Železné krabice s penězi stojící v ulicích města nemohou upoutat pozornost milovníků rychlých peněz. A jestliže se dříve k vyprazdňování bankomatů používaly čistě fyzické metody, nyní se stále více využívá obratných triků souvisejících s počítači. Nyní je nejdůležitější z nich „černá skříňka“ s jednodeskovým mikropočítačem uvnitř. O tom, jak to funguje, si povíme v tomto článku.
Předseda Mezinárodní asociace výrobců bankomatů (ATMIA) „černé skříňky“ jako nejnebezpečnější hrozbu pro bankomaty.
Typický bankomat je soubor hotových elektromechanických součástek umístěných v jednom pouzdře. Výrobci bankomatů staví své železné výtvory z automatu na bankovky, čtečky karet a dalších komponent, které již vyvinuli prodejci třetích stran. Jakýsi LEGO konstruktér pro dospělé. Hotové komponenty jsou umístěny v ATM skříni, která se obvykle skládá ze dvou přihrádek: horní přihrádky („skříňka“ nebo „obslužná zóna“) a spodní přihrádky (trezor). Všechny elektromechanické komponenty jsou připojeny přes USB a COM porty k systémové jednotce, která v tomto případě funguje jako hostitel. Na starších modelech bankomatů najdete i připojení přes sběrnici SDC.
Evoluce ATM karet
Bankomaty s obrovskými částkami uvnitř neustále přitahují karty. Kartaři zprvu využívali pouze hrubé fyzické nedostatky v zabezpečení bankomatů – používali skimmery a shimmery ke krádeži dat z magnetických proužků; falešné pin-pady a kamery pro prohlížení PIN kódů; a dokonce i falešné bankomaty.
Když se pak bankomaty začaly vybavovat jednotným softwarem, který funguje podle běžných standardů, jako je XFS (eXtensions for Financial Services), karty začaly napadat bankomaty počítačovými viry.
Mezi ně patří Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii a řada dalších pojmenovaných i nejmenovaných malwarů, které karty umísťují na hostitele ATM buď prostřednictvím spouštěcí jednotky flash nebo prostřednictvím TCP portu dálkového ovládání.
Proces infekce ATM
Po zachycení subsystému XFS může malware vydávat příkazy do automatu bankovek bez oprávnění. Nebo dejte příkazy čtečce karet: čtěte/zapisujte magnetický proužek bankovní karty a dokonce extrahujte historii transakcí uloženou na čipu karty EMV. Zvláštní pozornost si zaslouží EPP (Encrypting PIN Pad; encrypted pinpad). Obecně se uznává, že PIN kód zadaný na něm nelze zachytit. XFS vám však umožňuje používat pinpad EPP ve dvou režimech: 1) otevřený režim (pro zadávání různých číselných parametrů, jako je částka, která má být vyplacena); 2) bezpečný režim (EPP se do něj přepne, když potřebujete zadat PIN kód nebo šifrovací klíč). Tato funkce XFS umožňuje kartáři provést útok MiTM: zachytit příkaz aktivace bezpečného režimu, který je odeslán z hostitele do EPP, a poté sdělit pinpadu EPP, že práce má pokračovat v otevřeném režimu. V reakci na tuto zprávu odešle EPP úhozy v prostém textu.
Princip fungování "černé skříňky"
V posledních letech, Europol, malware ATM se výrazně vyvinul. Kartáři již nemusí mít fyzický přístup k bankomatu, aby jej mohli infikovat. Mohou infikovat bankomaty prostřednictvím vzdálených síťových útoků pomocí podnikové sítě banky. Skupina IB, v roce 2016 ve více než 10 zemích Evropy byly bankomaty vystaveny vzdálenému útoku.
ATM útok přes vzdálený přístup
Antiviry, blokování aktualizací firmwaru, blokování USB portů a šifrování pevného disku - do jisté míry chrání bankomat před virovými útoky karet. Co když ale karta neútočí na hostitele, ale připojuje se přímo k periferii (přes RS232 nebo USB) – ke čtečce karet, pin padu nebo bankomatu?
První seznámení s "černou skříňkou"
Dnes technicky zdatní mykaři , využívající ke krádeži hotovosti z bankomatu tzv. „černé skříňky“ jsou specificky naprogramované jednodeskové mikropočítače, jako je Raspberry Pi. „Black boxy“ vyprázdní bankomaty čistým, zcela magickým (z pohledu bankéřů) způsobem. Kartáři připojují své magické zařízení přímo k automatu na bankovky; vytáhnout z něj všechny dostupné peníze. Takový útok obchází veškerý ochranný software nasazený na hostiteli ATM (antiviry, kontrola integrity, úplné šifrování disku atd.).
"Black box" založený na Raspberry Pi
Největší výrobci bankomatů a vládní zpravodajské agentury, které čelí několika implementacím „černé skříňky“, že tyto důmyslné počítače nutí bankomaty vyplivnout veškerou dostupnou hotovost; 40 bankovek každých 20 sekund. Speciální služby také upozorňují, že karty nejčastěji cílí na bankomaty v lékárnách, obchodních centrech; a také do bankomatů, které slouží motoristům na cestách.
Aby se přitom před kamerami nesvítilo, nejopatrnější kartáři si berou na pomoc jakéhosi nepříliš cenného parťáka, muly. A aby si „černou skříňku“ nemohl přivlastnit, využívají . Z „černé skříňky“ je odstraněna klíčová funkcionalita a je k ní připojen smartphone, který se používá jako kanál pro vzdálený přenos příkazů do zkrácené „černé skříňky“ prostřednictvím protokolu IP.
Úprava "černé skříňky", s aktivací přes vzdálený přístup
Jak to vypadá z pohledu bankéřů? Na záznamech z videokamer-fixátorů se děje něco takového: určitá osoba otevře horní přihrádku (obslužný prostor), připojí „kouzelnou skříňku“ k bankomatu, zavře horní přihrádku a odejde. O něco později se k bankomatu přiblíží několik lidí, zdánlivě obyčejných zákazníků, a vyberou obrovské množství peněz. Kartář se poté vrátí a vyzvedne své malé kouzelné zařízení z bankomatu. Útok na bankomat s „černou skříňkou“ se obvykle zjistí až po několika dnech: když se prázdný trezor a protokol o výběru hotovosti neshodují. Zaměstnanci bank tak zbývají jen .
Analýza ATM komunikace
Jak je uvedeno výše, interakce mezi systémovou jednotkou a periferními zařízeními se provádí přes USB, RS232 nebo SDC. Karta se připojuje přímo k portu periferního zařízení a posílá do něj příkazy – obchází hostitele. To je docela jednoduché, protože standardní rozhraní nevyžadují žádné specifické ovladače. A proprietární protokoly, podle kterých periferie a hostitel interagují, nevyžadují autorizaci (koneckonců, zařízení je umístěno uvnitř důvěryhodné zóny); a proto jsou tyto nezabezpečené protokoly, přes které periferní zařízení a hostitel komunikují, snadno odposlouchávané a snadno přístupné opakovanému útoku.
Že. karty mohou použít softwarový nebo hardwarový analyzátor provozu, který jej připojí přímo k portu konkrétního periferního zařízení (například ke čtečce karet) ke sběru přenášených dat. Pomocí analyzátoru provozu se karta dozví všechny technické detaily provozu bankomatu, včetně nezdokumentovaných funkcí jeho periferie (např. funkce změny firmwaru periferního zařízení). Díky tomu má karta plnou kontrolu nad bankomatem. Zároveň je poměrně obtížné detekovat přítomnost analyzátoru provozu.
Přímá kontrola nad automatem bankovek znamená, že kazety bankomatu lze vyprázdnit bez jakékoli fixace v protokolech, které software nasazený na hostiteli běžně vytváří. Pro ty, kteří neznají hardwarovou a softwarovou architekturu ATM, může magie skutečně vypadat.
Odkud pocházejí černé skříňky?
Prodejci a subdodavatelé bankomatů vyvíjejí ladicí nástroje pro diagnostiku hardwaru bankomatů, včetně elektromechaniky odpovědné za výběry hotovosti. Mezi tyto nástroje patří: , . Níže uvedený obrázek ukazuje několik dalších těchto diagnostických nástrojů.
Ovládací panel ATDMesk
Ovládací panel RapidFire ATM XFS
Srovnávací charakteristiky několika diagnostických nástrojů
Přístup k takovým nástrojům je obvykle omezen na personalizované tokeny; a fungují pouze při otevřených dveřích trezoru bankomatu. Nicméně, jednoduše nahrazením několika bajtů v binárním kódu nástroje, carders "zkušební" výběr hotovosti - obcházení kontrol poskytovaných výrobcem utility. Kartaři instalují tyto upravené nástroje na svůj notebook nebo jednodeskový mikropočítač, který pak zapojí přímo do automatu na bankovky, aby ukradli hotovost.
The Last Mile a Fake Processing Center
Přímá interakce s periferiemi bez komunikace s hostitelem je pouze jednou z účinných metod mykání. Další triky spoléhají na to, že máme širokou škálu síťových rozhraní, přes která bankomat komunikuje s vnějším světem. Od X.25 po Ethernet a Cellular. Mnoho bankomatů lze identifikovat a lokalizovat pomocí služby Shodan (jsou uvedeny nejstručnější pokyny k jejímu použití ), následovaný útokem, který parazituje na zranitelné konfiguraci zabezpečení, lenosti administrátora a zranitelné komunikaci mezi různými odděleními banky.
„Poslední míle“ komunikace mezi ATM a zpracovatelským centrem je bohatá na širokou škálu technologií, které mohou sloužit jako vstupní bod pro kartu. Interakce může být prováděna prostřednictvím drátové (telefonní linka nebo Ethernet) nebo bezdrátové (Wi-Fi, mobilní: CDMA, GSM, UMTS, LTE) komunikační metodou. Bezpečnostní mechanismy mohou zahrnovat: 1) hardware nebo software pro podporu VPN (jak standardní, zabudované v OS, tak třetí strany); 2) SSL/TLS (jak specifické pro konkrétní model bankomatu, tak od výrobců třetích stran); 3) šifrování; 4) ověřování zpráv.
Ale že pro banky jsou uvedené technologie velmi složité, a proto se neobtěžují speciální ochranou sítě; nebo jej implementovat s chybami. V nejlepším případě se bankomat připojí k serveru VPN a již uvnitř privátní sítě se připojí k zpracovatelskému centru. Navíc, i když se bankám podaří zavést výše uvedené obranné mechanismy, kartař už proti nim má účinné útoky. Že. i když zabezpečení odpovídá standardu PCI DSS, bankomaty jsou stále zranitelné.
Jedním z hlavních požadavků PCI DSS je, že všechna citlivá data při přenosu po veřejné síti musí být šifrována. A máme sítě, které byly původně navrženy tak, že data v nich jsou zcela šifrována! Proto je lákavé říci: "Naše data jsou šifrována, protože používáme Wi-Fi a GSM." Mnoho z těchto sítí však neposkytuje dostatečnou ochranu. Buněčné sítě všech generací byly již dlouho hacknuty. Konečné a neodvolatelné. A dokonce existují prodejci, kteří nabízejí zařízení k zachycení dat přenášených přes ně.
Proto buď v nezabezpečené komunikaci, nebo v „soukromé“ síti, kde každý bankomat vysílá o sobě do jiných bankomatů, může být iniciován útok MiTM „fake processing center“, který povede k tomu, že karta převezme kontrolu nad přenášenými datovými toky. mezi bankomatem a zpracovatelským centrem.
Potenciálně jsou postiženy tisíce bankomatů. Na cestě do skutečného zpracovatelského centra - cardrer vloží své vlastní, falešné. Toto falešné zpracovatelské centrum dává bankomatu pokyn k vydávání bankovek. Kartář si zároveň nastaví své zpracovatelské centrum tak, aby k výběru hotovosti docházelo bez ohledu na to, která karta je do bankomatu vložena – i když skončila nebo má nulový zůstatek. Hlavní věc je, že to falešné zpracovatelské centrum „rozpozná“. Falešným zpracovatelským centrem může být buď ruční práce, nebo simulátor zpracovatelského centra, původně navržený k ladění síťových nastavení (další dárek od „výrobce“ kartářům).
Následující obrázek výpis příkazů k vydání 40 bankovek ze čtvrté kazety – odeslané z falešného zpracovatelského centra a uložené v protokolech softwaru ATM. Vypadají skoro jako skutečné.
Vypište příkazy falešného zpracovatelského centra
Zdroj: www.habr.com