2000 yılında Rus bir siber dolandırıcı grubunun, ATM’leri kullanıcılarının paralarını çalmak amacıyla kullandığı keşfedilmişti. Bu; ATM’leri hedef alan ilk kötü amaçlı programdı. Yedi yıl sonra, siber suçlular bu kötü amaçlı programı yeniden kullanmaya başladı: ancak hem hırsızlar, hem de programlar gelişti. Bu kez dünyadaki bankalara ve müşterilerine karşı daha da gelişmiş bir tehdit sözkonusu.
Olay yeri müdahale ekibinin araştırması sırasında, Kaspersky Lab uzman ekibi suç planını çözdü ve bankalardan birinin ATM’sinde kötü amaçlı Skimer programının gelişmiş bir sürümüne ait izler keşfetti. Oraya yerleştirilmişti ve siber suçlular bir talimat göndermediği sürece inaktif durumda kalacaktı, bu da izlerini gizlemenin akıllıca bir yoluydu.
Skimer grubu, eylemlerine ATM sistemlerine erişim sağlayarak başladı. Bu erişim fiziksel olabileceği gibi bankanın kendi iç ağı üzerinden de olabiliyor. Daha sonra ise Backdoor.Win32.Skimer’in sisteme başarılı bir şekilde kurulmasının ardından ATM’nin çekirdeğine ulaştı.
Programın bulaştığı ATM’ler üzerinde suçlular bu şekilde tam kontrol sahibi oluyorlar, yine de dikkatli bir şekilde adım atıyorlar ve bu alanda yetenek sahibi oldukları eylemlerinden anlaşılıyor. Dolandırıcı aygıtlarını (gerçek kart okuyucu üzerinde kurulmuş gerçek gibi görünen sahte kart okuyucu) kart bilgilerini çalmak için kurmak yerine, tüm ATM’yi dolandırıcı cihazı haline getiriyorlar. ATM’ye Backdoor.Win32.Skimer’in başarıyla bulaşmasının ardından, suçlular ATM’deki tüm parayı çekebiliyorlar veya ATM’de kullanılmış olan kartlara ait bilgileri alabiliyorlar: bu bilgiler arasında müşterinin banka hesap numarası ve kart şifresi de var. ATM’yi kullanan herhangi bir kişinin bu ATM’yi normalinden ayırt etmesi mümkün değil. Kötü amaçlı olduklarına dair herhangi bir fiziksel işaret yok, dolandırıcı cihazlarla olan durumlarda ise tam tersi, daha profesyonel bir kullanıcı makinenin gerçek kart okuyucuyla yer değiştirdiğini fark edebiliyor.
Uyuyan dev uyandı
Para kutularından direkt para çekilmesi durumunda, ilk tahsilatın hemen ardından bu durum anında ortaya çıkıyor, ancak ATM içindeki kötü amaçlı yazılım uzun zaman boyunca kartlardan veri çalabiliyor. Bu yüzden Skimer suçlular hemen harekete geçmez, izlerini saklama konusunda çok dikkatlidirler: kötü amaçlı yazılımlar, bulaştıkları ATM üzerinde herhangi bir aktiviteye girişmeden birkaç ay boyunca işleyebilir.
Programı harekete geçirmek için, suçlular manyetik şerit üzerinde belirli kayıtlar bulunan özel bir kart sokuyorlar. Kayıtları okuduktan sonra, Skimer hem içine gömülmüş komutları çalıştırabiliyor hem de kart tarafından aktif hale getirilen özel bir menu üzerinden komut isteyebiliyor. Skimer’in grafik arayüzü ekrana yalnızca kart çıkarıldıktan en geç 60 saniye sonra tuş takımına suçlu tarafından doğru oturum şifresi girildiği takdirde geliyor.
Bu menünün yardımıyla, suçlu para dağıtımı (belirli kutudan 40 hesap), girilen kart bilgilerini toplama, kendini slime, güncelleme (kart çipine gömülü güncellenmiş kötü amaçlı koddan) vs. gibi 21 farklı komutu aktif hale getirilebiliyor. Ayrıca kart bilgilerini toplarken, Skimer aynı kartın çipi üzerindeki döküm ve şifrelerle dosyayı kaydedebilir veya topladığı kart bilgilerini ATM makbuzu üzerine yazdırabiliyor.
Olayların büyük çoğunda suçlular beklemeyi ve daha sonra kopyalarını yapabilmek üzere kart bilgileri toplamayı seçiyor. Bu kopyalarla farklı ve temiz bir ATM’ye gidiyorlar ve müşterilerin hesaplarından gelişigüzel bir biçimde para çekiyorlar. Bu yöntemle suçlular, kötü amaçlı program bulaşan ATM’lerin yakın zamanda tespit edilemeyeceğinden emin oluyor.
Skimer 2010 ve 2013 yılları arasında kapsamlı bir biçimde dağıtıldı. Ortaya çıkışının ardından, Kaspersky Lab tarafından tanımlanan dokuz farklı kötü amaçlı yazılım ailesiyle birlikte, ATM’lere yapılan saldırılardaki sayı şiddetli bir biçimde artış gösterdi. Buna Mart 2014’te keşfedilen ve en popüler ve yaygın kötü amaçlı yazılım haline gelen Tyupkin family de dahil. Yine de, şu an Backdoor.Win32.Skimer yeniden harekete geçmiş gibi görünüyor. Kaspersky Lab şu an, en büyük imalatçıların yalnızca birinin ATM’lerini hedef alan 37 modifikasyonuyla birlikte bu kötü amaçlı yazılımın 49 modifikasyonunu tanıyor. En güncel sürümü Mayıs 2016’nın başında keşfedildi.
VirusTotal’e sunulan numunelerin yardımıyla, bu yazılımın bulaştığı potansiyel ATM’lerin çok geniş coğrafik bir dağılımda olduğunu görebiliyoruz. Skimer ailesinin son 20 numunesi dünya çapında 10’dan fazla lokasyon üzerinden yüklendi: BAE, Fransa, ABD, Rusya, Macao, Çin, Filipinler, İspanya, Almanya, Gürcistan, Polonya, Brezilya, Çek Cumhuriyeti.
Tehdide karşı önlemler alınabilir
Bu tehdidi önlemek için, Kaspersky Lab beyaz liste teknoloji kullanımı, iyi bir cihaz yönetim politikası, tam disk şifrelemesi, ATM’nin BIOS’unu bir şifreyle koruma, yalnızca HDD önyüklemesine izin verme ve ATM ağını diğer banka içi ağlardan izole etmenin eşlik ettiği düzenli AV taramalarının yapılmasını öneriyor.
Kaspersky Lab’da Güvenlik Araştırmacısı Şirket Ortağı olan Sergey Golovanov şunları söyledi: “Bu özel durumda uygulanabilecek önemli bir ilave karşı önlem mevcut. Backdoor.Win32.Skimer kartın manyetik şeridinin içine gömülerek kodlanmış bilgiyi, aktif hale getirilip getirilmeyeceğini tanımlayabilmek amacıyla kontrol eder. Kötü amaçlı yazılım tarafından kullanılan gömülü numaraları keşfettik ve bankalarla ücretsiz paylaşıyoruz. Bankalar bu numaraları aldıktan sonra, süreç sistemlerinin içinde proaktif olarak arama yapabilirler, yazılım bulaşmış olabilecek potansiyel ATM’leri ve para kuryelerini tespit edebilir veya kötü amaçlı yazılımı aktif hale getirme girişiminde bulunan saldırganları engelleyebilir.”