Якія стаяць на вуліцах горада жалезныя скрынкі з грашыма не могуць не прыцягваць увагу аматараў хуткай нажывы. І калі раней для спусташэння банкаматаў ужывалі чыста фізічныя метады, то зараз у ход ідуць усё больш майстэрскія трукі, звязаныя з кампутарамі. Цяпер найбольш актуальны з іх – гэта «чорная скрыня» з аднаплатным мікракампутарам усярэдзіне. Аб тым, як ён працуе, мы і пагаворым у гэтым артыкуле.
Начальнік міжнароднай асацыяцыі вытворцаў банкаматаў (ATMIA) "чорныя скрыні" як найбольш небяспечную пагрозу для банкаматаў.
Тыповы банкамат - гэта набор ужо гатовых электрамеханічных кампанентаў, размешчаных у адным корпусе. Вытворцы банкаматаў будуюць свае жалезныя творы з прылады выдачы банкнот, счытвальніка карт і іншых кампанентаў, - ужо распрацаваных іншымі пастаўшчыкамі. Гэткі канструктар LEGO для дарослых. Гатовыя кампаненты размяшчаюцца ў корпусе банкамата, які звычайна складаецца з двух адсекаў: верхні адсек («кабінет» ці «зона абслугоўвання»), і ніжні адсек (сейф). Усе электрамеханічныя кампаненты падлучаны праз парты USB і COM да сістэмнага блока, які ў дадзеным выпадку выконвае ролю хаста. На старых мадэлях банкаматаў таксама можна сустрэць злучэнні праз SDC-шыну.
Эвалюцыя банкаматнага кардынга
Банкаматы з вялізнымі сумамі ўнутры, нязменна вабяць кардэраў да сябе. Спачатку кардэры эксплуатавалі толькі грубыя фізічныя недахопы абароны банкаматаў - выкарыстоўвалі скиммеры і шымеры для крадзяжу дадзеных з магнітных палос; падробленыя пін-пады і камеры для прагляду пінкодаў; і нават падробленыя банкаматы.
Затым, калі банкаматы пачалі абсталёўвацца ўніфікаваным софтам, якія працуюць па адзіных стандартах, такім як XFS (eXtensions for Financial Services), - кардэры пачалі атакаваць банкаматы кампутарнымі вірусамі.
Сярод іх Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii і іншыя шматлікія найменныя і безназоўныя зловреды, якіх кардэры падсаджваюць на хост банкамата альбо праз загрузную флешку, альбо праз TCP-порт выдаленага кіравання.
Працэс заражэння банкамата
Захапіўшы XFS-падсістэму, малвар можа аддаваць каманды прыладзе выдачы банкнот, без аўтарызацыі. Або аддаваць каманды картрыдару: чытаць/пісаць магнітную паласу банкаўскай карты і нават здабываць гісторыю транзакцый, якая захоўваецца на чыпе EMV-карты. Адмысловай увагі заслугоўвае EPP (Encrypting PIN Pad; шыфраваны пінпад). Прынята лічыць, што пінкод, які ўводзіцца на ім, не можа быць перахоплены. Аднак XFS дазваляе выкарыстоўваць EPP-пінпад у двух рэжымах: 1) адчынены рэжым (для ўводу розных лікавых параметраў, такіх як сума якая падлягае абналічванню); 2) бяспечны рэжым (у яго EPP перамыкаецца, калі трэба ўвесці пінкод або ключ шыфравання). Дадзеная асаблівасць XFS дазваляе кардэр ажыццяўляць MiTM-напад: перахапіць каманду актывацыі бяспечнага рэжыму, якая адпраўляецца з хаста на EPP, і затым паведаміць EPP-пінпаду, што працу варта працягнуць у адкрытым рэжыме. У адказ на гэтае паведамленне, EPP адпраўляе націску клавіш, адкрытым тэкстам.
Прынцып дзеяння "чорнай скрыні"
У апошнія гады, Еўрапола, шкоднасы для банкаматаў прыкметна эвалюцыянавалі. Кардэрам зараз не абавязкова мець фізічны доступ да банкамата, каб заразіць яго. Яны могуць заражаць банкаматы з дапамогай выдаленых сеткавых нападаў, выкарыстоўваючы для гэтага карпаратыўную сетку банка. Group IB, у 2016 годзе ў больш чым 10 краінах Еўропы, банкаматы былі схільныя да дыстанцыйнага нападу.
Атака на банкамат праз аддалены доступ
Антывірусы, блакіроўка абнаўлення прашыўкі, блакіроўка USB-партоў і шыфраванне жорсткага дыска - да некаторай ступені абараняюць банкамат ад вірусных нападаў кардэраў. Але што калі кардэр не хост атакуе, а напроста да перыферыі падлучаецца (праз RS232 або USB) - да счытвальніка карт, пін-паду або прыладзе выдачы наяўных?
Першае знаёмства з "чорнай скрыняй"
Сёння тэхнічна падкаваныя кардэры , выкарыстоўваючы для крадзяжу наяўных грошай з банкамата т.зв. "чорныя скрыні", – спецыфічна запраграмаваныя аднаплатныя мікракампутары, накшталт Raspberry Pi. «Чорныя скрыні» спусташаюць банкаматы ўшчэнт, зусім чароўным (з пункту гледжання банкіраў) чынам. Кардэры падлучаюць сваю чароўную прыладу напроста да прылады выдачы банкнот; для вымання з яго ўсіх наяўных грошай. Такая атака дзейнічае ў абыход усіх праграмных сродкаў абароны, разгорнутых на хасце банкамата (антывірусы, кантроль цэласнасці, поўнае шыфраванне дыска і да т.п.).
"Чорная скрыня" на базе Raspberry Pi
Найбуйнейшыя вытворцы банкаматаў і ўрадавыя спецслужбы, сутыкнуўшыся з некалькімі рэалізацыямі "чорнай скрыні", , Што гэтыя мудрагелістыя кампутары падахвочваюць банкаматы выплёўваць усе даступныя наяўныя; па 40 банкнот кожныя 20 секунд. Таксама спецслужбы папярэджваюць, што кардэры часцей за ўсё нацэльваюцца на банкаматы ў аптэках, гандлёвых цэнтрах; і таксама на банкаматы, якія абслугоўваюць аўтамабілістаў "на хаду".
Пры гэтым, каб не свяціцца перад камерамі, найболей асцярожныя кардэры бяруць на дапамогу якога-небудзь не занадта каштоўнага партнёра, мула. А каб тая не змагла прысвоіць «чорную скрыню» сабе, выкарыстоўваюць . Прыбіраюць з "чорнай скрыні" ключавую функцыянальнасць і падлучаюць да яго смартфон, які выкарыстоўваюць у якасці канала для дыстанцыйнай перадачы каманд зрэзанай "чорнай скрыні", па IP-пратаколу.
Мадыфікацыя «чорнай скрыні», з актывацыяй праз аддалены доступ
Як гэта выглядае з пункту гледжання банкіраў? На запісах з відэакамер-фіксатараў адбываецца прыкладна наступнае: нейкая асоба выкрывае верхні адсек (зону абслугоўвання), падлучае да банкамата "чарадзейная скрыня", закрывае верхні адсек і сыходзіць. Крыху пазней некалькі чалавек, з выгляду звычайныя кліенты, падыходзяць да банкамата, і здымаюць вялізныя сумы грошай. Затым кардэр вяртаецца і здабывае з банкамата свая маленькая чароўная прылада. Звычайна факт нападу банкамата «чорнай скрыняй» выяўляецца толькі праз некалькі дзён: калі пусты сейф і часопіс зняцця наяўных - не супадаюць. У выніку супрацоўнікам банка застаецца толькі .
Аналіз банкаматных камунікацый
Як ужо адзначалася вышэй, узаемадзеянне паміж сістэмным блокам і перыферыйнымі прыладамі ажыццяўляецца з дапамогай USB, RS232 або SDC. Кардэр падключаецца непасрэдна да порта перыферыйнай прылады і адпраўляе яму каманды - у абыход хаста. Гэта даволі проста, таму што стандартныя інтэрфейсы не патрабуюць нейкіх спецыфічных драйвераў. А прапрыетарныя пратаколы, па якіх перыферыя і хост узаемадзейнічаюць, не патрабуюць аўтарызацыі (бо прылада ж усярэдзіне даверанай зоны знаходзіцца); і таму гэтыя неабароненыя пратаколы, па якіх перыферыя і хост узаемадзейнічаюць - лёгка праслухоўваюцца і лёгка паддаюцца нападу прайгравання.
В.а. кардэры могуць выкарыстоўваць праграмны або апаратны аналізатар трафіку, падлучаючы яго напроста да порта пэўнай перыферыйнай прылады (напрыклад, да счытвальніка карт) – для збору перадаваных дадзеных. Карыстаючыся аналізатарам трафіку, кардэр пазнае ўсе тэхнічныя падрабязнасці працы банкамата, у тым ліку недакументаваныя функцыі яго перыферыі (напрыклад, функцыя змены прашыўкі перыферыйнай прылады). У выніку кардэр атрымлівае поўны кантроль над банкаматам. Пры гэтым, выявіць наяўнасць аналізатара трафіку даволі цяжка.
Прамы кантроль над прыладай выдачы банкнот азначае, што касеты банкамата - могуць быць спустошаны без якой-небудзь фіксацыі ў логах, якія ў штатным рэжыме ўносіць софт, разгорнуты на хасце. Для тых, хто не знаёмы з праграмна-апаратнай архітэктурай банкамата, гэта сапраўды як магія можа выглядаць.
Адкуль бяруцца "чорныя скрыні"?
Пастаўшчыкі банкаматаў і субпадрадчыкі распрацоўваюць адладкавыя ўтыліты для дыягностыкі апаратнай часткі банкамата, - у тым ліку электрамеханікі, якая адказвае за зняцце наяўных грошай. Сярод такіх утыліт: , . На малюнку ніжэй прадстаўлены яшчэ некалькі такіх дыягнастычных утыліт.
Панэль кіравання ATMDesk
Панэль кіравання RapidFire ATM XFS
Параўнальныя характарыстыкі некалькіх дыягнастычных утыліт
Доступ да падобных утылітаў у норме абмежаваны персаналізаванымі токенамі; і працуюць яны толькі пры адчыненых дзверцах банкаматнага сейфа. Аднак проста замяніўшы ў бінарным кодзе ўтыліты некалькі байт. «пратэставаць» зняцце наяўных - у абыход праверак, прадугледжаных вытворцам утыліты. Кардэры ўсталёўваюць такія мадыфікаваныя ўтыліты на свой наўтбук або аднаплатны мікракампутар, якія затым падлучаюць непасрэдна да прылады выдачы банкнот, для несанкцыянаванага канфіскацыі наяўных.
Апошняя міля і падроблены працэсінгавы цэнтр
Прамое ўзаемадзеянне з перыферыяй, без зносін з хастом - гэта толькі адзін з эфектыўных прыёмаў кардынга. Іншыя прыёмы належаць на той факт, што ў нас ёсць шырокая разнастайнасць сеткавых інтэрфейсаў, праз якія банкамат звязваецца з навакольным светам. Ад X.25 да Ethernet і сотавай сувязі. Многія банкаматы могуць быць ідэнтыфікаваны і лакалізаваны з дапамогай сэрвісу Shodan (найбольш лаканічная інструкцыя па яго выкарыстанні прадстаўлена ), - з наступнай атакай, якая паразітуе на ўразлівай канфігурацыі бяспекі, ляноты адміністратара і ўразлівых камунікацыях паміж рознымі падраздзяленнямі банка.
"Апошняя міля" сувязі паміж банкаматам і працэсінгавым цэнтрам, багатая самымі разнастайнымі тэхналогіямі, якія могуць служыць кропкай уваходу для кардэра. Узаемадзеянне можа ажыццяўляцца з дапамогай праваднога (тэлефонная лінія або Ethernet) або бесправаднога (Wi-Fi, сотавая сувязь: CDMA, GSM, UMTS, LTE) спосабу сувязі. Механізмы бяспекі могуць уключаць у сябе: 1) апаратныя або праграмныя сродкі для падтрымкі VPN (як стандартныя, убудаваныя ў АС, так і ад іншых вытворцаў); 2) SSL/TLS (як спецыфічныя для канкрэтнай мадэлі банкамата, так і ад іншых вытворцаў); 3) шыфраванне; 4) аўтэнтыфікацыя паведамленняў.
Аднак , Што для банкаў пералічаныя тэхналогіі ўяўляюцца вельмі складанымі, і таму яны не турбуюць сябе спецыяльнай сеткавай абаронай; ці рэалізуюць яе з памылкамі. У лепшым выпадку банкамат звязваецца з VPN-серверам, і ўжо ўсярэдзіне прыватнай сеткі - падлучаецца да працэсінгавага цэнтра. Акрамя таго, нават калі банкам і атрымаецца рэалізаваць пералічаныя вышэй ахоўныя механізмы, - у кардэра ўжо ёсць эфектыўныя атакі супраць іх. В.а. нават калі бяспека адпавядае стандарту PCI DSS, банкаматы ўсё роўна застаюцца ўразлівымі.
Адно з асноўных патрабаванняў PCI DSS: усе канфідэнцыйныя дадзеныя, калі яны перадаюцца праз агульнадаступную сетку, павінны быць зашыфраваны. І бо ў нас сапраўды ёсць сеткі, якія першапачаткова былі спраектаваны так, што ў іх дадзеныя цалкам зашыфраваны! Таму ёсць спакуса сказаць: "У нас дадзеныя зашыфраваныя, таму што мы выкарыстоўваем Wi-Fi і GSM". Аднак многія з гэтых сетак не забяспечваюць дастатковай абароны. Сотавыя сеткі ўсіх пакаленняў ужо даўно ўзламаны. Канчаткова і беззваротна. І нават ёсць пастаўшчыкі, якія прапануюць прылады для перахопу перадаюцца па іх дадзеных.
Таму альбо ў небяспечнай камунікацыі, альбо ў «прыватнай» сетцы, дзе кожны банкамат шырокавяшчае пра сябе іншым банкаматам, можа быць ініцыяваная MiTM-напад «падроблены працэсінгавы цэнтр», – якая прывядзе да таго, што кардэр захопіць кантроль над струменямі дадзеных, якія перадаюцца паміж банкаматам і працэсінгавым цэнтрам.
патэнцыйна схільныя тысячы банкаматаў. На шляху да сапраўднага працэсінгавага цэнтра - кардрер ўстаўляе свой, падроблены. Гэты падроблены працэсінгавы цэнтр дае банкамату каманды на выдачу банкнот. Пры гэтым кардэр наладжвае свой працэсінгавы цэнтр такім чынам, каб выдача наяўных адбывалася па-за залежнасцю ад таго, якая карта ўстаўляецца ў банкамат - нават калі тэрмін яе дзеяння скончыўся, ці на ёй нулявы баланс. Галоўнае, каб падроблены працэсінгавы цэнтр "пазнаў" яе. У якасці падробленага працэсінгавага цэнтра можа быць альбо саматужная выраб, альбо сімулятар працэсінгавага цэнтра, першапачаткова распрацаваны для адладкі сеткавых налад (яшчэ адзін падарунак "вытворцы" – кардэрам).
На наступным малюнку дамп каманд на выдачу 40 банкнот з чацвёртай касеты, - адпраўленых з падробленага працэсінгавага цэнтра і якія захоўваюцца ў часопісах ATM-софту. Яны выглядаюць амаль як сапраўдныя.
Дамп каманд падробленага працэсінгавага цэнтра
Крыніца: habr.com