Как взломать швейцарский банк

Обновлено: 02.10.2022

Чуть не забыл - когда WhoIs'ом
увидишь диапазон адресов данной
организации, например 195.xxx.xxx.0 - 195.xxx.xxx.127 (угадай,
какому банку принадлежит диапазон:) и
просканишь их на предоставляемые службы (ftp,www
и т.д.), сможешь увидеть, что из 128 адресов
работают лишь 4 - не верь им. Эти 4 работают
для лохов - а мы с тобой найдем минимум еще
штук 8 - которые и проводят все операции. Hosts
Monitor - в IPTools - вещь для ентого и
предназначенная. Host ALIVE.

Помни - безопасность
превыше всего!

Вспомни, до чего довела
небрежность старика Кевина:( Все будем
делать аккуратно. После того, как ты выяснил
какая система стоит у этих чудиков (1я буква
может быть другой:), надо найти эксплойт. Под
ВСЕ(или почти все) системы есть эксплойты.
Так вот, достаешь скачанный заранее
эксплойт и сэйвишь и компилишь исходник ( с
этим проблем быть не должно, хотя раз на раз
не приходится:(). Далее ставишь им сервер
прогу SpyTech Shadow Net (была первая прога, которую
я купил;) - это НЕ троян и антивирусы ее не
видят, даже когда она не вылезает из
памяти,) и запускаешь ее с анонимностью и
дело в шляпе. Логи ты уже подчистил (прог под
энто дело просто куча). Дальше, после того
как отоспишься, той же самой прогой
получаешь управление Win- машинами (главное
чтобы ты был под *nix'ом). А после этого
лазаешь и смотришь - у кого какие файлы на
диске обитают и с чем люди работают. Тебе
нужно найти инфу о счетах, и каким образом
они проводят подтверждение переводов и
сколько подтверждений и каких должно
пройти. Добираешься до клиентской базы, и
если банк открывает счета по Inet'у, то
подтверждение высылают по электронной
почте. Ты открываешь ОЧЕНЬ похожий email (с
различием в букву или цифру) на том же
серваке, что и владелец счета, малость
меняешь номер телефона и все возможные
средства связи на другие и ставишь свой
НОВЫЙ email (можешь заняться перебором
паролей к его ящику). Если этот банк (в
оффшорной зоне) предоставляет доступ к
операциям со счетами, то есть со своего
вебовского сервака, то на следующий день из
W2k (c FW и каскадингом проксей) заходишь на
операции со счетами и пишешь, что забыл свой
пароль (можешь использовать тот, что вынул и
раскодировал), они после энтого отсылают на
проставленное тобой мыло либо просят
повторно ввести все данные о себе (тогда
лучше юзать пароль к
счету, который поднял из базы данных о
клиенте). Этот счет теперь твой. Зайдя под
новым паролем переводишь бабуленций на
анонимный счет в веб банке (который нашел
через АПОРТ). Дальше - больше. Еще несколько
легальных ( анонимных переводов по
анонимным счетам) и ты кидаешь в итоге самую
малость на карточный счет (лучше, конечно,
если он на каймановых островах), и снимаешь
баксов 10 в рублях в каком-нибудь банкомате (в
банкоматах камеры стоят - помни! смени
прикид и че-нть на башку надвинь). После
этого покупаешь пиво и идешь бухать (заработал!).
Добравшись в следующий раз до компа (не
забыл: FW+proxy), каждый день переводишь
кусочками понемножку на российский счет, и,
когда все средства на твоем счете (банкомат
все равно не даст снять много), топаешь в
центральное отделение получать все бабки,
которые не превышают лимит для налоговой.
Потом закрываешь счет и уезжаешь на "деревню
к дедушке". Но сначала - проверь есть ли
еще контроль над банком. Все еще есть -
значит, чисто сработал, либо они рогатые
животные. Может, повторим? А вот и нет!
Практика показала, что во 2-й раз все
значительно сложней и великие люди
засыпаются, когда хотят сделать себе "кормушку".
Теперь сними оттуда все, что тобой было
закачено/запущено. Оставь только прогу (aka
virus), что переводит на твой (еще 1 реально-липовый
электронный) счет в этом банке доли копеек (центов)
при операциях по обмену валют и внедри ее
туды - считай что ты миллионер, но такие
проги быстро просекают.

Что, устали детишки,
считать себя use'верями? И правильно - это в
нашем "ключе". Свою qualify надо поднимать.
Как? Вершина - взлом пентагона. Но его
столько раз ломали - что уже не интересно. Да
и кому он нужен? Когда Аль Капоне спросили,
почему он грабит банки, он сказал:

"Потому что там лежат
деньги!".

Умный был мужик, только
пил много:))) Ну так вот - если если есть
желание следовать заветам Великого Вождя (не
пить, а деньги переводить:), то могу помочь. ).
Попутно придется и книжек почитать, и по
сетке полазить, и проклинать дебилов,
которые не хотят ставить на банковские
серваки MustDie! Приступим. Ставить будем W2K (для
предварительной разведки) и Red Hat Linux (или
FreeBSD- система заточена под сетку) - для всей
остальной деятельности. Перво-наперво надо
юзануть по полной ПМ (Partition Magic, а не Пистолет
Макарова:) и создать основной раздельчик
под Linux (до 2Gb) и в расширенном - раздел
подкачки (swap= RAMх2). А как же любимый MustDie'98se? А
никак - поверх ставим W2k Pro - и на вопрос: "Преобразовать
в NTFS?", ответим :"Yes, of course". Кто
работал с W2k, знает, что система устойчивая и
дядька Билли постарался на славу :). Кстати, а ты
знал, что W2k могет без проблем выполнять
некоторые проги под OS/2 и POSIX? То-то. Когда с
Win'oм будет покончено, будем ставить Красную
Шапку - Red Hat Linux (по-ихнему), или FreeBSD (несколько
лежат на Ftp-серваке Cityline). Ну а если Шапка - то
главное чтоб версия была 6-7. Если регулярно
читаешь " Домашнюю энциклопедию будущих
хакеров" , то значит,
соединение с inet'ом настроить сможешь.
Правда, в Шапке есть прога Kppp -
она сможет сделать все тоже самое только
быстрей.

Ну как? Уже сбегал за
макулатурой к метро? Зачем она тебe? У тя
есть Inet. Запускаешь до боли знакомый, но
приятный, Netscape - и на русский сайт по своему
*Nix'у!

Да, и чуть не забыл! Смени
все Nick'и и открой еще один ящик (e-mail) и
подпишись на рассылки, посвященные
безопасности, "дыркам" в системах,
хакерах и всему подобному в этом ключе. И
нечего всем вокруг рассказывать, что
собираешься банк ломануть - а то далекая
перспектива попасть в места "не столь
отдаленные" может стать
не такой уж "далекой" . 🙁

Прошли годы. (у кул
хацкеров это неделя!) Пора подумать и о
безопасности. А то ребята на "козлике"
тебя навестят:) Так вот, разведку будем
делать сначала из-под W2k . Ставим AtGuard,
заблокировав все, что только возможно:),
шизофренически- маниакальный NetArmor (если
вытерпишь:) и A4Proxy (каскадинг прокси). В A4Proxy
есть раздельчик "Anonimity Rank" - сделай его
15 из 15, пощелкав по check box'ам. Для пущей
секьюрити PGP 6.0.2 (эта версия еще
поддерживает кодирование дисков), качаем
свежих троянов (потрясная штука: SpyTech Shadow Net,
ни 1 антивирус ничего не нашел - не троян все-таки,
а прога удаленного администрирования,
после того как я на себя поставил и клиента
и сервера - www.spytech-web.com)
и заводим сетевой диск на www.xdrive.com ,
куда будем скидывать закодированные
результаты "разведки". Может потом и
приедут ребята на "козле", а ты косишь
под "тупого ламера" - ничего и не знаешь:
"Квейк по сетке - это круто!". Настала
пора выбрать цель, что проще пареной репы -
куда Бог(АltaVista) пошлет. Желательно
англоязычная страна и банк-эмитент
карточек. "Vassisualyi Pupakov Bankos", например.

> Все проги перечисленные в данной статье Вы можете скачать с нашего сайта


Ох уж этот «Сбербанк», который всегда оказывается в центре различных скандалов и интриг в последнее время. На днях на просторах видеохостинга YouTube появилось крайне необычное видео, в котором один из пользователей всего за 10 секунд сумел взломать банкомат этой организации, который работает на базе операционной системы Windows XP, выпущенной на рынок более 15 лет назад. То, что видит пользователь при работе с этим устройством – это лишь графическая оболочка, под которой скрывается старая и устаревшая ОС.

Как оказалось, абсолютно любой банкомат «Сбербанка» любой желающий может взломать всего за 10 секунд, воспользовавшись особенностью операционной системы Windows XP. На видео видно, как потенциальный хакер пять раз подряд нажал на кнопку «Shift», после чего система предложила ему настроить залипание клавиш. В связи с этим россиянину удалось получить полный доступ к к банкомату, а вернее ОС, на базе которой он работает.


Извлечь деньги из банкомата таким образом нельзя, поскольку для этого используется специальная защищенная среда фирменного ПО, однако вывести любой банкомат «Сбербанка» из строя – запросто. Этого можно добиться путем удаления каких-то расширений или же отдельных файлов, которые нарушают работу всего устройства и фактически выведут его из строя до того момента, пока специалисты банка не переустановят на нем ОС.


Именно поэтому россиянин, который пользуется услугами «Сбербанка», решил выложить в сеть видеоролик, проливающий свет на то, как любой банкомат этой организации можно взломать всего за 10 секунд, получив полный доступ к операционной системе. Велика вероятность того, что таким образом хакеры и злоумышленники будут устанавливать вредоносное ПО прямо в банкоматы, за счет чего у всех людей, которые вставят в него свою банковскую карту и введут PIN-код, спишутся все денежные средства.

Виды в окрестностях Payment Village на Positive Hack Days

Виды в окрестностях Payment Village на Positive Hack Days

На прошедшем 20 и 21 мая 2021 г. Positive Hack Days в зоне Payment Village был конкурс, участники которого могли посоревноваться в хакерском мастерстве, в частности во взломе банкоматов. Организаторы подготовили три виртуальных машины банкоматов с разным уровнем сложности заданий. На протяжении двух дней участники пытались взломать банкоматы, но всего несколько человек смогли приблизиться к заложенным нами сценариям.

Виртуальные машины банкоматов можно и сейчас скачать по ссылкам ниже:

Мы решили сделать разбор кейсов в этой статье, с помощью которой вы пошагово сможете прокачать свои скилы.

Bankomat1.ova (сложность medium)

Задача: запустить .vbs-скрипт в обход существующих ограничений AppLocker и каким-то образом повысить привилегии в системе до администратора.

Сразу после загрузки виртуальной машины перед участником появлялась надпись-призыв «Я банкомат и жду, пока меня кто-то сломает». Кроме того, в этом задании было много различных отвлекающих внимание секретов.

Лицензия скоро иссякнет, попробуйте перейти в настройки 😉

Лицензия скоро иссякнет, попробуйте перейти в настройки 😉

Например, внезапно могло появиться окно «Доступны обновления», в котором не нажималась кнопка, что давало ложные надежды найти выход из режима киоска. Или такое: комбинация клавиш Ctrl+Alt+Del работала, но открыть диспетчер задач не получалось из-за ограничений в реестре.

Комбинации клавиш и обход АppLocker

Для взлома банкомата участникам необходимо было каким-то образом подключить к нему клавиатуру, чтобы попытаться выйти из режима киоска с помощью комбинаций клавиш. Так как для запуска виртуальной машины используется VMware, у участников был доступ к клавиатуре, следовательно провести такую атаку они могли. Пробегаясь по кнопкам, участники могли заметить, что многие из них не работают: не нажимается аппаратная кнопка калькулятора (у вас есть такая на клавиатуре?), не работает клавиша Win, не работают комбинации Alt+Tab и даже Alt+F4.

Но вдруг после многочасовых попыток поиска нужной комбинации клавиш участникам удалось заметить, что после нажатия Alt+F4 несколько раз киоск все-таки закрывается. На эту идею их должен был натолкнуть запуск блокнота при старте виртуальной машины. Буквально на секунду блокнот проскакивает, и его даже видно, а потом поверх запускается киоск. Секрет заключается в том, что параллельно запускаются два киоска, которые нужно закрыть поочередно. Чтобы сделать это, нужно нажать Alt+F4 и левую клавишу мыши. После загрузки виртуальной машины сначала запускается notepad.exe, потом kiosk.exe, потом еще раз kiosk.exe, но закрываются они в случайном порядке, если не использовать левую клавишу мыши. Итого: мы научились закрывать киоск.

Вызов cmd.exe из блокнота

Вызов cmd.exe из блокнота

Далее по сценарию участникам необходимо было через блокнот открыть консоль. Следует отметить, консоль нужна для того, чтобы поэксплуатировать известную уязвимость в Windows, которая позволяет запускать .vbs-скрипты в обход AppLocker.

Ограничения запуска vbs скриптов

Ограничения запуска vbs скриптов

Невозможно запустить скрипт напрямую, но при использовании следующей команды можно выполнить первую часть задания: mshta "vbscript:window.close(msgbox("test"))

Демонстрация выполнения VBS в обход AppLocker

Демонстрация выполнения VBS в обход AppLocker

Повышение привилегий

Для повышения привилегий необходимо было найти в файле C:\\Windows\Panther\unattend.xml пароль администратора, зашифрованный в Base64.

Закодированный пароль

Закодированный пароль

С этой задачей участники благополучно справились.

Bankomat2.ova (сложность hard)

Задача: обойти режим киоска и каким-то образом повысить привилегии в системе до администратора.

Этот банкомат работает по следующему принципу: каждый раз при запуске стартует приложение client.exe, которое обращается к удаленному серверу, проверяет сертификат сервера и, если он валидный, шлет команду getcommand, и на нее сервер в свою очередь отвечает командой, которую должен выполнить клиент.

Client.py

Server.py

Итого: участникам необходимо было поднять свой сервер, каким-то образом редиректнуть на него трафик с банкомата и подстроить ответ, чтобы выполнить свою команду. Кроме этого, нужно было понять, как генерировать сертификат для проверки.

Итак, для взлома этого банкомата можно использовать ARP spoofing.

Далее участники могли скачать Kali Linux, ввести команду sudo apt install dsniff и установить пакет, содержащий инструмент arpspoof, который позволяет провести эту атаку.

С помощью следующей команды участники могли редиректнуть трафик с порта 7776 на порт 8080:

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7776 -j REDIRECT --to-port 8080

Сервер принимает команды

Сервер принимает команды

Далее черед генерации сертификата и запуска сервера на порте 8080. Можно использовать код, который я привел выше, запускать на банкомате будем explorer.exe. Сертификат генерируется с помощью следующей команды:

openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout cert.pem

Демонстрация атаки

После генерации сертификат cert.pem следует поместить в папку рядом со скриптом server.py.

Итак, наконец участники увидели долгожданный проводник, через который им надо открыть Internet Explorer, чудом не запрещенный.

Запуск проводника на банкомате

Запуск проводника на банкомате

Это задание оказалось для участников сложным, никто не смог его решить.

Bankomat3.ova (сложность low)

Задача: обойти режим киоска и каким-то образом повысить привилегии в системе до администратора.

В этом банкомате большинство клавиш просто запрещены, следовательно, для выполнения задания нужно использовать другие методы. Для взлома этой виртуальной машины необходимо выйти в безопасный режим (клавиша 4 на следующем скриншоте).

Варианты загрузки системы

Варианты загрузки системы

Перезагрузка банкомата во время перезагрузки для выхода в безопасный режим.

Перезагрузка в параметры загрузки.

В виртуальной машине есть несколько аккаунтов: bankomat и администратор. При входе в аккаунт администратора атакующий не сможет ничего выполнить, так как перед ним будет черный экран.

Далее следует повышение привилегий. Повысить привилегии можно несколькими способами. Самый легкий из них: администратор не указал пароль для своего аккаунта, и UAC можно обойти, просто оставив пустым поле для пароля.

С этой задачей участники почти справились, им не хватило чуть-чуть: у них получилось удалить приложение киоска с помощью безопасного режима, но не удалось повысить привилегии в системе.

Выводы

Победителями конкурса по взлому банкоматов стали truebar и Soapboiler. Свои призы они уже получили. Еще раз спасибо участникам и победителям!

В статье были продемонстрированы крутые кейсы и техники, с помощью которых можно прокачать себя в пентесте банкоматов. Рабочих и наглядных сценариев для ARP spoofing сейчас действительно мало, поэтому мы и решили написать эту статью.

И конечно, завершим этот материал конструктивом для defensive: если вы защищаете банкомат, не забывайте про комбинации клавиш, прячьте свой пароль и обдумывайте логику проверки сертификатов. И еще обновляйте свой софт, чтобы старые CVE не работали.


Информационное агентство Reuters обсудило с экспертами возможные последствия подобных киберугроз, а мы представляем вашему вниманию основные моменты этой заметки.

Атака на ЦБ Бангладеш

Одно из самых громких киберпреступлений, связанных с серьезными хищениями денег, произошло в феврале этого года. Тогда хакеры сумели вывести из Центробанка Бангладеш $81 млн — четыре транша прошли через Федеральный резервный банк (ФРБ) Нью-Йорка на счета на Филиппинах и Шри-Ланке. Пятая попытка осуществления перевода была заблокирована заподозрившими неладное сотрудниками ФРБ.

В начале мая 2016 года представители SWIFT заявили о том, что уязвимости в системе не могли стать причиной кражи. Тем не менее, за пару недель до этого, клиенты системы получили оповещение, в котором говорилось об участившихся попытках кибератак на нее.

Кто еще в зоне риска

Предупреждение не содержало упоминаний имен жертв подобных кибератак и возможных финансовых потерь, к которым они могли привести. Одновременно с этим организация выпустила обновление безопасности для софта, который банки испольют для доступа к сети SWIFT — как считают некоторые ИБ-исследователи, именно уязвимость в этом программном обеспечении могла привести к краже денег ЦБ Бангладеш.

По данным исследовательской компании FireEye, чье подразделение Mandiant было нанято для расследования атаки на ЦБ Бангладеш, та же группа хакеров возможно атаковала и другие финансовые организации.

К чему могут приводить атаки на финансовые организации

Взлом системы SWIFT может привести к беспрецедентным хищениям. В зоне риска не только банковские переводы, использующие SWIFT, но и подключенные к этой системе брокерские фирмы, инвестиционные фонды и биржи.

Кроме того, атаки на финансовые учреждения могут приводить не только к банальным кражам, но и открывают возможности по осуществлению различны манипуляций. К примеру, не так давно мы писали о банковском трояне Corkow, который атаковал системы одного из российских банков. В результате от его имени выставлялись нерыночные заявки на покупку валюты на Московской бирже — всего на сумму более $500 млн. В результате в течение 15 минут происходили резкие скачки курса рубля, а в конечном итоге банк потерял 244 млн рублей.

Перспективы

Независимый консультант по безопасности банковских систем Шейн Шук (Shane Shook), который расследует крупные финансовые преступления, полагает, что хакеры будут продолжать попытки взломать SWIFT и другие платформы обмена финансовыми данными. Главная причина, по мнению эксперта, заключается в том, что в ходе таких атак можно украсть сразу очень много денег — возможный куш куда выше, чем в случае атак на счета обычных граждан или небольших компаний.

С Шуком солидарен и директор фирмы Fidelis Cybersecurity Джастин Харви (Justin Harvey) — по мнению эксперта хакеры продолжат попытки устроить атаки, подобные краже из ЦБ Бангладеш.

Что делать

Эксперты FireEye настоятельно рекомендуют всем финансовым организациям, подключенным к SWIFT, обратить пристальное внимание на участившиеся попытки взлома и принять меры по усилению собственной защищенности — например, чаще проводить независимые аудиты безопасности.

Официальный представитель SWIFT Наташа Детеран (Natasha Deteran) солидарна с экспертами. По ее словам, несмотря на постоянные обновления системы SWIFT, «ключевой защитой против подобных атак является реализация соответствующих защитных мер на стороне организаций-пользователей».

Финансовые компании разрабатывают различные средства защиты и самостоятельно — прием они могут быть направлены не только на борьбу с последствиями взломов, но и обычных ошибок ИТ-систем. К примеру, ошибки в работе биржевых систем могут приводить в том числе и к некорректному отображению торговых данных или неверному расчету гарантийного обеспечения для удержания позиции (ошибка может привести даже к преждевременному закрытию сделки)

Для того, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX можно прочитать по ссылке.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: