Σιδερένια κουτιά με χρήματα που στέκονται στους δρόμους της πόλης δεν μπορούν παρά να τραβήξουν την προσοχή των λάτρεις του γρήγορου χρήματος. Και αν στο παρελθόν χρησιμοποιούνταν καθαρά φυσικές μέθοδοι για το άδειασμα των ΑΤΜ, τώρα χρησιμοποιούνται όλο και πιο επιδέξια κόλπα που σχετίζονται με τους υπολογιστές. Τώρα το πιο σχετικό από αυτά είναι το «μαύρο κουτί» με έναν μικροϋπολογιστή μονής πλακέτας μέσα. Θα μιλήσουμε για το πώς λειτουργεί σε αυτό το άρθρο.
Επικεφαλής της Διεθνούς Ένωσης Κατασκευαστών ΑΤΜ (ATMIA) «μαύρα κουτιά» ως η πιο επικίνδυνη απειλή για τα ΑΤΜ.
Ένα τυπικό ΑΤΜ είναι ένα σύνολο από έτοιμα ηλεκτρομηχανικά εξαρτήματα τοποθετημένα σε ένα περίβλημα. Οι κατασκευαστές ΑΤΜ κατασκευάζουν τις σιδερένιες δημιουργίες τους από ένα διανομέα τραπεζογραμματίων, συσκευή ανάγνωσης καρτών και άλλα εξαρτήματα που έχουν ήδη αναπτυχθεί από τρίτους προμηθευτές. Ένα είδος κατασκευαστή LEGO για ενήλικες. Τα τελειωμένα εξαρτήματα τοποθετούνται στη θήκη του ATM, η οποία συνήθως αποτελείται από δύο διαμερίσματα: το επάνω διαμέρισμα («ντουλάπι» ή «περιοχή εξυπηρέτησης») και το κάτω διαμέρισμα (ασφαλές). Όλα τα ηλεκτρομηχανικά εξαρτήματα συνδέονται μέσω θυρών USB και COM στη μονάδα συστήματος, η οποία σε αυτήν την περίπτωση λειτουργεί ως κεντρικός υπολογιστής. Σε παλαιότερα μοντέλα ΑΤΜ, μπορείτε επίσης να βρείτε συνδέσεις μέσω του διαύλου SDC.
Η εξέλιξη της κάρτας ATM
Τα ΑΤΜ με τεράστια ποσά μέσα προσελκύουν πάντα τους καρτέλες σε αυτά. Στην αρχή, οι carders εκμεταλλεύονταν μόνο σοβαρά φυσικά ελαττώματα στην ασφάλεια ATM - χρησιμοποιούσαν skimmers και shimmers για να κλέψουν δεδομένα από μαγνητικές λωρίδες. ψεύτικα pin-pad και κάμερες για την προβολή κωδικών PIN. ακόμα και ψεύτικα ΑΤΜ.
Στη συνέχεια, όταν τα ΑΤΜ άρχισαν να εξοπλίζονται με ενοποιημένο λογισμικό που λειτουργεί σύμφωνα με κοινά πρότυπα, όπως το XFS (EXtensions for Financial Services), οι κάρτες καρτών άρχισαν να επιτίθενται στα ΑΤΜ με ιούς υπολογιστών.
Μεταξύ αυτών είναι το Trojan.Skimmer, το Backdoor.Win32.Skimer, το Ploutus, το ATMii και πολλά άλλα επώνυμα και ανώνυμα κακόβουλα προγράμματα που εγκαθιστούν οι καρτέρες στον κεντρικό υπολογιστή του ATM είτε μέσω μιας μονάδας flash εκκίνησης είτε μέσω της θύρας TCP του τηλεχειριστηρίου.
Διαδικασία μόλυνσης από ATM
Έχοντας καταγράψει το υποσύστημα XFS, το κακόβουλο λογισμικό μπορεί να εκδώσει εντολές στον διανομέα τραπεζογραμματίων χωρίς εξουσιοδότηση. Ή δώστε εντολές στη συσκευή ανάγνωσης καρτών: διαβάστε / γράψτε τη μαγνητική λωρίδα μιας τραπεζικής κάρτας και ακόμη και εξάγετε το ιστορικό συναλλαγών που είναι αποθηκευμένο στο τσιπ της κάρτας EMV. Το EPP (Encrypting PIN Pad, encrypted pinpad) αξίζει ιδιαίτερης προσοχής. Είναι γενικά αποδεκτό ότι ο κωδικός PIN που έχει εισαχθεί σε αυτό δεν μπορεί να υποκλαπεί. Ωστόσο, το XFS σάς επιτρέπει να χρησιμοποιείτε το pinpad EPP σε δύο λειτουργίες: 1) ανοιχτή λειτουργία (για την εισαγωγή διαφόρων αριθμητικών παραμέτρων, όπως το ποσό που θα εξαργυρωθεί). 2) ασφαλής λειτουργία (το EPP μεταβαίνει σε αυτό όταν χρειάζεται να εισαγάγετε κωδικό PIN ή κλειδί κρυπτογράφησης). Αυτή η δυνατότητα του XFS επιτρέπει στον καρτέρ να πραγματοποιήσει μια επίθεση MiTM: να παρεμποδίσει την εντολή ενεργοποίησης ασφαλούς λειτουργίας που αποστέλλεται από τον κεντρικό υπολογιστή στο EPP και, στη συνέχεια, να πει στο pinpad του EPP ότι η εργασία πρέπει να συνεχιστεί σε ανοιχτή λειτουργία. Ως απάντηση σε αυτό το μήνυμα, το EPP στέλνει πληκτρολογήσεις σε απλό κείμενο.
Η αρχή λειτουργίας του "μαύρου κουτιού"
Τα τελευταία χρόνια, Το κακόβουλο λογισμικό Europol, ATM έχει εξελιχθεί σημαντικά. Οι κάρτες δεν χρειάζεται πλέον να έχουν φυσική πρόσβαση σε ένα ΑΤΜ για να το μολύνουν. Μπορούν να μολύνουν ΑΤΜ μέσω επιθέσεων απομακρυσμένου δικτύου χρησιμοποιώντας το εταιρικό δίκτυο της τράπεζας για αυτό. Group IB, το 2016 σε περισσότερες από 10 χώρες στην Ευρώπη, τα ΑΤΜ υπέστησαν απομακρυσμένη επίθεση.
Επίθεση ATM μέσω απομακρυσμένης πρόσβασης
Προστασία από ιούς, αποκλεισμός ενημερώσεων υλικολογισμικού, αποκλεισμός θυρών USB και κρυπτογράφηση του σκληρού δίσκου - σε κάποιο βαθμό προστατεύουν το ΑΤΜ από επιθέσεις ιών από κάρτες καρτών. Τι γίνεται όμως αν η κάρτα κάρτας δεν επιτεθεί στον κεντρικό υπολογιστή, αλλά συνδεθεί απευθείας στην περιφέρεια (μέσω RS232 ή USB) - σε συσκευή ανάγνωσης καρτών, μπλοκ καρφιτσών ή διανομέα μετρητών;
Η πρώτη γνωριμία με το «μαύρο κουτί»
Σήμερα, οι καρτεροί που γνωρίζουν την τεχνολογία , χρησιμοποιώντας για κλοπή μετρητών από ΑΤΜ τα λεγόμενα. Τα «μαύρα κουτιά» είναι ειδικά προγραμματισμένοι μικροϋπολογιστές μιας πλακέτας, όπως το Raspberry Pi. Τα «μαύρα κουτιά» αδειάζουν τα ΑΤΜ με καθαρό, εντελώς μαγικό (από την πλευρά των τραπεζιτών) τρόπο. Οι χάρτες συνδέουν τη μαγική τους συσκευή απευθείας στον διανομέα τραπεζογραμματίων. για να αποσπάσουν από αυτό όλα τα διαθέσιμα χρήματα. Μια τέτοια επίθεση παρακάμπτει όλο το λογισμικό προστασίας που έχει αναπτυχθεί στον κεντρικό υπολογιστή ATM (antiviruses, έλεγχος ακεραιότητας, πλήρης κρυπτογράφηση δίσκου, κ.λπ.).
«Μαύρο κουτί» βασισμένο στο Raspberry Pi
Οι μεγαλύτεροι κατασκευαστές ΑΤΜ και κυβερνητικές υπηρεσίες πληροφοριών, αντιμέτωποι με αρκετές υλοποιήσεις του «μαύρου κουτιού», ότι αυτοί οι έξυπνοι υπολογιστές αναγκάζουν τα ΑΤΜ να φτύνουν όλα τα διαθέσιμα μετρητά. 40 τραπεζογραμμάτια κάθε 20 δευτερόλεπτα. Επίσης, οι ειδικές υπηρεσίες προειδοποιούν ότι οι κάρτες καρτών στοχεύουν συχνότερα σε ΑΤΜ σε φαρμακεία, εμπορικά κέντρα. καθώς και σε ΑΤΜ που εξυπηρετούν τους αυτοκινητιστές εν κινήσει.
Ταυτόχρονα, για να μην λάμπουν μπροστά στις κάμερες, οι πιο επιφυλακτικοί καρτέρι βοηθούν κάποιον όχι πολύτιμο σύντροφο, ένα μουλάρι. Και για να μην μπορεί να οικειοποιηθεί το «μαύρο κουτί» στον εαυτό του, χρησιμοποιούν . Η βασική λειτουργικότητα αφαιρείται από το «μαύρο κουτί» και σε αυτό συνδέεται ένα smartphone, το οποίο χρησιμοποιείται ως κανάλι για την απομακρυσμένη μετάδοση εντολών στο περικομμένο «μαύρο κουτί» μέσω του πρωτοκόλλου IP.
Τροποποίηση του «μαύρου κουτιού», με ενεργοποίηση μέσω απομακρυσμένης πρόσβασης
Πώς φαίνεται από τη σκοπιά των τραπεζιτών; Στις εγγραφές από βιντεοκάμερες-φιξωτές συμβαίνει κάτι σαν το εξής: ένα συγκεκριμένο άτομο ανοίγει το πάνω διαμέρισμα (περιοχή εξυπηρέτησης), συνδέει το «μαγικό κουτί» με το ΑΤΜ, κλείνει το πάνω διαμέρισμα και φεύγει. Λίγο αργότερα, αρκετοί άνθρωποι, φαινομενικά απλοί πελάτες, πλησιάζουν το ΑΤΜ, και αποσύρουν τεράστια χρηματικά ποσά. Στη συνέχεια, ο καρτογράφος επιστρέφει και ανακτά τη μικρή μαγική συσκευή του από το ΑΤΜ. Συνήθως, το γεγονός μιας επίθεσης σε ATM με ένα "μαύρο κουτί" εντοπίζεται μόνο μετά από λίγες ημέρες: όταν ένα άδειο χρηματοκιβώτιο και ένα αρχείο καταγραφής αναλήψεων μετρητών δεν ταιριάζουν. Ως αποτέλεσμα, οι τραπεζικοί υπάλληλοι μένουν μόνο με .
Ανάλυση επικοινωνιών ΑΤΜ
Όπως σημειώθηκε παραπάνω, η αλληλεπίδραση μεταξύ της μονάδας συστήματος και των περιφερειακών συσκευών πραγματοποιείται μέσω USB, RS232 ή SDC. Η κάρτα κάρτας συνδέεται απευθείας στη θύρα της περιφερειακής συσκευής και της στέλνει εντολές - παρακάμπτοντας τον κεντρικό υπολογιστή. Αυτό είναι αρκετά απλό, επειδή οι τυπικές διεπαφές δεν απαιτούν συγκεκριμένα προγράμματα οδήγησης. Και τα ιδιόκτητα πρωτόκολλα, σύμφωνα με τα οποία αλληλεπιδρούν τα περιφερειακά και ο κεντρικός υπολογιστής, δεν απαιτούν εξουσιοδότηση (εξάλλου, η συσκευή βρίσκεται εντός της αξιόπιστης ζώνης). και ως εκ τούτου, αυτά τα ανασφαλή πρωτόκολλα, μέσω των οποίων επικοινωνούν το περιφερειακό και ο κεντρικός υπολογιστής, παρακολουθούνται εύκολα και εύκολα επιδέχονται επίθεση επανάληψης.
Οτι. Οι carders μπορούν να χρησιμοποιήσουν έναν αναλυτή κίνησης λογισμικού ή υλικού, συνδέοντάς τον απευθείας στη θύρα μιας συγκεκριμένης περιφερειακής συσκευής (για παράδειγμα, σε μια συσκευή ανάγνωσης καρτών) για τη συλλογή μεταδιδόμενων δεδομένων. Χρησιμοποιώντας τον αναλυτή κίνησης, ο καρτέλας μαθαίνει όλες τις τεχνικές λεπτομέρειες της λειτουργίας του ATM, συμπεριλαμβανομένων των μη τεκμηριωμένων λειτουργιών της περιφέρειάς του (για παράδειγμα, τη λειτουργία αλλαγής του υλικολογισμικού μιας περιφερειακής συσκευής). Ως αποτέλεσμα, ο κάτοχος κάρτας έχει τον πλήρη έλεγχο του ΑΤΜ. Ταυτόχρονα, είναι μάλλον δύσκολο να ανιχνευθεί η παρουσία αναλυτή κυκλοφορίας.
Ο άμεσος έλεγχος του διανομέα τραπεζογραμματίων σημαίνει ότι οι κασέτες ATM μπορούν να αδειαστούν χωρίς καμία στερέωση στα αρχεία καταγραφής που δημιουργεί συνήθως το λογισμικό που αναπτύσσεται στον κεντρικό υπολογιστή. Για όσους δεν είναι εξοικειωμένοι με την αρχιτεκτονική υλικού και λογισμικού ATM, έτσι μπορεί να μοιάζει πραγματικά η μαγεία.
Από πού προέρχονται τα μαύρα κουτιά;
Οι πωλητές και οι υπεργολάβοι ATM αναπτύσσουν εργαλεία εντοπισμού σφαλμάτων για τη διάγνωση του υλικού ATM, συμπεριλαμβανομένων των ηλεκτρομηχανικών που είναι υπεύθυνοι για τις αναλήψεις μετρητών. Αυτά τα βοηθητικά προγράμματα περιλαμβάνουν: , . Το παρακάτω σχήμα δείχνει μερικά ακόμη από αυτά τα βοηθητικά διαγνωστικά.
Πίνακας ελέγχου ATMDesk
Πίνακας ελέγχου RapidFire ATM XFS
Συγκριτικά χαρακτηριστικά πολλών διαγνωστικών βοηθητικών προγραμμάτων
Η πρόσβαση σε τέτοια βοηθητικά προγράμματα περιορίζεται συνήθως σε εξατομικευμένα διακριτικά. και λειτουργούν μόνο όταν η πόρτα του χρηματοκιβωτίου του ΑΤΜ είναι ανοιχτή. Ωστόσο, απλώς αντικαθιστώντας μερικά byte στον δυαδικό κώδικα του βοηθητικού προγράμματος, carders "δοκιμαστική" ανάληψη μετρητών - παρακάμπτοντας τους ελέγχους που παρέχονται από τον κατασκευαστή του βοηθητικού προγράμματος. Οι κάτοχοι καρτών εγκαθιστούν αυτά τα τροποποιημένα βοηθητικά προγράμματα στον φορητό υπολογιστή τους ή στον μικροϋπολογιστή μιας πλακέτας, τον οποίο στη συνέχεια συνδέουν απευθείας σε ένα διανομέα τραπεζογραμματίων για να κλέψουν μετρητά.
The Last Mile and the Fake Processing Center
Η άμεση αλληλεπίδραση με περιφερειακά, χωρίς επικοινωνία με τον κεντρικό υπολογιστή, είναι μόνο μία από τις αποτελεσματικές μεθόδους λαναρίσματος. Άλλα κόλπα βασίζονται στο γεγονός ότι έχουμε μια μεγάλη ποικιλία διεπαφών δικτύου μέσω των οποίων το ΑΤΜ επικοινωνεί με τον έξω κόσμο. Από X.25 σε Ethernet και Cellular. Πολλά ΑΤΜ μπορούν να εντοπιστούν και να εντοπιστούν χρησιμοποιώντας την υπηρεσία Shodan (παρουσιάζονται οι πιο συνοπτικές οδηγίες χρήσης της ), ακολουθούμενη από μια επίθεση που παρασιτεί σε μια ευάλωτη διαμόρφωση ασφαλείας, τεμπελιά του διαχειριστή και ευάλωτες επικοινωνίες μεταξύ διαφόρων τμημάτων της τράπεζας.
Το «τελευταίο μίλι» επικοινωνίας μεταξύ του ΑΤΜ και του κέντρου επεξεργασίας είναι πλούσιο σε μια μεγάλη ποικιλία τεχνολογιών που μπορούν να χρησιμεύσουν ως σημείο εισόδου για τον κάτοχο κάρτας. Η αλληλεπίδραση μπορεί να πραγματοποιηθεί μέσω ενσύρματης (τηλεφωνικής γραμμής ή Ethernet) ή ασύρματης (Wi-Fi, κινητής τηλεφωνίας: CDMA, GSM, UMTS, LTE) μεθόδου επικοινωνίας. Οι μηχανισμοί ασφαλείας μπορεί να περιλαμβάνουν: 1) υλικό ή λογισμικό για την υποστήριξη VPN (τόσο τυπικό, ενσωματωμένο στο λειτουργικό σύστημα όσο και τρίτων) 2) SSL/TLS (τόσο ειδικά για ένα συγκεκριμένο μοντέλο ATM όσο και από τρίτους κατασκευαστές). 3) κρυπτογράφηση? 4) έλεγχος ταυτότητας μηνύματος.
Αλλά ότι για τις τράπεζες οι τεχνολογίες που αναφέρονται είναι πολύ περίπλοκες και επομένως δεν ενοχλούν τον εαυτό τους με ειδική προστασία δικτύου. ή να το εφαρμόσει με λάθη. Στην καλύτερη περίπτωση, το ΑΤΜ συνδέεται με τον διακομιστή VPN και ήδη μέσα στο ιδιωτικό δίκτυο, συνδέεται με το κέντρο επεξεργασίας. Επιπλέον, ακόμη και αν οι τράπεζες καταφέρουν να εφαρμόσουν τους παραπάνω αμυντικούς μηχανισμούς, ο καρτερός έχει ήδη αποτελεσματικές επιθέσεις εναντίον τους. Οτι. ακόμα κι αν η ασφάλεια συμμορφώνεται με το πρότυπο PCI DSS, τα ΑΤΜ εξακολουθούν να είναι ευάλωτα.
Μία από τις κύριες απαιτήσεις του PCI DSS είναι ότι όλα τα ευαίσθητα δεδομένα, όταν μεταδίδονται μέσω ενός δημόσιου δικτύου, πρέπει να είναι κρυπτογραφημένα. Και έχουμε δίκτυα που σχεδιάστηκαν αρχικά με τέτοιο τρόπο ώστε τα δεδομένα σε αυτά να είναι πλήρως κρυπτογραφημένα! Επομένως, είναι δελεαστικό να πούμε: «Τα δεδομένα μας είναι κρυπτογραφημένα επειδή χρησιμοποιούμε Wi-Fi και GSM». Ωστόσο, πολλά από αυτά τα δίκτυα δεν παρέχουν επαρκή προστασία. Τα κυψελωτά δίκτυα όλων των γενεών έχουν παραβιαστεί εδώ και καιρό. Οριστικές και αμετάκλητες. Και υπάρχουν ακόμη και προμηθευτές που προσφέρουν συσκευές για την παρακολούθηση των δεδομένων που μεταδίδονται μέσω αυτών.
Επομένως, είτε σε ανασφαλή επικοινωνία είτε σε "ιδιωτικό" δίκτυο, όπου κάθε ΑΤΜ εκπέμπει για τον εαυτό του σε άλλα ΑΤΜ, μπορεί να ξεκινήσει μια επίθεση MiTM "κέντρου ψεύτικης επεξεργασίας" - η οποία θα οδηγήσει στον έλεγχο των ροών δεδομένων που μεταδίδονται από την κάρτα μεταξύ ΑΤΜ και κέντρου επεξεργασίας.
Χιλιάδες ΑΤΜ ενδέχεται να επηρεαστούν. Στο δρόμο για ένα γνήσιο κέντρο επεξεργασίας - ο χαρτογράφος εισάγει το δικό του, ψεύτικο. Αυτό το πλαστό κέντρο επεξεργασίας δίνει εντολή στο ΑΤΜ να διανέμει τραπεζογραμμάτια. Ταυτόχρονα, ο κάτοχος ρυθμίζει το κέντρο επεξεργασίας του με τέτοιο τρόπο ώστε να γίνεται ανάληψη μετρητών ανεξάρτητα από το ποια κάρτα έχει εισαχθεί στο ΑΤΜ - ακόμα κι αν έχει λήξει ή έχει μηδενικό υπόλοιπο. Το κυριότερο είναι ότι το πλαστό κέντρο επεξεργασίας το «αναγνωρίζει». Ένα ψεύτικο κέντρο επεξεργασίας μπορεί να είναι είτε μια χειροτεχνία είτε ένας προσομοιωτής κέντρου επεξεργασίας, αρχικά σχεδιασμένος για τον εντοπισμό σφαλμάτων των ρυθμίσεων δικτύου (άλλο ένα δώρο από τον «κατασκευαστή» στους κάρτερ).
Το παρακάτω σχήμα χωματερή εντολών για την έκδοση 40 τραπεζογραμματίων από την τέταρτη κασέτα - αποστέλλονται από πλαστό κέντρο επεξεργασίας και αποθηκεύονται σε αρχεία καταγραφής λογισμικού ATM. Μοιάζουν σχεδόν αληθινά.
Απόρριψη εντολών ενός πλαστού κέντρου επεξεργασίας
Πηγή: www.habr.com