматы атакует вирус Tyupkin

За последние несколько недель в Москве произошла целая серия взрывов банкоматов. Первый взрыв был зафиксирован на Новоясеневском проспекте. Преступники подорвали банкомат Сбербанка. Однако злоумышленникам не удалось завладеть деньгами, так как сработала пожарная сигнализация, и грабители скрылись ни с чем. Второй взрыв произошел на улице Обручева спустя несколько дней после первого. Двое грабителей взорвали банкомат Сбербанка и похитили 2,5 млн рублей. Третий случай произошел 12 марта — на Нахимовском проспекте злоумышленники взорвали банкомат ВТБ24. В конце прошлой неделе оперативники Московского уголовного розыска и сотрудники Федеральной службы безопасности задержали подозреваемого в совершении нападений на банкоматы.

Несмотря на все эти случаи, в МВД гораздо сильнее обеспокоены активизацией в России преступных кибергруппировок, обчищающих банкоматы с помощью нового компьютерного вируса Tyupkin. Так, в марте назад в центре Москвы была задержана группировка, пытавшаяся с помощью такой программы получить в банкомате Альфа-банка 5 млн рублей.

Подобные ограбления обычно происходят по следующей схеме: одна группа преступников открывает сервисный блок банкомата и вводит программу, которая заражает компьютер вирусом Tyupkin. Когда аппарат наполняется деньгами, другая группа воров активирует с клавиатуры самого банкомата доступ к сервисному меню и дает команду на выдачу всех купюр. МВД и создатели антивирусов считают Tyupkin новым типом угроз для банковского сообщества, который будет актуальным в криминальном мире в ближайшее время, поэтому призывают банки уделить повышенное внимание безопасности. 

Спецоперацию против группировки высокотехнологичных воров проводили оперативники Бюро специальных технических мероприятий (Управления «К») и Главного управления угрозыска (ГУУР) МВД при поддержке бойцов отряда СОБР «Рысь». Оперативники задержали при попытке получения 5 млн рублей из банкомата Альфа-банка в доме 32 на Олимпийском проспекте трех уроженцев Ленинградской области. Против них уже возбуждено уголовное дело по статье 158 УК («Кража»). В ближайшее время к обвинениям может добавиться статья — 273 УК («Создание и использование вредоносных компьютерных программ»): как выяснилось, предварительно в этот банкомат был загружен вирус, с помощью которого грабители и пытались получить все находившиеся в нем деньги. 

Речь идет о появившейся в 2014 году вредоносной программе Tyupkin, которая уже доставляет серьезное беспокойство банкирам в России, Европе, США, Китае. В МВД говорят, что Tyupkin сейчас стал инновационным трендом в отечественном криминалитете, — уже известно о нескольких десятках ограблений банкоматов по этой схеме. 

Ограбления проводят хорошо организованные группировки с четким распределением ролей. 

— Одна группа вскрывает сервисный блок банкомата, который обычно защищен слабо и на нем не стоит сигнализация, — рассказал «Известиям» официальный представитель Управления «К» МВД Александр Вураско. — В зависимости от модели банкомата злоумышленники загружают вирус с компакт-диска или флешки в систему BIOS, закрывают банкомат и уходят.

С момента заражения вирусом, злоумышленники получают возможность управлять банкоматом.

Банкоматы опустошает другая группа воров.   

— Они вводят одноразовый код, который им выдает организатор, вирус показывает на дисплее сервисное меню, через которое можно управлять всеми функциями, в том числе и выдачей наличных, — пояснил Александр Вураско. — Они снимают всю имеющуюся в банкомате наличность. Обычно банкомат выдает до 40 купюр единовременно, но у зараженного ограничений не будет — деньги будут сыпаться из аппарата непрерывно.  

Атакам обычно подвергаются широко распространенные банкоматы, работающие под управлением Microsoft Windows XP. Вирус Tyupkin имеет несколько модификаций. Некоторые версии также занимаются скиммингом — считывают данные с магнитных полос пластиковых карт и запоминают PIN-коды, другие позволяют уничтожать следы Tyupkin и стирают видеозаписи. 

В отличие от скимминга, когда потерпевшими становятся граждане, в случае с вирусом Tyupkin пострадавшими выступают сами банки. В одном банкомате помещается в среднем 10 млн рублей, поэтому ущерб для банков может быть существенным. 

Представители «Лаборатории Касперского» относят Tyupkin к новому типу угроз для банковского сообщества, которые в скором будущем заменят традиционный скимминг. 

— Для жуликов это прогрессивная технология, которая позволяет резко сократить количество различных действий и трансакций, — рассказал «Известиям» руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов. — Уже не нужно переводить деньги с карты на другие счета и создавать фальшивые компании, чтобы прогнать деньги через их счета. 

Эксперты отмечают крайнюю опасность нового вируса. 

— Эти программы достаточно сложные, ведь, кроме навыков программирования, необходимо понимать, как работает банкомат, — добавил Руслан Стоянов. — Но там, где есть деньги, начинает работать преступная мысль. Я думаю, что такие программы будут появляться и дальше.  

МВД регулярно контактирует с банковским сообществом, чтобы предупредить о новых криминальных технологиях и рекомендовать методы защиты. Например, оперативники призывают банкиров устанавливать сигнализацию и менять замки сервисного отсека.

Эксперты говорят, что стоимость защиты от Tyupkin не будет астрономической. 

— Исключение доступа к начинке банкоматов уже серьезно затруднит для злоумышленников реализацию атаки, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Стоимость таких мер зависит от размеров сети банкоматов и полноты самих мер. По оценке наших аналитиков, для крупной сети из нескольких десятков тысяч банкоматов комплекс мер, повышающих защиту от Tyupkin, обойдется в несколько сотен миллионов рублей.

По его мнению, необходимо ужесточить ответственность как за совершение подобных атак, так и за пособничество. Во втором случае речь идет об ответственности инсайдеров — сотрудников банков, которые дают преступникам информацию или передают ключи от банкоматов.

— Для банковской сферы обеспечение физической безопасности объектов, в первую очередь банкоматов, стоит на первом месте, — рассказал директор департамента аудита защищенности Digital Security Алексей Тюрин. — Но если банк допускает возможность проведения различных манипуляций с банкоматами, включая взлом, атаку в лоб, то никакая защита информационных систем на программном уровне не поможет. Схема Tyupkin — взлом банкомата, перезагрузка ОС и проведение других необходимых манипуляций — очень грубая, топорная, поэтому не может пройти незамеченной. Здесь речь может идти скорее об ужесточении политики безопасности внутри банковских организаций, чем о принятии законодательных мер. 

В банковском сообществе знают о Tyupkin, но пока не считают его серьезной угрозой.  

— Эта схема давно известна, и за это время банки научились отрабатывать подобные риски, — рассказал начальник управления безопасности информационных технологий СМП Банка Павел Головлев. — Существуют различные технические и организационные решения, которые позволяют нивелировать риски в рамках стратегии каждого конкретного банка. Проблема совершенно не затрагивает интересы клиентов банков. Кроме того, многие участники рынка страхуют банкоматы и наличность в них.

— Мы слышали о Tyupkin, но в самой программе ничего сверхнеординарного нет — это типичный троян. Опасность заключается в том, что речь идет об утечке информации. Чтобы открыть банкомат, необходимо иметь дубликаты ключей, значит, их действительно передает кто-то из своих, а точнее продает, — рассказал «Известиям» начальник управления платежных систем Банка расчетов и сбережений Эдуард Ахуньянов. — Менять замки и дорабатывать программы — это дополнительные затраты, поэтому лучше усилить контроль за ключами, инкассаторами и технической службой, тщательнее проверять персонал при трудоустройстве.

— В России подобные высокотехнологичные способы краж не слишком распространены. Пока преступники предпочитают похищать банкомат целиком, чтобы распотрошить его, — рассказал зампред правления Локо-банка Андрей Люшин. — Камер наблюдения в городе всё больше, и через год-два не останется мест, не оснащенных видеонаблюдением, поэтому проблема с этой технологией взлома отпадет сама собой.

По его словам, развитие средств взлома и средств защиты идет циклично, поэтому на очередную уловку преступников в течение 1–2 месяцев появляются меры противодействия. 

Начальник аналитического управления банка БКФ Максим Осадчий говорит, что пробелы в системах безопасности возникают в том числе и из-за элементарной халатности банковского персонала.

— Например, если не меняются заводские ключи и замки от верхней панели банкомата. Или если банкоматы не оборудованы сигнализацией — а именно такие аппараты и грабят с помощью Tyupkin, — пояснил Максим Осадчий. 

Что касается общего ущерба от Tyupkin, то, по его мнению, потери могут измеряться миллиардами рублей. 

— Речь идет о десятках, а возможно, и сотнях инфицированных банкоматов. Если речь идет о России, то обычная загрузка банкомата может быть 5–10 млн рублей, поэтому ущерб от выпотрошенных с помощью Tyupkin  банкоматов может измеряться миллиардами рублей, — добавил Максим Осадчий.

В феврале 2014 года Центробанк России предложил ввести уголовную ответственность не только за изготовление оборудования для несанкционированного считывания информации с банкоматов и вредоносных программ, но и за их использование и хранение.