Les boîtes en fer contenant de l'argent dans les rues de la ville ne peuvent qu'attirer l'attention des amateurs d'argent rapide. Et si dans le passé des méthodes purement physiques étaient utilisées pour vider les guichets automatiques, de plus en plus d'astuces informatiques sont utilisées. Aujourd'hui, le plus pertinent d'entre eux est la « boîte noire » contenant un micro-ordinateur monocarte à l'intérieur. Nous parlerons de son fonctionnement dans cet article.
Directeur de l'Association internationale des fabricants de guichets automatiques (ATMIA) les « boîtes noires » comme la menace la plus dangereuse pour les distributeurs automatiques.
Un ATM typique est un ensemble de composants électromécaniques prêts à l'emploi placés dans un seul boîtier. Les fabricants de distributeurs automatiques construisent leurs créations en fer à partir d'un distributeur de billets de banque, d'un lecteur de cartes et d'autres composants déjà développés par des fournisseurs tiers. Une sorte de constructeur LEGO pour adultes. Les composants finis sont placés dans le boîtier ATM, qui se compose généralement de deux compartiments : le compartiment supérieur (« armoire » ou « zone de service ») et le compartiment inférieur (coffre-fort). Tous les composants électromécaniques sont connectés via les ports USB et COM à l'unité centrale, qui dans ce cas fait office d'hôte. Sur les anciens modèles de distributeurs automatiques, vous pouvez également trouver des connexions via le bus SDC.
L’évolution du cardage ATM
Les guichets automatiques contenant des sommes énormes attirent invariablement les cardeurs. Au début, les cardeurs n'exploitaient que les failles physiques grossières de la sécurité des guichets automatiques : ils utilisaient des skimmers et des miroitements pour voler des données sur des bandes magnétiques ; de faux claviers NIP et caméras pour visualiser les codes PIN ; et même de faux guichets automatiques.
Puis, lorsque les guichets automatiques ont commencé à être équipés de logiciels unifiés fonctionnant selon des normes communes, telles que XFS (eXtensions for Financial Services), les cardeurs ont commencé à attaquer les guichets automatiques avec des virus informatiques.
Parmi eux figurent Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii et de nombreux autres logiciels malveillants, nommés ou non, que les cardeurs installent sur l'hôte ATM via une clé USB amorçable ou via le port TCP de contrôle à distance.
Processus d’infection ATM
Après avoir capturé le sous-système XFS, le malware peut envoyer des commandes au distributeur de billets sans autorisation. Ou encore donner des commandes au lecteur de carte : lire/écrire la piste magnétique d'une carte bancaire et même extraire l'historique des transactions stocké sur la puce de la carte EMV. EPP (Encrypting PIN Pad ; clavier NIP crypté) mérite une attention particulière. Il est généralement admis que le code PIN saisi ne peut être intercepté. Cependant, XFS vous permet d'utiliser le clavier NIP EPP dans deux modes : 1) mode ouvert (pour saisir divers paramètres numériques, tels que le montant à encaisser) ; 2) mode sans échec (EPP y passe lorsque vous devez saisir un code PIN ou une clé de cryptage). Cette fonctionnalité de XFS permet au cardeur de mener une attaque MiTM : intercepter la commande d'activation du mode sans échec envoyée par l'hôte à l'EPP, puis indiquer au clavier NIP EPP que le travail doit continuer en mode ouvert. En réponse à ce message, EPP envoie des frappes au clavier en texte brut.
Le principe de fonctionnement de la « boîte noire »
Dans les années récentes, Europol, les logiciels malveillants ATM ont considérablement évolué. Les cardeurs n’ont plus besoin d’avoir un accès physique à un guichet automatique pour l’infecter. Ils peuvent infecter les guichets automatiques via des attaques de réseau à distance en utilisant à cet effet le réseau d'entreprise de la banque. Groupe IB, en 2016 dans plus de 10 pays en Europe, des distributeurs automatiques ont fait l'objet d'attaques à distance.
Attaque ATM via accès à distance
Les antivirus, le blocage des mises à jour du micrologiciel, le blocage des ports USB et le cryptage du disque dur - protègent dans une certaine mesure le guichet automatique contre les attaques de virus des cardeurs. Mais que se passe-t-il si le cardeur n'attaque pas l'hôte, mais se connecte directement à la périphérie (via RS232 ou USB) - à un lecteur de carte, un clavier NIP ou un distributeur de billets ?
La première connaissance de la "boîte noire"
Aujourd'hui, les cardeurs férus de technologie , utilisant ce qu'on appelle pour voler de l'argent liquide à un guichet automatique. Les « boîtes noires » sont des micro-ordinateurs monocarte spécifiquement programmés, comme le Raspberry Pi. Les « boîtes noires » vident les distributeurs automatiques de manière propre et complètement magique (du point de vue des banquiers). Les cardeurs connectent leur appareil magique directement au distributeur de billets ; pour en extraire tout l'argent disponible. Une telle attaque contourne tous les logiciels de protection déployés sur l'hôte ATM (antivirus, contrôle d'intégrité, chiffrement complet du disque, etc.).
"Boîte noire" basée sur Raspberry Pi
Les plus grands fabricants de distributeurs automatiques et les agences de renseignement gouvernementales, confrontés à plusieurs implémentations de la « boîte noire », que ces ingénieux ordinateurs incitent les distributeurs automatiques à recracher tout l’argent disponible ; 40 billets toutes les 20 secondes. En outre, des services spéciaux avertissent que les cardeurs ciblent le plus souvent les guichets automatiques des pharmacies et des centres commerciaux ; ainsi qu'aux distributeurs automatiques qui servent les automobilistes en déplacement.
Parallèlement, pour ne pas briller devant les caméras, les cardeurs les plus prudents se font aider par un partenaire peu précieux, un mulet. Et pour qu'il ne puisse pas s'approprier la « boîte noire », ils utilisent . La fonctionnalité clé est supprimée de la « boîte noire » et un smartphone y est connecté, qui sert de canal de transmission à distance des commandes vers la « boîte noire » tronquée via le protocole IP.
Modification de la « boîte noire », avec activation par accès à distance
Qu’en est-il du point de vue des banquiers ? Sur les enregistrements des caméras vidéo-fixateurs, quelque chose comme ce qui suit se produit : une certaine personne ouvre le compartiment supérieur (zone de service), connecte la « boîte magique » au guichet automatique, ferme le compartiment supérieur et s'en va. Un peu plus tard, plusieurs personnes, apparemment des clients ordinaires, s’approchent du distributeur et retirent d’énormes sommes d’argent. Le cardeur revient alors et récupère son petit appareil magique au guichet automatique. Habituellement, le fait d'une attaque de distributeur automatique avec une « boîte noire » n'est détecté qu'au bout de quelques jours : lorsqu'un coffre-fort vide et un journal de retrait d'espèces ne correspondent pas. En conséquence, les employés de banque n'ont plus que .
Analyse des communications ATM
Comme indiqué ci-dessus, l'interaction entre l'unité système et les périphériques s'effectue via USB, RS232 ou SDC. Le cardeur se connecte directement au port du périphérique et lui envoie des commandes, en contournant l'hôte. C'est assez simple car les interfaces standards ne nécessitent aucun driver spécifique. Et les protocoles propriétaires, selon lesquels les périphériques et l'hôte interagissent, ne nécessitent pas d'autorisation (après tout, l'appareil est situé à l'intérieur de la zone de confiance) ; et par conséquent, ces protocoles non sécurisés, sur lesquels le périphérique et l'hôte communiquent, sont facilement écoutés et se prêtent facilement à une attaque par relecture.
Que. les cardeurs peuvent utiliser un analyseur de trafic logiciel ou matériel, en le connectant directement au port d'un périphérique spécifique (par exemple, à un lecteur de carte) pour collecter les données transmises. À l'aide de l'analyseur de trafic, le cardeur apprend tous les détails techniques du fonctionnement du guichet automatique, y compris les fonctions non documentées de sa périphérie (par exemple, la fonction de modification du micrologiciel d'un périphérique). En conséquence, le cardeur a un contrôle total sur le guichet automatique. En même temps, il est assez difficile de détecter la présence d'un analyseur de trafic.
Le contrôle direct du distributeur de billets signifie que les cassettes ATM peuvent être vidées sans aucune fixation dans les journaux que fait normalement le logiciel déployé sur l'hôte. Pour ceux qui ne sont pas familiers avec l’architecture matérielle et logicielle des ATM, voilà à quoi peut ressembler la magie.
D'où viennent les boîtes noires ?
Les fournisseurs et sous-traitants des guichets automatiques développent des outils de débogage pour diagnostiquer le matériel des guichets automatiques, y compris les composants électromécaniques responsables des retraits d'espèces. Ces utilitaires comprennent : , . La figure ci-dessous montre quelques autres de ces utilitaires de diagnostic.
Panneau de contrôle ATMDesk
Panneau de commande RapidFire ATM XFS
Caractéristiques comparatives de plusieurs utilitaires de diagnostic
L'accès à ces utilitaires est normalement limité aux jetons personnalisés ; et ils ne fonctionnent que lorsque la porte du coffre-fort du guichet automatique est ouverte. Cependant, simplement en remplaçant quelques octets dans le code binaire de l'utilitaire, les cardeurs Retrait d'espèces "test" - en contournant les contrôles fournis par le fabricant du service public. Les cardeurs installent ces utilitaires modifiés sur leur ordinateur portable ou leur micro-ordinateur monocarte, qu'ils branchent ensuite directement sur un distributeur de billets de banque pour voler de l'argent.
Le dernier kilomètre et le faux centre de traitement
L'interaction directe avec les périphériques, sans communiquer avec l'hôte, n'est que l'une des méthodes efficaces de cardage. D'autres astuces reposent sur le fait que nous disposons d'une grande variété d'interfaces réseau à travers lesquelles le guichet automatique communique avec le monde extérieur. De X.25 à Ethernet et cellulaire. De nombreux guichets automatiques peuvent être identifiés et localisés à l'aide du service Shodan (les instructions les plus concises pour son utilisation sont présentées ), suivie d'une attaque qui parasite une configuration de sécurité vulnérable, la paresse de l'administrateur et les communications vulnérables entre les différents services de la banque.
Le « dernier kilomètre » de communication entre le guichet automatique et le centre de traitement est riche d'une grande variété de technologies qui peuvent servir de point d'entrée pour le cardeur. L'interaction peut s'effectuer via une méthode de communication filaire (ligne téléphonique ou Ethernet) ou sans fil (Wi-Fi, cellulaire : CDMA, GSM, UMTS, LTE). Les mécanismes de sécurité peuvent inclure : 1) du matériel ou des logiciels pour prendre en charge le VPN (à la fois standard, intégré au système d'exploitation et tiers) ; 2) SSL/TLS (à la fois spécifiques à un modèle ATM particulier et provenant de fabricants tiers) ; 3) cryptage ; 4) authentification des messages.
Mais que pour les banques, les technologies répertoriées sont très complexes et qu'elles ne se soucient donc pas d'une protection particulière du réseau ; ou implémentez-le avec des erreurs. Dans le meilleur des cas, l'ATM se connecte au serveur VPN, et déjà à l'intérieur du réseau privé, il se connecte au centre de traitement. De plus, même si les banques parviennent à mettre en œuvre les mécanismes de défense ci-dessus, le cardeur dispose déjà d’attaques efficaces contre elles. Que. même si la sécurité est conforme à la norme PCI DSS, les distributeurs automatiques restent vulnérables.
L'une des principales exigences de la norme PCI DSS est que toutes les données sensibles, lorsqu'elles sont transmises sur un réseau public, doivent être cryptées. Et nous avons des réseaux qui ont été initialement conçus de telle manière que les données qu'ils contiennent sont entièrement cryptées ! Il est donc tentant de dire : « Nos données sont cryptées parce que nous utilisons le Wi-Fi et le GSM ». Cependant, bon nombre de ces réseaux n’offrent pas une protection suffisante. Les réseaux cellulaires de toutes générations sont piratés depuis longtemps. Final et irrévocable. Et certains fournisseurs proposent même des appareils permettant d’intercepter les données transmises via ces appareils.
Ainsi, soit dans une communication non sécurisée, soit dans un réseau « privé », où chaque guichet automatique diffuse des informations sur lui-même vers d'autres guichets automatiques, une attaque MiTM de « faux centre de traitement » peut être lancée - ce qui conduira le cardeur à prendre le contrôle des flux de données transmis. entre le guichet automatique et le centre de traitement.
Des milliers de distributeurs automatiques sont potentiellement concernés. En route vers un véritable centre de traitement - le cardrer insère le sien, un faux. Ce faux centre de traitement demande au guichet automatique de distribuer les billets. Dans le même temps, le cardeur aménage son centre de traitement de manière à ce que le retrait d'espèces s'effectue quelle que soit la carte insérée dans le distributeur automatique, même si celle-ci a expiré ou si son solde est nul. L'essentiel est que le faux centre de traitement le « reconnaisse ». Un faux centre de traitement peut être soit un artisanat, soit un simulateur de centre de traitement, conçu à l'origine pour déboguer les paramètres réseau (un autre cadeau du « fabricant » aux cardeurs).
Le chiffre suivant vidage des commandes pour émettre 40 billets de banque à partir de la quatrième cassette - envoyées depuis un faux centre de traitement et stockées dans les journaux du logiciel ATM. Ils ont l'air presque réels.
Dump de commande d'un faux centre de traitement
Source: habr.com