IJzeren kisten met geld die in de straten van de stad staan, kunnen niet anders dan de aandacht trekken van liefhebbers van snel geld. En waar voorheen puur fysieke methoden werden gebruikt om geldautomaten leeg te maken, worden nu steeds meer bekwame computergerelateerde trucs gebruikt. De meest relevante daarvan is nu een ‘zwarte doos’ met daarin een microcomputer met één bord. Hoe het werkt, zullen we in dit artikel bespreken.
Hoofd van de International ATM Manufacturers Association (ATMIA) "zwarte dozen" als de gevaarlijkste bedreiging voor geldautomaten.
Een typische geldautomaat is een set kant-en-klare elektromechanische componenten die in één behuizing zijn ondergebracht. Fabrikanten van geldautomaten bouwen hun hardwarecreaties op basis van de bankbiljettenautomaat, kaartlezer en andere componenten die al door externe leveranciers zijn ontwikkeld. Een soort LEGO-constructeur voor volwassenen. De afgewerkte componenten worden in de behuizing van de geldautomaat geplaatst, die meestal uit twee compartimenten bestaat: een bovenste compartiment ("kast" of "servicegebied") en een onderste compartiment (kluis). Alle elektromechanische componenten zijn via USB- en COM-poorten verbonden met de systeemeenheid, die in dit geval als host fungeert. Op oudere ATM-modellen vind je ook aansluitingen via de SDC-bus.
De evolutie van ATM-kaarten
Geldautomaten met enorme sommen erin trekken steevast kaarters aan. Aanvankelijk maakten kaarders alleen maar misbruik van de grove fysieke tekortkomingen van de bescherming van geldautomaten: ze gebruikten skimmers en glinsters om gegevens van magneetstrips te stelen; nep-pinpads en camera's voor het bekijken van pincodes; en zelfs valse geldautomaten.
Toen geldautomaten vervolgens werden uitgerust met uniforme software die volgens gemeenschappelijke standaarden werkte, zoals XFS (eXtensions for Financial Services), begonnen kaarters geldautomaten aan te vallen met computervirussen.
Onder hen bevinden zich Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii en andere talrijke benoemde en naamloze malware, die carders op de ATM-host planten via een opstartbare USB-flashdrive of via een TCP-poort voor afstandsbediening.
ATM-infectieproces
Nadat de malware het XFS-subsysteem heeft veroverd, kan hij zonder toestemming opdrachten geven aan de bankbiljetautomaat. Of geef opdrachten aan de kaartlezer: lees/schrijf de magneetstrip van een bankkaart en haal zelfs de transactiegeschiedenis op die op de EMV-kaartchip is opgeslagen. EPP (Encrypting PIN Pad) verdient speciale aandacht. Algemeen wordt aangenomen dat de daarop ingevoerde pincode niet kan worden onderschept. Met XFS kunt u het EPP-pinpad echter in twee modi gebruiken: 1) open modus (voor het invoeren van verschillende numerieke parameters, zoals het uit te betalen bedrag); 2) veilige modus (EPP schakelt ernaar toe als u een pincode of coderingssleutel moet invoeren). Met deze functie van XFS kan de kaarter een MiTM-aanval uitvoeren: het activeringscommando in de veilige modus onderscheppen dat van de host naar de EPP wordt verzonden, en vervolgens het EPP-pinpad informeren dat het in de open modus moet blijven werken. Als reactie op dit bericht verstuurt EPP toetsaanslagen in leesbare tekst.
Werkingsprincipe van een “black box”
В последние годы, Europol, ATM-malware is aanzienlijk geëvolueerd. Kaarters hebben niet langer fysieke toegang tot een geldautomaat nodig om deze te infecteren. Ze kunnen geldautomaten infecteren via netwerkaanvallen op afstand via het bedrijfsnetwerk van de bank. Groep IB: in 2016 werden geldautomaten in meer dan tien Europese landen onderworpen aan aanvallen op afstand.
Aanval op een geldautomaat via externe toegang
Antivirussen, het blokkeren van firmware-updates, het blokkeren van USB-poorten en het coderen van de harde schijf - beschermen de geldautomaat tot op zekere hoogte tegen virusaanvallen door kaarters. Maar wat als de kaarter de host niet aanvalt, maar rechtstreeks verbinding maakt met de randapparatuur (via RS232 of USB) - met een kaartlezer, pinpad of geldautomaat?
Eerste kennismaking met de “black box”
De technisch onderlegde kaarders van vandaag , waarbij gebruik wordt gemaakt van het zogenaamde stelen van contant geld uit een geldautomaat. “zwarte dozen” zijn specifiek geprogrammeerde microcomputers met één bord, zoals de Raspberry Pi. “Zwarte dozen” maken geldautomaten volledig leeg, op een volledig magische manier (vanuit het perspectief van de bankiers). Kaarders verbinden hun magische apparaat rechtstreeks met de bankbiljetautomaat; om al het beschikbare geld eruit te halen. Deze aanval omzeilt alle beveiligingssoftware die op de ATM-host is geïmplementeerd (antivirus, integriteitsbewaking, volledige schijfversleuteling, enz.).
"Black box" gebaseerd op Raspberry Pi
De grootste fabrikanten van geldautomaten en inlichtingendiensten van de overheid werden geconfronteerd met verschillende implementaties van de "black box", dat deze slimme computers ervoor zorgen dat geldautomaten al het beschikbare contant geld uitspugen; 40 bankbiljetten elke 20 seconden. Veiligheidsdiensten waarschuwen ook dat kaarters zich het vaakst richten op geldautomaten in apotheken en winkelcentra; en ook voor geldautomaten die automobilisten onderweg bedienen.
Tegelijkertijd nemen de meest voorzichtige kaarders, om niet voor de camera's te verschijnen, de hulp in van een niet erg waardevolle partner, een muilezel. En zodat hij zich de “zwarte doos” niet voor zichzelf kan toe-eigenen, gebruiken ze . Ze halen belangrijke functionaliteit uit de ‘black box’ en koppelen er een smartphone aan, die wordt gebruikt als kanaal om op afstand via het IP-protocol commando’s naar de uitgeklede ‘black box’ te sturen.
Aanpassing van de “black box”, met activering via externe toegang
Hoe ziet dit eruit vanuit het perspectief van de bankiers? Bij opnames van videocamera's gebeurt zoiets: een bepaalde persoon opent het bovenste compartiment (servicegebied), sluit een "magische doos" aan op de geldautomaat, sluit het bovenste compartiment en vertrekt. Even later naderen verschillende mensen, ogenschijnlijk gewone klanten, de geldautomaat en nemen enorme hoeveelheden geld op. De kaarder komt dan terug en haalt zijn kleine magische apparaatje uit de geldautomaat. Normaal gesproken wordt het feit van een aanval op een geldautomaat door een “black box” pas na een paar dagen ontdekt: wanneer de lege kluis en het logboek voor geldopnames niet overeenkomen. Als gevolg hiervan kunnen bankmedewerkers alleen maar .
Analyse van ATM-communicatie
Zoals hierboven vermeld, wordt de interactie tussen de systeemeenheid en randapparatuur uitgevoerd via USB, RS232 of SDC. De kaarder maakt rechtstreeks verbinding met de poort van het randapparaat en stuurt er opdrachten naartoe, waarbij de host wordt omzeild. Dit is vrij eenvoudig, omdat standaardinterfaces geen specifieke stuurprogramma's vereisen. En de propriëtaire protocollen waarmee het randapparaat en de host samenwerken, vereisen geen autorisatie (het apparaat bevindt zich immers in een vertrouwde zone); en daarom worden deze onveilige protocollen, via welke het randapparaat en de host communiceren, gemakkelijk afgeluisterd en gemakkelijk vatbaar voor replay-aanvallen.
Dat. Kaarters kunnen een software- of hardwareverkeersanalysator gebruiken en deze rechtstreeks aansluiten op de poort van een specifiek randapparaat (bijvoorbeeld een kaartlezer) om verzonden gegevens te verzamelen. Met behulp van een verkeersanalysator leert de kaarter alle technische details van de werking van de geldautomaat, inclusief ongedocumenteerde functies van de randapparatuur (bijvoorbeeld de functie van het wijzigen van de firmware van een randapparaat). Hierdoor krijgt de kaarder volledige controle over de geldautomaat. Tegelijkertijd is het vrij moeilijk om de aanwezigheid van een verkeersanalysator te detecteren.
Directe controle over de bankbiljettenautomaat betekent dat de geldautomaatcassettes kunnen worden geleegd zonder enige registratie in de logboeken, die normaal gesproken worden ingevoerd door de software die op de host is geïnstalleerd. Voor degenen die niet bekend zijn met de hardware- en softwarearchitectuur van ATM: het kan echt op magie lijken.
Waar komen zwarte dozen vandaan?
Leveranciers en onderaannemers van geldautomaten ontwikkelen hulpprogramma's voor het opsporen van fouten om geldautomaten te diagnosticeren, inclusief de elektrische mechanismen die verantwoordelijk zijn voor geldopnames. Onder deze hulpprogramma's: , . De onderstaande afbeelding toont nog een aantal van dergelijke diagnostische hulpprogramma's.
ATMDesk-configuratiescherm
RapidFire ATM XFS-bedieningspaneel
Vergelijkende kenmerken van verschillende diagnostische hulpprogramma's
De toegang tot dergelijke hulpprogramma's is normaal gesproken beperkt tot gepersonaliseerde tokens; en ze werken alleen als de deur van de geldautomaat open is. Echter, simpelweg door een paar bytes in de binaire code van het hulpprogramma Carders te vervangen “test” geldopname - het omzeilen van de cheques van de fabrikant van het nutsbedrijf. Kaarters installeren dergelijke aangepaste hulpprogramma's op hun laptop of microcomputer met één board, die vervolgens rechtstreeks op de bankbiljetautomaat worden aangesloten om ongeoorloofde geldopnames te maken.
“Last mile” en nepverwerkingscentrum
Directe interactie met de periferie, zonder communicatie met de gastheer, is slechts een van de effectieve kaarttechnieken. Andere technieken zijn gebaseerd op het feit dat we over een grote verscheidenheid aan netwerkinterfaces beschikken waarmee de geldautomaat met de buitenwereld communiceert. Van X.25 tot Ethernet en mobiel. Veel geldautomaten kunnen worden geïdentificeerd en gelokaliseerd met behulp van de Shodan-service (de meest beknopte instructies voor het gebruik ervan worden gepresenteerd ), – met een daaropvolgende aanval die misbruik maakt van een kwetsbare beveiligingsconfiguratie, de luiheid van de beheerder en kwetsbare communicatie tussen verschillende afdelingen van de bank.
De ‘laatste kilometer’ van de communicatie tussen de geldautomaat en het verwerkingscentrum is rijk aan een grote verscheidenheid aan technologieën die als toegangspunt voor de kaarter kunnen dienen. Interactie kan worden uitgevoerd via een bekabelde (telefoonlijn of Ethernet) of draadloze (Wi-Fi, mobiel: CDMA, GSM, UMTS, LTE) communicatiemethode. Beveiligingsmechanismen kunnen het volgende omvatten: 1) hardware of software ter ondersteuning van VPN (zowel standaard, ingebouwd in het besturingssysteem als van derden); 2) SSL/TLS (zowel specifiek voor een bepaald ATM-model als van externe fabrikanten); 3) encryptie; 4) berichtverificatie.
Maar dat de genoemde technologieën voor banken erg complex lijken en zich daarom niet bezighouden met speciale netwerkbescherming; of ze implementeren het met fouten. In het beste geval communiceert de geldautomaat met de VPN-server en maakt hij al binnen het privénetwerk verbinding met het verwerkingscentrum. Bovendien, zelfs als banken erin slagen de hierboven genoemde beschermingsmechanismen te implementeren, heeft de kaarter al effectieve aanvallen tegen hen. Dat. Zelfs als de beveiliging voldoet aan de PCI DSS-standaard, zijn geldautomaten nog steeds kwetsbaar.
Een van de kernvereisten van PCI DSS is dat alle gevoelige gegevens gecodeerd moeten zijn wanneer ze via een openbaar netwerk worden verzonden. En we hebben eigenlijk netwerken die oorspronkelijk zo zijn ontworpen dat de gegevens daarin volledig gecodeerd zijn! Daarom is het verleidelijk om te zeggen: “Onze gegevens zijn gecodeerd omdat we Wi-Fi en GSM gebruiken.” Veel van deze netwerken bieden echter onvoldoende beveiliging. Mobiele netwerken van alle generaties zijn al lang gehackt. Eindelijk en onherroepelijk. En er zijn zelfs leveranciers die apparaten aanbieden waarmee de gegevens die via hen worden verzonden, kunnen worden onderschept.
Daarom kan, hetzij in een onveilige communicatie of in een ‘privaat’ netwerk, waar elke geldautomaat zichzelf uitzendt naar andere geldautomaten, een MiTM ‘nepverwerkingscentrum’-aanval worden geïnitieerd – wat ertoe zal leiden dat de kaarthouder de controle overneemt van de gegevensstromen die worden verzonden tussen Geldautomaat en verwerkingscentrum.
Duizenden geldautomaten zijn mogelijk getroffen. Op weg naar het echte verwerkingscentrum stopt de cardr zijn eigen, nep-exemplaar. Dit nepverwerkingscentrum geeft opdrachten aan de geldautomaat om bankbiljetten uit te delen. In dit geval configureert de kaarter zijn verwerkingscentrum zo dat contant geld wordt uitgegeven, ongeacht welke kaart in de geldautomaat wordt gestoken - zelfs als deze verlopen is of een nulsaldo heeft. Het belangrijkste is dat het nepverwerkingscentrum het “herkent”. Een nepverwerkingscentrum kan een zelfgemaakt product zijn of een verwerkingscentrumsimulator, oorspronkelijk ontworpen voor het debuggen van netwerkinstellingen (nog een geschenk van de "fabrikant" aan kaarters).
Op de volgende afbeelding dump van opdrachten voor de uitgifte van 40 bankbiljetten uit de vierde cassette - verzonden vanuit een nepverwerkingscentrum en opgeslagen in ATM-softwarelogboeken. Ze zien er bijna echt uit.
Commandodump van een nepverwerkingscentrum
Bron: www.habr.com