Le scatole di ferro con i soldi in piedi per le strade della città non possono fare a meno di attirare l'attenzione degli amanti del denaro veloce. E se prima per svuotare i bancomat si utilizzavano metodi puramente fisici, ora si utilizzano sempre più abili trucchi informatici. Ora la più rilevante di queste è una "scatola nera" con all'interno un microcomputer a scheda singola. Parleremo di come funziona in questo articolo.
Responsabile dell'Associazione internazionale dei produttori di ATM (ATMIA) le "scatole nere" come la minaccia più pericolosa per gli sportelli bancomat.
Un tipico bancomat è un insieme di componenti elettromeccanici già pronti alloggiati in un unico alloggiamento. I produttori di bancomat realizzano le loro creazioni hardware partendo da distributori di banconote, lettori di carte e altri componenti già sviluppati da fornitori terzi. Una sorta di costruttore LEGO per adulti. I componenti finiti vengono inseriti nella scocca dell'ATM, che solitamente è composta da due vani: un vano superiore ("armadio" o "zona di servizio"), ed un vano inferiore (cassaforte). Tutti i componenti elettromeccanici sono collegati tramite porte USB e COM all'unità di sistema, che in questo caso funge da host. Sui modelli ATM più vecchi potete trovare collegamenti anche tramite il bus SDC.
L'evoluzione della carta ATM
Gli sportelli bancomat con ingenti somme all'interno attirano invariabilmente i cardatori. Inizialmente, i cardatori sfruttavano solo le grossolane carenze fisiche della protezione del bancomat: utilizzavano skimmer e shimmer per rubare dati dalle bande magnetiche; falsi pin pad e fotocamere per la visualizzazione di codici pin; e persino falsi bancomat.
Poi, quando i bancomat iniziarono ad essere dotati di software unificato che funzionava secondo standard comuni, come XFS (eXtensions for Financial Services), i cardatori iniziarono ad attaccare i bancomat con virus informatici.
Tra questi ci sono Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii e altri numerosi malware con e senza nome, che i cardatori inseriscono nell'host ATM tramite un'unità flash USB avviabile o tramite una porta di controllo remoto TCP.
Processo di infezione del bancomat
Dopo aver catturato il sottosistema XFS, il malware può impartire comandi al distributore di banconote senza autorizzazione. Oppure impartisci comandi al lettore di carte: leggi/scrivi la banda magnetica di una carta bancaria e persino recupera la cronologia delle transazioni memorizzata sul chip della carta EMV. L'EPP (Encrypting PIN Pad) merita un'attenzione particolare. È generalmente accettato che il codice PIN inserito su di esso non possa essere intercettato. XFS consente tuttavia di utilizzare il pinpad EPP in due modalità: 1) modalità aperta (per inserire vari parametri numerici, come l'importo da incassare); 2) modalità provvisoria (l'EPP passa ad essa quando è necessario inserire un codice PIN o una chiave di crittografia). Questa funzionalità di XFS consente al carder di effettuare un attacco MiTM: intercettare il comando di attivazione della modalità provvisoria inviato dall'host all'EPP e quindi informare il pinpad dell'EPP che dovrebbe continuare a funzionare in modalità aperta. In risposta a questo messaggio, il PPE invia le sequenze di tasti in chiaro.
Principio di funzionamento di una “scatola nera”
Negli ultimi anni, Europol, il malware ATM si è evoluto in modo significativo. I cardatori non hanno più bisogno di avere accesso fisico a un bancomat per infettarlo. Possono infettare gli sportelli bancomat tramite attacchi di rete remoti utilizzando la rete aziendale della banca. Gruppo IB, nel 2016 in più di 10 paesi europei gli sportelli bancomat sono stati oggetto di attacchi a distanza.
Attacco ad un bancomat tramite accesso remoto
Antivirus, blocco degli aggiornamenti del firmware, blocco delle porte USB e crittografia del disco rigido: in una certa misura proteggono il bancomat dagli attacchi di virus da parte dei cardatori. Ma cosa succede se la carder non attacca l'host, ma si collega direttamente alla periferia (tramite RS232 o USB) - a un lettore di carte, a un pin pad o a uno sportello automatico?
Prima conoscenza con la “scatola nera”
I cardatori di oggi esperti di tecnologia , utilizzando il cosiddetto per rubare contanti da un bancomat. Le “scatole nere” sono microcomputer a scheda singola appositamente programmati, come il Raspberry Pi. Le “scatole nere” svuotano completamente gli sportelli bancomat, in un modo del tutto magico (dal punto di vista dei banchieri). I cardatori collegano il loro magico dispositivo direttamente al distributore di banconote; per estrarne tutto il denaro disponibile. Questo attacco aggira tutto il software di sicurezza distribuito sull'host ATM (antivirus, monitoraggio dell'integrità, crittografia dell'intero disco, ecc.).
"Scatola nera" basata su Raspberry Pi
I più grandi produttori di bancomat e le agenzie di intelligence governative, di fronte a diverse implementazioni della "scatola nera", che questi computer intelligenti inducono i bancomat a sputare tutto il contante disponibile; 40 banconote ogni 20 secondi. I servizi di sicurezza avvertono inoltre che i cardatori molto spesso prendono di mira gli sportelli bancomat nelle farmacie e nei centri commerciali; e anche agli sportelli bancomat che servono gli automobilisti in movimento.
Allo stesso tempo, per non apparire davanti alle telecamere, i cardatori più cauti si avvalgono dell'aiuto di qualche compagno di scarso valore, un mulo. E affinché non possa appropriarsi della “scatola nera”, la usano . Rimuovono le funzionalità chiave dalla “scatola nera” e vi collegano uno smartphone, che viene utilizzato come canale per la trasmissione remota di comandi alla “scatola nera” ridotta tramite il protocollo IP.
Modifica della “scatola nera”, con attivazione tramite accesso remoto
Cosa significa tutto questo dal punto di vista dei banchieri? Nelle registrazioni delle telecamere accade qualcosa del genere: una certa persona apre lo scomparto superiore (area di servizio), collega la “scatola magica” al bancomat, chiude lo scomparto superiore ed esce. Poco dopo, diverse persone, apparentemente normali clienti, si avvicinano al bancomat e prelevano enormi somme di denaro. Il cardatore poi ritorna e recupera il suo piccolo dispositivo magico dal bancomat. In genere, l'attacco ad un bancomat da parte di una "scatola nera" viene scoperto solo dopo pochi giorni: quando la cassaforte vuota e il registro dei prelievi di contanti non corrispondono. Di conseguenza, solo i dipendenti della banca possono farlo .
Analisi delle comunicazioni ATM
Come notato sopra, l'interazione tra l'unità di sistema e i dispositivi periferici viene effettuata tramite USB, RS232 o SDC. La scheda si collega direttamente alla porta del dispositivo periferico e gli invia i comandi, bypassando l'host. Questo è abbastanza semplice perché le interfacce standard non richiedono driver specifici. E i protocolli proprietari con cui la periferica e l'host interagiscono non richiedono autorizzazione (dopotutto il dispositivo si trova all'interno di una zona sicura); e quindi questi protocolli non sicuri, attraverso i quali la periferica e l'host comunicano, sono facilmente intercettati e facilmente suscettibili ad attacchi di riproduzione.
Quello. I carder possono utilizzare un analizzatore di traffico software o hardware, collegandolo direttamente alla porta di uno specifico dispositivo periferico (ad esempio un lettore di carte) per raccogliere i dati trasmessi. Utilizzando un analizzatore di traffico, il cardatore apprende tutti i dettagli tecnici del funzionamento del bancomat, comprese le funzioni non documentate delle sue periferiche (ad esempio, la funzione di modifica del firmware di un dispositivo periferico). Di conseguenza, il cardatore acquisisce il pieno controllo del bancomat. Allo stesso tempo, è abbastanza difficile rilevare la presenza di un analizzatore di traffico.
Il controllo diretto dell'erogatore di banconote fa sì che le cassette ATM possano essere svuotate senza alcuna registrazione nei log, che normalmente vengono inseriti dal software installato sull'host. Per coloro che non hanno familiarità con l'architettura hardware e software dell'ATM, può davvero sembrare magico.
Da dove vengono le scatole nere?
I fornitori e i subappaltatori dei bancomat stanno sviluppando utilità di debug per diagnosticare l’hardware dei bancomat, compresi i meccanismi elettrici responsabili dei prelievi di contanti. Tra queste utilità: , . La figura seguente mostra molte altre utilità diagnostiche simili.
Pannello di controllo di ATMDesk
Pannello di controllo RapidFire ATM XFS
Caratteristiche comparative di diverse utilità diagnostiche
L'accesso a tali utilità è normalmente limitato a token personalizzati; e funzionano solo quando la porta della cassaforte del bancomat è aperta. Tuttavia, semplicemente sostituendo alcuni byte nel codice binario dell'utilità, i cardatori Prelievo di contanti “di prova”: aggirando i controlli forniti dal produttore del servizio. I cardatori installano tali utilità modificate sul proprio laptop o microcomputer a scheda singola, che vengono poi collegati direttamente al distributore di banconote per effettuare prelievi di contanti non autorizzati.
“Ultimo miglio” e finto centro di lavorazione
L'interazione diretta con la periferia, senza comunicazione con l'ospite, è solo una delle tecniche di cardatura efficaci. Altre tecniche si basano sul fatto che disponiamo di un'ampia varietà di interfacce di rete attraverso le quali l'ATM comunica con il mondo esterno. Da X.25 a Ethernet e cellulare. Molti bancomat possono essere identificati e localizzati utilizzando il servizio Shodan (vengono presentate le istruzioni più concise per il suo utilizzo ), – con un successivo attacco che sfrutta una configurazione di sicurezza vulnerabile, la pigrizia dell'amministratore e le comunicazioni vulnerabili tra i vari reparti della banca.
L'“ultimo miglio” di comunicazione tra l'ATM e il centro di elaborazione è ricco di un'ampia varietà di tecnologie che possono fungere da punto di ingresso per il cardatore. L'interazione può essere effettuata tramite modalità di comunicazione cablata (linea telefonica o Ethernet) o wireless (Wi-Fi, cellulare: CDMA, GSM, UMTS, LTE). I meccanismi di sicurezza possono includere: 1) hardware o software per supportare la VPN (sia standard, integrati nel sistema operativo, sia di terze parti); 2) SSL/TLS (entrambi specifici per un particolare modello di ATM e di produttori di terze parti); 3) crittografia; 4) autenticazione del messaggio.
tuttavia che per le banche le tecnologie elencate sembrano molto complesse, e quindi non si preoccupano di una speciale protezione della rete; oppure lo implementano con errori. Nel migliore dei casi, l'ATM comunica con il server VPN e già all'interno della rete privata si connette al centro di elaborazione. Inoltre, anche se le banche riescono ad attuare i meccanismi di protezione sopra elencati, il titolare della carta dispone già di attacchi efficaci contro di loro. Quello. Anche se la sicurezza è conforme allo standard PCI DSS, gli sportelli bancomat sono ancora vulnerabili.
Uno dei requisiti fondamentali del PCI DSS è che tutti i dati sensibili devono essere crittografati quando vengono trasmessi su una rete pubblica. E in realtà disponiamo di reti originariamente progettate in modo tale che i dati in esse contenuti siano completamente crittografati! Pertanto, si è tentati di dire: “I nostri dati sono crittografati perché utilizziamo Wi-Fi e GSM”. Tuttavia, molte di queste reti non garantiscono una sicurezza sufficiente. Le reti cellulari di tutte le generazioni sono state compromesse da tempo. Finalmente e irrevocabilmente. E ci sono anche fornitori che offrono dispositivi per intercettare i dati trasmessi su di essi.
Pertanto, sia in una comunicazione non sicura sia in una rete “privata”, dove ogni ATM trasmette se stesso ad altri ATM, può essere avviato un attacco MiTM “falso centro di elaborazione” - che porterà il cardatore a prendere il controllo dei flussi di dati trasmessi tra ATM e centro di elaborazione.
Migliaia di bancomat sono potenzialmente interessati. Sulla strada per il vero centro di elaborazione, il carder inserisce il suo, falso. Questo falso centro di elaborazione dà comandi al bancomat per erogare banconote. In questo caso il titolare della carta configura il proprio centro di elaborazione in modo tale che il contante venga emesso indipendentemente dalla carta inserita nel bancomat, anche se è scaduta o ha un saldo pari a zero. L'importante è che il falso centro di elaborazione lo “riconosca”. Un centro di elaborazione falso può essere un prodotto fatto in casa o un simulatore di un centro di elaborazione, originariamente progettato per eseguire il debug delle impostazioni di rete (un altro regalo del "produttore" ai cardatori).
Nella foto seguente dump dei comandi per l'emissione di 40 banconote dalla quarta cassetta, inviati da un falso centro di elaborazione e archiviati nei registri del software ATM. Sembrano quasi reali.
Dump dei comandi di un falso centro di elaborazione
Fonte: habr.com