从取款机上盗走近千万美元的恶意软件

　　网络犯罪分子利用一种特殊的恶意软件已经在全世界范围内的自动取款机(ATM)上盗取了近千万美元。该恶意软件被称为“B Backdoor.MSIL.Tyupkin”，专门针对某大型厂商生产的使用32位Windows操作系统的自动取款机。

　　与远程漏洞利用不一样，攻击者需要物理接触到取款机，插入一张启动光盘，然后重新启动系统，才能完成恶意软件的安装。之后，取款机就被攻击者完全控制。

　　公布该恶意软件的安全厂商卡巴斯基实验室拒绝透露取款机生产商的名字，但表示国际刑警组织正在对此事展开调查。在东欧约有50台银行机构的取款机发现安装了这款名为Tyupkin的恶意软件，其他一些国家也发了该软件的样本，包括美国、印度和中国。

　　犯 罪分子使用了几种措施让Tyupkin难以检测，包括只接收取款机数字面板的输入的命令，而且只能是周日和周一的晚上。同时，为了调出Tyupkin的图 形界面以显示取款机的钞票张数和面额，每次还需要输入不同的会话密钥。该密钥的生成算法只有攻击者才知道，从而防止第三方控制。Tyupkin的控制界面 允许操作者控制取款机从每一个钱匣中吐出40张钞票。

　　针对自动取款机的攻击，安全人员已经警告了数年。最引人瞩目的就是2010年的黑帽大会上，Barnaby Jack当众演示让取款机吐钞。Jack的方法是用钥匙打开取款机的外盖，物理访问到取款机的USB端口，然后使用漏洞利用程序控制取款机。

　　银行机构应该重新审视取款机的物理安全，更换机器前盖上的锁，并不要依赖生产商提供的设备默认锁。同时，要在取款机上安装警报系统防止非法物理接触。要知道，Tyupkin只能感染那些没有安装警报系统的取款机。