Izeren doazen mei jild dy't op 'e strjitten fan' e stêd steane kinne net oars as de oandacht lûke fan leafhawwers fan fluch jild. En as yn it ferline suver fysike metoaden waarden brûkt om pinautomaten leech te meitsjen, wurde no hieltyd mear betûfte trúkjes yn ferbân mei kompjûters brûkt. No de meast relevante fan harren is de "swarte doaze" mei in single-board microcomputer binnen. Wy sille prate oer hoe't it wurket yn dit artikel.
Haad fan 'e International Association of ATM Manufacturers (ATMIA) "swarte doazen" as de gefaarlikste bedriging foar pinautomaten.
In typyske ATM is in set fan ready-made elektromechanyske komponinten pleatst yn ien húsfesting. ATM-fabrikanten bouwe har izeren kreaasjes út in bankbiljet-dispenser, kaartlêzer en oare komponinten dy't al ûntwikkele binne troch ferkeapers fan tredden. In soarte fan LEGO constructor foar folwoeksenen. Foltôge komponinten wurde pleatst yn 'e ATM-koffer, dy't normaal bestiet út twa fakken: it boppeste fak ("kabinet" of "tsjinstgebiet") en it legere fak (feilich). Alle elektromechanyske komponinten binne ferbûn fia USB- en COM-poarten oan 'e systeemienheid, dy't yn dit gefal as host fungearret. Op âldere modellen fan pinautomaten kinne jo ek ferbinings fine fia de SDC-bus.
De evolúsje fan ATM carding
ATM's mei enoarme bedraggen binnen lûke altyd carders nei har. Yn it earstoan, carders eksploitearre allinnich bruto fysike gebreken yn ATM feiligens - se brûkt skimmers en shimmers te stellen gegevens út magnetyske stripen; falske pin-pads en kamera's foar it besjen fan pincodes; en sels falske pinautomaten.
Doe't ATM's begon te wurden útrist mei unifoarme software dy't wurket neffens gewoane noarmen, lykas XFS (Extensions for Financial Services), begon carders ATM's oan te fallen mei komputerfirussen.
Under harren binne Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, en in protte oare neamde en net neamde malware dy't carders op 'e ATM-host plante fia in bootbere flash-drive of fia de TCP-poarte op ôfstân.
ATM-ynfeksjeproses
Nei it fêstlizzen fan it XFS-subsysteem, kin de malware sûnder autorisaasje kommando's útjaan oan 'e bankbiljet-dispenser. Of jou kommando's oan 'e kaartlêzer: lês / skriuw de magnetyske strip fan in bankkaart en ekstrahearje sels de transaksjeskiednis opslein op' e EMV-kaartchip. EPP (Encrypting PIN Pad; fersifere pinpad) fertsjinnet spesjale oandacht. It wurdt algemien akseptearre dat de PIN-koade dy't derop ynfierd is net ûnderskept wurde kin. XFS lit jo lykwols it EPP-pinpad yn twa modi brûke: 1) iepen modus (foar it ynfieren fan ferskate numerike parameters, lykas it bedrach dat moat wurde útlutsen); 2) feilige modus (EPP skeakelt nei it as jo moatte ynfiere in pinkoade of fersifering kaai). Dizze funksje fan XFS lit de carder in MiTM-oanfal útfiere: it aktivearjen fan 'e feilige modus dy't fan' e host nei de EPP wurdt stjoerd, en fertel dan it EPP-pinpad dat it wurk moat trochgean yn iepen modus. As antwurd op dit berjocht stjoert EPP toetsoanslagen yn platte tekst.
It prinsipe fan wurking fan 'e "swarte doaze"
De lêste jierren, Europol, ATM-malware is signifikant evoluearre. Carders hoege gjin fysike tagong mear te hawwen ta in pinautomaat om it te ynfektearjen. Se kinne pinautomaten ynfektearje fia netwurkoanfallen op ôfstân mei it bedriuwsnetwurk fan 'e bank dêrfoar. Groep IB, yn 2016 yn mear as 10 lannen yn Jeropa, ATM's wiene ûnderwurpen oan oanfal op ôfstân.
ATM oanfal fia tagong op ôfstân
Antivirus, blokkearjen fan firmware-updates, blokkearjen fan USB-poarten en fersifering fan 'e hurde skiif - beskermje de pinautomaat yn guon mate tsjin firusoanfallen troch carders. Mar wat as de carder de host net oanfalt, mar direkt oanslút op 'e perifery (fia RS232 of USB) - nei in kaartlêzer, pinpad of jildautomaat?
De earste kunde mei de "swarte doaze"
Hjoed, tech-savvy carders , mei help fan foar stellerij fan cash út in pinautomaat saneamde. "swarte doazen" binne spesifyk programmearre single-board mikrokomputers, lykas de Raspberry Pi. "Swarte doazen" lege pinautomaten op in skjinne, folslein magyske (út it eachpunt fan bankiers) manier. Carders ferbine harren magic apparaat direkt oan de bankbiljet dispenser; om der al it beskikbere jild út te heljen. Sa'n oanfal omgiet alle beskermingssoftware ynset op 'e ATM-host (antivirus, yntegriteitskontrôle, folsleine skiiffersifering, ensfh.).
"Black box" basearre op Raspberry Pi
De grutste fabrikanten fan pinautomaten en oerheidsyntelliginsje-ynstânsjes, konfrontearre mei ferskate ymplemintaasjes fan 'e "swarte doaze", dat dizze geniale kompjûters ATM's stimulearje om alle beskikbere cash út te spuien; 40 bankbiljetten elke 20 sekonden. Ek spesjale tsjinsten warskôgje dat carders meastentiids doel ATMs yn apotheken, winkelsintrum; en ek oan pinautomaten dy't automobilisten ûnderweis tsjinje.
Tagelyk, om net foar de kamera's te skinen, nimme de meast foarsichtige carders de help fan in net heul weardefolle partner, in mul. En sadat er him de "swarte doaze" net taeigenje koe, brûke se . De kaai funksjonaliteit wurdt fuortsmiten út de "swarte doaze" en in smartphone is ferbûn oan it, dat wurdt brûkt as in kanaal foar remote oerdracht fan kommando's nei de ôfkoarte "swarte doaze" fia it IP-protokol.
Modifikaasje fan 'e "swarte doaze", mei aktivearring fia tagong op ôfstân
Hoe sjocht it út it eachpunt fan bankiers? Op 'e opnamen fan fideokamera's-fixators bart sa'n ding as it folgjende: in bepaalde persoan iepenet it boppeste fak (betsjinningsgebiet), ferbynt de "magyske doaze" mei de pinautomaat, slút it boppeste fak en ferlit. In bytsje letter, ferskate minsken, skynber gewoane klanten, benaderje de pinautomaat, en lûke grutte bedraggen jild. De carder komt dan werom en hellet syn lytse magyske apparaat út 'e pinautomaat. Meastal wurdt it feit fan in pinautomaat oanfal mei in "swarte doaze" pas nei in pear dagen ûntdutsen: as in lege feilich en in logboek foar weromlûken fan jild net oerienkomme. As gefolch, bank meiwurkers binne oerbleaun mei allinnich .
Analyse fan ATM kommunikaasje
Lykas hjirboppe oanjûn, wurdt de ynteraksje tusken de systeemienheid en perifeare apparaten útfierd fia USB, RS232 of SDC. De carder ferbynt direkt oan 'e haven fan' e perifeare apparaat en stjoert kommando's nei it - bypass de host. Dit is frij simpel om't de standert ynterfaces gjin spesifike bestjoerders nedich binne. En proprietêre protokollen, neffens dêr't de perifeare apparaten en de host ynteraksje, hawwe gjin autorisaasje nedich (it apparaat leit ommers yn 'e fertroude sône); en dêrom, dizze ûnfeilige protokollen, oer dêr't de perifeare en de gasthear kommunisearje, maklik ôfluistere en maklik geskikt foar in replay oanfal.
Dat. carders kinne gebrûk meitsje fan in software of hardware ferkear analyzer, ferbinen it direkt oan de haven fan in spesifyk perifeare apparaat (Bygelyks, nei in kaart lêzer) te sammeljen oerdroegen gegevens. Mei de ferkearsanalysator leart de carder alle technyske details fan 'e ATM-operaasje, ynklusyf net-dokumintearre funksjes fan syn perifery (bygelyks de funksje fan it feroarjen fan de firmware fan in perifeare apparaat). As gefolch hat de carder folsleine kontrôle oer de pinautomaat. Tagelyk is it nochal lestich om de oanwêzigens fan in ferkearsanalysator te ûntdekken.
Direkte kontrôle oer de bankbiljet-dispenser betsjut dat de ATM-kassetten kinne wurde leechmakke sûnder ienige fixaasje yn 'e logs dy't de software ynset op' e host normaal makket. Foar dyjingen dy't net bekend binne mei ATM-hardware en software-arsjitektuer, is dit echt hoe magy der útsjen kin.
Wêr komme swarte doazen wei?
ATM-ferkeapers en subcontractors ûntwikkelje ark foar debuggen om de ATM-hardware te diagnostearjen, ynklusyf de elektromeganika ferantwurdlik foar cashûntlûken. Dizze nutsfoarsjenningen omfetsje: , . De figuer hjirûnder lit in pear mear fan dizze diagnostyske nutsbedriuwen sjen.
ATMDesk kontrôle paniel
RapidFire ATM XFS kontrôle paniel
Fergelykjende skaaimerken fan ferskate diagnostyske nutsbedriuwen
Tagong ta sokke nutsbedriuwen is normaal beheind ta personaliseare tokens; en se wurkje allinnich as de ATM feilige doar is iepen. Lykwols, gewoan troch it ferfangen fan in pear bytes yn de binêre koade fan it nut, carders "test" cash weromlûken - it omgean fan de kontrôles levere troch de nutsbedriuw fabrikant. Carders ynstallearje dizze wizige nutsbedriuwen op har laptop of single-board mikrokomputer, dy't se dan direkt yn in bankbiljet-dispenser stekke om jild te stellen.
The Last Mile en it Fake Processing Center
Direkte ynteraksje mei perifeare apparaten, sûnder kommunikaasje mei de host, is mar ien fan 'e effektive metoaden fan carding. Oare trúkjes fertrouwe op it feit dat wy in breed ferskaat oan netwurkynterfaces hawwe wêrmei't de ATM kommunisearret mei de bûtenwrâld. Fan X.25 oant Ethernet en Cellular. In protte pinautomaten kinne wurde identifisearre en lokalisearre mei de Shodan-tsjinst (de meast beknopte ynstruksjes foar it brûken dêrfan wurde presintearre ), folge troch in oanfal dy't parasitearret op in kwetsbere feiligenskonfiguraasje, luiheid fan 'e behearder en kwetsbere kommunikaasje tusken ferskate ôfdielingen fan' e bank.
De "lêste myl" fan kommunikaasje tusken de pinautomaat en it ferwurkjen sintrum is ryk yn in grut ferskaat oan technologyen dy't kin tsjinje as in yngong punt foar de carder. Ynteraksje kin wurde útfierd fia in bedrade (tillefoanline as Ethernet) of draadloze (Wi-Fi, sellulêr: CDMA, GSM, UMTS, LTE) kommunikaasjemetoade. Feiligensmeganismen kinne omfetsje: 1) hardware of software om VPN te stypjen (sawol standert, ynboud yn it OS, en tredden); 2) SSL / TLS (sawol spesifyk foar in bepaald ATM-model as fan fabrikanten fan tredden); 3) fersifering; 4) berjocht autentikaasje.
Mar, dat foar banken de neamde technologyen tige kompleks binne, en dêrom dogge se har net mei spesjale netwurkbeskerming; of útfiere it mei flaters. Yn it bêste gefal ferbynt de pinautomaat mei de VPN-tsjinner, en al binnen it privee netwurk ferbynt it mei it ferwurkingssintrum. Derneist, sels as de banken it beheare om de boppesteande ferdigeningsmeganismen út te fieren, hat de carder al effektive oanfallen tsjin har. Dat. sels as de feiligens foldocht oan de PCI DSS standert, ATMs binne noch kwetsber.
Ien fan 'e wichtichste easken fan' e PCI DSS is dat alle gefoelige gegevens, as se oer in iepenbier netwurk ferstjoerd wurde, fersifere wurde moatte. En wy hawwe netwurken dy't oarspronklik binne ûntwurpen op sa'n manier dat de gegevens dêryn folslein fersifere binne! Dêrom is it ferleidend om te sizzen: "Us gegevens binne fersifere om't wy Wi-Fi en GSM brûke." In protte fan dizze netwurken jouwe lykwols net genôch beskerming. Sellulêre netwurken fan alle generaasjes binne al lang hacked. Finale en ûnomkearbere. En d'r binne sels leveransiers dy't apparaten oanbiede om de gegevens oer har te ûnderskeppen.
Dêrom, itsij yn ûnfeilige kommunikaasje, as yn in "privee" netwurk, wêr't elke pinautomaat oer himsels útstjoert nei oare pinautomaten, kin in "falske ferwurkingssintrum" MiTM-oanfal inisjearre wurde - wat sil liede ta de carder dy't kontrôle nimt oer de oerdroegen gegevensstreamen tusken ATM en ferwurkjen sintrum.
Tûzenen pinautomaten wurde mooglik beynfloede. Op 'e wei nei in echt ferwurkingssintrum - de cardrer foeget syn eigen, falske yn. Dit falske ferwurkingssintrum ynstruearret de pinautomaat om bankbiljetten út te jaan. Tagelyk set de carder syn ferwurkingssintrum op sa'n manier yn dat it weromlûken fan cash bart, nettsjinsteande hokker kaart yn 'e pinautomaat is ynfoege - sels as it ferrûn is of in saldo fan nul hat. It wichtichste is dat it falske ferwurkingssintrum it "erkent". In falske ferwurkingssintrum kin in hânwurk wêze as in simulator foar ferwurkingssintrum, oarspronklik ûntworpen om netwurkynstellingen te debuggen (in oar kado fan 'e "fabrikant" oan carders).
De folgjende figuer dump fan kommando's om 40 bankbiljetten út 'e fjirde kassette út te jaan - ferstjoerd fan in falske ferwurkingssintrum en opslein yn ATM-softwarelogs. Se lykje hast echt.
Dump kommando's fan in falske ferwurkingssintrum
Boarne: www.habr.com