Работниками Департамента киберполиции Национальной полиции Украины совместно с работниками Карпатского управления киберполиции и Дарницким УП ГУНП (Управление полиции Главного управления Национальной полиции) были получены разрешения на проведение обысков по месту жительства, по местам разработки вирусного программного обеспечения и в автомобилях.
И уже 13.05.2016 года оперативным путем было установлено, что указанная группа лиц готовится к очередному заражению банкомата на территории города Киева, и было принято решение задерживать преступников с поличным.
Итак, в городе Киеве по улице Гришко, 6, сотрудниками киберполиции был проведен комплекс мероприятий и четверо участников преступной группы задержаны на горячем.
Доступно 6-ти минутное видео:
После проведения процессуальных мероприятий на месте совершения преступления, было проведено 10 санкционированных обысков на территории города Киева, Киевской и Львовской областей. Обнаружено и изъято более 20 единиц компьютерной техники, около 50 банковских карт, выпущенных как на имена фигурантов, так и на зарубежных лиц.
Кроме того, по месту жительства задержанных изъяты части банкоматов (дисплеи, чековые принтеры, кассеты, картоприемники и жесткие диски). Изъяты черновые записи и бухгалтерия, подтверждающаю противоправную деятельность, POS-терминалы, а также устройство для чтения/записи технической информации на магнитные ленты банковских карт.
Что примечательно, было изъято два банкомата, которые были куплены правонарушителями с целью тестирования вредоносного кода и его совершенствования. Как видно на фото выше, банкоматы или их части ранее принадлежали украинскому банку «Надра», в котором в середине 2015-го года была отозвана банковская лицензия. Имущество банка реализовывалось на электронных аукционах и другим способом. Видимо, так преступники и приобрели банкоматы данного банка.
Все задержанные являются гражданами Украины. Один из злоумышленников выходец из Львовской области, другие – из Луганской и Днепропетровской областей. Правоохранители подозревают задержанных в причастности к 30 фактам краж денег по всей Украине. Вредоносное программное обеспечение, согласно сообщению Киберполиции, было разработано самими злоумышленниками. Однако я бы хотел напомнить о схожей ситуации — заражение банкоматов вирусами и задержание преступников — она была описана мной ранее: Пойманы преступники, опустошавшие банкоматы с помощью вируса Tyupkin / Хабрахабр. Тогда было озвучено мнение, что уязвимости подвержены не только банкоматы Diebold (на фото выше банкомат Wincor Nixdorf ProCash), а вирусное программное обеспечение может продаваться на подпольных форумах. Как видим, это произошло в действительности.
Источник: Департамент киберполиции, Министерство внутренних дел
Комментарии (39)
ukando
19.05.2016 14:27-1Надеюсь их «выкупит» служба безопасности какого-то банка, чтобы работали у них
vlreshet
19.05.2016 15:28+6Я думаю такое бывает только в фильмах. Квалифицированых людей хватает, лишь бы было чем им платить. Нет никакой нужды нанимать криминальных личностей.
wordwild
19.05.2016 15:46-2Почему нет? Работают за еду вместо отсидки.
Alexeyslav
22.05.2016 23:09Проблема в том что нет уверенности что они не кинут и этих работодателей. Поэтому очень маловероятно что кто-то захочет нанимать кидал, разве что на разовую акцию в тёмную.
wordwild
23.05.2016 00:42Спецслужбу вообще проблематично кинуть. Если, конечно, не работаешь на другую спецслужбу.
Alexeyslav
23.05.2016 10:41Не сложнее чем других, там те же люди работают…
wordwild
23.05.2016 11:18Есть опыт?
Alexeyslav
24.05.2016 19:59Кинуть легко, скрыться потом сложно. Но если у Сноудена получилось, то и у кого-то другого тоже может получится.
verydima
19.05.2016 18:15Интересно, каким образом они получали физический доступ к банкомату, чтобы залить ПО.
Мне кажется, достаточно трудно даже в каком-то магазине, подойти к банкомату сзади и что-то делать — и так, чтобы никто не заметил.
alexf2000
19.05.2016 18:39Банкоматы работают под виндой. То есть всё что нужно сделать, это каким-то образом добраться до эксплорера на экране.
Не знаю насчёт банкоматов, а в кое-каких украинских платёжных терминалах раньше было достаточно, чтобы в трее вылезло любое сервисное сообщение — его было видно «сквозь» полноэкранную программу-морду терминала. И соответственно просто нажать на него пальцем через тачскрин, чтобы терминальная прога ушла в бэкграунд. То есть любым способом вызвав появление виндовой нотификации, например, оторвав провода или заглушив вайфай, можно было добраться до нижней панельки, оттуда до эксплорера, а из эксплорера через чармап просто вбить адрес для загрузки трояна. :) Хотя не факт, что эти деятели именно так делали.
Propheta13
19.05.2016 18:45-1В банкоматах обьічно нет єксплорера. И не все они под виндой.
Да и в большинстве случаев дьірьі которьіе пользуют єти ребята — пофикшеньі. Проблема в том что во многих моментах сами банки виноватьі (настройка + сопровождение).
DrakeMazzy
19.05.2016 22:55Лично видел банкоматы с картинкой локера «Ваш ПК заблокирован за просмотр порно», после обслуживания сервисника с зараженой флешкой.
Propheta13
19.05.2016 23:16+1А эксплорер тут причем? Сервисник с зараженной флешкой — административная проблема.
DrakeMazzy
19.05.2016 23:34+3Ну так и я о б этом. Большая часть проблем _любой_ безопасности — административная проблема.
Phib
21.05.2016 12:25Пару лет назад в банкомате «Сбербанка» запускал «эксплорер» просто перейдя по ссылке на канал сбера на ютубе. Конечно доступ был заблокирован squid'ом.
Kolyagrozamorey
19.05.2016 22:55А флешку как в банкомат засунуть без соответствующего ключа? Думаю они либо работники банка, либо работник банка был в этом замешан
pteropty
20.05.2016 11:08Достаточно получить доступ к сервисной зоне. У каждого вендора есть свой универсальный ключ. Идет в комплекте с каждым банкоматом.
Получив доступ и имея сервисную флешку/дискету можно с любой кассеты снимать купюры для тестирования банкомата.
induction
20.05.2016 12:46Это ошибочная информация. Ни одна сервисная флешка/дискета не позволит диспенсеру выдавать купюры в режиме тестирования наружу (только в реджект кассету) пока не будет открыта дверца сейфа = вы и так уже имеете доступ к кассетам. Потому тут только обманывать софт банкомата заражая комп находящийся в сервисной части банкомата. Чем парни и занимались.
pteropty
20.05.2016 12:50Кстати да, забыл про это. Только я видел банкоматы в которых из-за глюков эти датчики замыкают на прямую.
saboteur_kiev
19.05.2016 23:22+1Однако, киберполиция себя проявила неплохо. Я даже ненадолго почувствовал, что не зря плачу налоги.
Drim
Не тем люди занимались. С такими знаниями могли бы найти вполне достойную работу
evnuh
Наверное не было такой достойной работы, где бы столько платили?
wordwild
Не знаю такой работы, где за полгода можно заработать 5 млн. грн. ($198к) на четверых. Плюс отпуск на 5-7 лет.
Drim
Мне кажется они кроме заработка 5 млн грн (которые скорее всего заберут) заработали еще лет на 10 отдых в местах не столь отдалённых. ИМХО: Это того не стоило.
wordwild
Про отдых я указал.
Finom
Т. е. ~50K за полгода (100К в год, ~8К в месяц), всего лишь в два раза больше, чем зарплата программиста в Украине. Не густо.
wordwild
Смотря какого программиста. Не у всех же зарплата как у senior java. В нашем селе, к примеру, на заводе экософта получится «всего лишь» в 10 раз больше. А «подрезать» банкомат они, думаю, тоже смогут, если понадобится.
tamtakoe
Тимлиды и старшие разработчики в куче международных ИТ компаний столько зарабатывают
bigbrotherwatchingyou
… это же работать надо… а не привыкли… национальная забава — тырить плохо лежащее и валить всё на других
Alexeyslav
Как бы денежки в банкоматах не так уж и плохо лежат, их оттуда очень сложно выковырять.
Плохо лежащее — это в квартире за картонной дверью.