Jernkasser med penge, der står på gaderne i byen, kan ikke andet end tiltrække opmærksomhed fra elskere af hurtige penge. Og hvis man tidligere brugte rent fysiske metoder til at tømme pengeautomater, bliver der nu brugt flere og flere dygtige tricks relateret til computere. Nu er den mest relevante af dem den "sorte boks" med en enkeltkorts mikrocomputer indeni. Vi vil tale om, hvordan det fungerer i denne artikel.
Leder af International Association of ATM Manufacturers (ATMIA) "sorte bokse" som den farligste trussel mod pengeautomater.
En typisk pengeautomat er et sæt færdige elektromekaniske komponenter placeret i ét hus. ATM-producenter bygger deres jernkreationer ud fra en seddelautomat, kortlæser og andre komponenter, der allerede er udviklet af tredjepartsleverandører. En slags LEGO konstruktør for voksne. Færdige komponenter placeres i ATM-kassen, som normalt består af to rum: det øverste rum ("skab" eller "serviceområde") og det nederste rum (sikkert). Alle elektromekaniske komponenter er forbundet via USB- og COM-porte til systemetheden, som i dette tilfælde fungerer som vært. På ældre modeller af pengeautomater kan du også finde forbindelser via SDC-bussen.
Udviklingen af ATM-kort
Hæveautomater med enorme beløb indeni tiltrækker uvægerligt kortere til dem. Til at begynde med udnyttede carders kun grove fysiske mangler i ATM-sikkerheden - de brugte skimmere og shimmers til at stjæle data fra magnetstriber; falske pin-pads og kameraer til visning af pinkoder; og endda falske pengeautomater.
Så, da pengeautomater begyndte at blive udstyret med samlet software, der fungerer i henhold til almindelige standarder, såsom XFS (eXtensions for Financial Services), begyndte kortholdere at angribe pengeautomater med computervirus.
Blandt dem er Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii og talrige andre navngivne og unavngivne malware, som kortere planter på ATM-værten enten via et bootbart flashdrev eller via fjernbetjeningens TCP-port.
ATM-infektionsproces
Efter at have fanget XFS-undersystemet kan malwaren udstede kommandoer til pengeseddelautomaten uden tilladelse. Eller giv kommandoer til kortlæseren: læs/skriv magnetstriben på et bankkort og udtræk endda transaktionshistorikken, der er gemt på EMV-kortchippen. EPP (Encrypting PIN Pad; encrypted pinpad) fortjener særlig opmærksomhed. Det er almindeligt accepteret, at den indtastede PIN-kode ikke kan opsnappes. XFS giver dig dog mulighed for at bruge EPP pinpad i to tilstande: 1) åben tilstand (til indtastning af forskellige numeriske parametre, såsom det beløb, der skal udbetales); 2) sikker tilstand (EPP skifter til det, når du skal indtaste en pinkode eller krypteringsnøgle). Denne funktion i XFS gør det muligt for kortholderen at udføre et MiTM-angreb: at opsnappe aktiveringskommandoen i sikker tilstand, der sendes fra værten til EPP, og derefter fortælle EPP-nålenheden, at arbejdet skal fortsætte i åben tilstand. Som svar på denne besked sender EPP tastetryk i almindelig tekst.
Princippet om drift af den "sorte boks"
I de seneste år, Europol, ATM malware har udviklet sig markant. Kortgivere behøver ikke længere at have fysisk adgang til en hæveautomat for at inficere den. De kan inficere pengeautomater gennem fjernnetværksangreb ved at bruge bankens firmanetværk til dette. Gruppe IB, i 2016 i mere end 10 lande i Europa, var pengeautomater udsat for fjernangreb.
ATM-angreb via fjernadgang
Antivirus, blokering af firmwareopdateringer, blokering af USB-porte og kryptering af harddisken - beskytter til en vis grad pengeautomaten mod virusangreb fra kortere. Men hvad nu, hvis kortholderen ikke angriber værten, men forbinder direkte til periferien (via RS232 eller USB) - til en kortlæser, pin-pad eller pengeautomat?
Det første bekendtskab med "den sorte boks"
I dag, teknologikyndige kardere , ved hjælp af til tyveri af kontanter fra en hæveautomat såkaldt. "sorte bokse" er specifikt programmerede single-board mikrocomputere, som Raspberry Pi. "Sorte bokse" tømmer pengeautomater på en ren, fuldstændig magisk (set fra bankfolks synspunkt) måde. Carders forbinder deres magiske enhed direkte til pengeseddelautomaten; at trække alle tilgængelige penge ud af det. Et sådant angreb omgår al beskyttelsessoftware, der er installeret på ATM-værten (antivirus, integritetskontrol, fuld diskkryptering osv.).
"Black box" baseret på Raspberry Pi
De største producenter af pengeautomater og statslige efterretningstjenester står over for flere implementeringer af den "sorte boks", at disse geniale computere får pengeautomater til at spytte alle tilgængelige kontanter ud; 40 sedler hvert 20. sekund. Også særlige tjenester advarer om, at kortere oftest målretter pengeautomater på apoteker, indkøbscentre; og også til pengeautomater, der betjener bilister på farten.
Samtidig, for ikke at skinne foran kameraerne, hjælper de mest forsigtige kardere en eller anden ikke særlig værdifuld partner, et muldyr, til hjælp. Og for at han ikke kunne tilegne sig den "sorte boks", bruger de . Nøglefunktionaliteten fjernes fra "den sorte boks", og der tilsluttes en smartphone, som bruges som en kanal til fjernoverførsel af kommandoer til den afkortede "sorte boks" via IP-protokollen.
Ændring af den "sorte boks", med aktivering via fjernadgang
Hvordan ser det ud fra bankfolks synspunkt? På optagelserne fra videokameraer-fiksatorer sker noget i stil med følgende: en bestemt person åbner det øvre rum (serviceområde), forbinder den "magiske boks" til pengeautomaten, lukker det øverste rum og går. Lidt senere henvender flere mennesker sig, tilsyneladende almindelige kunder, pengeautomaten og hæver enorme beløb. Korteren vender derefter tilbage og henter sin lille magiske enhed fra pengeautomaten. Normalt opdages kendsgerningen af et hæveautomatangreb med en "sort boks" først efter et par dage: når et tomt pengeskab og en kontanthævningslog ikke stemmer overens. Som følge heraf står bankansatte kun tilbage .
Analyse af ATM-kommunikation
Som nævnt ovenfor udføres interaktionen mellem systemenheden og perifere enheder via USB, RS232 eller SDC. Carderen forbinder direkte til porten på den perifere enhed og sender kommandoer til den - uden om værten. Dette er ret enkelt, fordi standardgrænsefladerne ikke kræver nogen specifikke drivere. Og proprietære protokoller, ifølge hvilke periferiudstyret og værten interagerer, kræver ikke autorisation (enheden er trods alt placeret i den betroede zone); og derfor er disse usikre protokoller, som den perifere enhed og værten kommunikerer over, let aflyttet og let modtagelige for et gentagelsesangreb.
At. kortere kan bruge en software- eller hardware-trafikanalysator, der forbinder den direkte til porten på en specifik perifer enhed (for eksempel til en kortlæser) for at indsamle transmitterede data. Ved hjælp af trafikanalysatoren lærer kortgiveren alle de tekniske detaljer om ATM-operationen, inklusive udokumenterede funktioner i dens periferi (for eksempel funktionen til at ændre firmwaren på en perifer enhed). Som følge heraf har kortgiveren fuld kontrol over pengeautomaten. Samtidig er det ret svært at opdage tilstedeværelsen af en trafikanalysator.
Direkte kontrol over seddelautomaten betyder, at ATM-kassetterne kan tømmes uden nogen fiksering i de logfiler, som softwaren, der er installeret på værten, normalt laver. For dem, der ikke er bekendt med ATM-hardware og softwarearkitektur, er det virkelig sådan magi kan se ud.
Hvor kommer sorte bokse fra?
ATM-leverandører og underleverandører udvikler fejlfindingsværktøjer til at diagnosticere ATM-hardwaren, herunder elektromekanikken, der er ansvarlig for kontanthævninger. Disse hjælpeprogrammer omfatter: , . Figuren nedenfor viser nogle flere af disse diagnostiske hjælpeprogrammer.
ATMDesk kontrolpanel
RapidFire ATM XFS kontrolpanel
Sammenlignende karakteristika for flere diagnostiske værktøjer
Adgang til sådanne hjælpeprogrammer er normalt begrænset til personlige tokens; og de virker kun, når pengeautomatens dør er åben. Men blot ved at erstatte nogle få bytes i den binære kode af hjælpeprogrammet, carders "test" kontanthævning - omgå de checks, der leveres af forsyningsproducenten. Kortholdere installerer disse modificerede hjælpeprogrammer på deres bærbare eller enkeltkorts mikrocomputer, som de derefter tilslutter direkte til en seddelautomat for at stjæle kontanter.
The Last Mile og Fake Processing Center
Direkte interaktion med perifere enheder, uden at kommunikere med værten, er kun en af de effektive metoder til carding. Andre tricks er afhængige af, at vi har en bred vifte af netværksgrænseflader, hvorigennem pengeautomaten kommunikerer med omverdenen. Fra X.25 til Ethernet og Cellular. Mange pengeautomater kan identificeres og lokaliseres ved hjælp af Shodan-tjenesten (de mest kortfattede instruktioner til brug af den er præsenteret ), efterfulgt af et angreb, der snylter på en sårbar sikkerhedskonfiguration, dovenskab hos administratoren og sårbar kommunikation mellem forskellige afdelinger i banken.
Den "sidste mile" af kommunikation mellem pengeautomaten og behandlingscentret er rig på en bred vifte af teknologier, der kan tjene som et indgangspunkt for kortgiveren. Interaktion kan udføres via en kablet (telefonlinje eller Ethernet) eller trådløs (Wi-Fi, mobil: CDMA, GSM, UMTS, LTE) kommunikationsmetode. Sikkerhedsmekanismer kan omfatte: 1) hardware eller software til at understøtte VPN (både standard, indbygget i operativsystemet og tredjepart); 2) SSL/TLS (både specifikt for en bestemt ATM-model og fra tredjepartsproducenter); 3) kryptering; 4) meddelelsesgodkendelse.
Men at for banker er de anførte teknologier meget komplekse, og derfor generer de sig ikke med særlig netværksbeskyttelse; eller implementere det med fejl. I bedste tilfælde forbinder pengeautomaten til VPN-serveren, og allerede inde i det private netværk forbinder den til behandlingscenteret. Derudover, selvom bankerne formår at implementere ovenstående forsvarsmekanismer, har kortgiveren allerede effektive angreb mod dem. At. selvom sikkerheden overholder PCI DSS-standarden, er pengeautomater stadig sårbare.
Et af hovedkravene til PCI DSS er, at alle følsomme data, når de transmitteres over et offentligt netværk, skal være krypteret. Og vi har netværk, der oprindeligt er designet på en sådan måde, at dataene i dem er fuldstændig krypteret! Derfor er det fristende at sige: "Vores data er krypteret, fordi vi bruger Wi-Fi og GSM." Mange af disse netværk giver dog ikke tilstrækkelig beskyttelse. Mobilnetværk af alle generationer er længe blevet hacket. Endeligt og uigenkaldeligt. Og der er endda leverandører, der tilbyder enheder til at opsnappe de data, der sendes over dem.
Derfor kan der enten i usikker kommunikation, eller i et "privat" netværk, hvor hver pengeautomat sender om sig selv til andre pengeautomater, igangsættes et "falsk behandlingscenter" MiTM-angreb - hvilket vil føre til, at kortholderen tager kontrol over de transmitterede datastrømme mellem pengeautomat og behandlingscenter.
Tusindvis af pengeautomater er potentielt berørt. På vej til et ægte behandlingscenter - indsætter kortgiveren sit eget, falske. Dette falske behandlingscenter instruerer pengeautomaten om at udlevere pengesedler. Kortgiveren indretter samtidig sit ekspeditionscenter på en sådan måde, at kontanthævning sker uanset hvilket kort, der sættes i pengeautomaten - også selvom det er udløbet eller har en nulsaldo. Det vigtigste er, at det falske behandlingscenter "genkender" det. Et falsk behandlingscenter kan enten være et håndværk eller en behandlingscentersimulator, der oprindeligt er designet til at fejlsøge netværksindstillinger (en anden gave fra "producenten" til kortere).
Følgende figur dump af kommandoer til at udstede 40 pengesedler fra den fjerde kassette - sendt fra et falsk behandlingscenter og gemt i ATM-softwarelogfiler. De ser næsten ægte ud.
Dump kommandoer fra et falsk behandlingscenter
Kilde: www.habr.com