Stojące na ulicach miasta żelazne skrzynki z pieniędzmi nie mogą nie zwrócić uwagi miłośników szybkich pieniędzy. I jeśli wcześniej do opróżniania bankomatów używano metod czysto fizycznych, teraz coraz częściej stosuje się zręczne sztuczki komputerowe. Teraz najbardziej odpowiednią z nich jest „czarna skrzynka” z jednopłytkowym mikrokomputerem w środku. O tym, jak to działa, porozmawiamy w tym artykule.
Szef Międzynarodowego Stowarzyszenia Producentów ATM (ATMIA) „czarne skrzynki” jako najgroźniejsze zagrożenie dla bankomatów.
Typowy bankomat to zestaw gotowych podzespołów elektromechanicznych umieszczonych w jednej obudowie. Producenci bankomatów budują swój sprzęt z dozownika banknotów, czytnika kart i innych komponentów już opracowanych przez zewnętrznych dostawców. Coś w rodzaju konstruktora LEGO dla dorosłych. Gotowe elementy umieszczane są w korpusie bankomatu, który zwykle składa się z dwóch komór: górnej („szafa” lub „obszar serwisowy”) i dolnej (sejf). Wszystkie komponenty elektromechaniczne są podłączone poprzez porty USB i COM do jednostki systemowej, która w tym przypadku pełni rolę hosta. W starszych modelach bankomatów można znaleźć także połączenia poprzez magistralę SDC.
Ewolucja kart bankomatowych
Bankomaty z ogromnymi sumami niezmiennie przyciągają karciarzy. Początkowo carderzy wykorzystywali jedynie rażące fizyczne braki w ochronie bankomatów - używali skimmerów i shimmerów do kradzieży danych z pasków magnetycznych; fałszywe podkładki do pinów i kamery do przeglądania kodów PIN; a nawet fałszywe bankomaty.
Następnie, gdy bankomaty zaczęto wyposażać w ujednolicone oprogramowanie działające według powszechnych standardów, takie jak XFS (eXtensions for Financial Services), carderzy zaczęli atakować bankomaty wirusami komputerowymi.
Wśród nich znajdują się Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii i inne liczne nazwane i nienazwane złośliwe oprogramowanie, które carders instalują na hoście bankomatu za pośrednictwem rozruchowego dysku flash USB lub portu zdalnego sterowania TCP.
Proces infekcji bankomatu
Po przechwyceniu podsystemu XFS szkodliwe oprogramowanie może bez autoryzacji wysyłać polecenia do dystrybutora banknotów. Lub wydaj polecenia czytnikowi kart: odczytaj/zapisz pasek magnetyczny karty bankowej, a nawet pobierz historię transakcji zapisaną w chipie karty EMV. Na szczególną uwagę zasługuje EPP (Encrypting PIN Pad). Powszechnie przyjmuje się, że wprowadzony na nim kod PIN nie może zostać przechwycony. Jednakże XFS umożliwia korzystanie z pinpada EPP w dwóch trybach: 1) tryb otwarty (do wprowadzania różnych parametrów liczbowych, np. kwoty do wypłaty); 2) tryb awaryjny (EPP przełącza się na niego, gdy konieczne jest wprowadzenie kodu PIN lub klucza szyfrującego). Ta funkcja XFS umożliwia carderowi przeprowadzenie ataku MiTM: przechwycenie polecenia aktywacji trybu bezpiecznego wysłanego z hosta do EPP, a następnie poinformowanie pinpada EPP, że powinien kontynuować pracę w trybie otwartym. W odpowiedzi na tę wiadomość EPP wysyła naciśnięcia klawiszy w postaci zwykłego tekstu.
Zasada działania „czarnej skrzynki”
W ostatnich latach, Europol, złośliwe oprogramowanie ATM znacznie ewoluowało. Karterzy nie muszą już mieć fizycznego dostępu do bankomatu, aby go zainfekować. Mogą infekować bankomaty poprzez zdalne ataki sieciowe z wykorzystaniem sieci korporacyjnej banku. Grupa IB, w 2016 roku w ponad 10 krajach Europy bankomaty stały się przedmiotem zdalnych ataków.
Atak na bankomat poprzez zdalny dostęp
Antywirusy, blokujące aktualizacje oprogramowania, blokujące porty USB i szyfrujące dysk twardy - w pewnym stopniu chronią bankomat przed atakami wirusów ze strony carderów. Co jednak, jeśli carder nie atakuje hosta, ale łączy się bezpośrednio z urządzeniem peryferyjnym (przez RS232 lub USB) - z czytnikiem kart, pinpadem lub bankomatem?
Pierwsze spotkanie z „czarną skrzynką”
Dzisiejsi, znający się na technologii karciarze , wykorzystując tzw. kradzież gotówki z bankomatu. „czarne skrzynki” to specjalnie zaprogramowane mikrokomputery jednopłytkowe, takie jak Raspberry Pi. „Czarne skrzynki” całkowicie opróżniają bankomaty w całkowicie magiczny (z punktu widzenia bankierów) sposób. Carderzy podłączają swoje magiczne urządzenie bezpośrednio do dozownika banknotów; wydobyć z niego wszystkie dostępne pieniądze. Atak ten omija całe oprogramowanie zabezpieczające zainstalowane na hoście ATM (program antywirusowy, monitorowanie integralności, szyfrowanie całego dysku itp.).
„Czarna skrzynka” oparta na Raspberry Pi
Najwięksi producenci bankomatów i rządowe agencje wywiadowcze, w obliczu kilku wdrożeń „czarnej skrzynki”, że te sprytne komputery nakłaniają bankomaty do wypluwania całej dostępnej gotówki; 40 banknotów co 20 sekund. Służby bezpieczeństwa ostrzegają też, że płatnicy najczęściej atakują bankomaty w aptekach i centrach handlowych; a także do bankomatów obsługujących kierowców w podróży.
Jednocześnie, aby nie pojawiać się przed kamerami, najostrożniejsi karciarze korzystają z pomocy niezbyt wartościowego partnera, jakim jest muł. Aby nie mógł sobie przywłaszczyć „czarnej skrzynki”, używają . Usuwają kluczowe funkcjonalności z „czarnej skrzynki” i podłączają do niej smartfon, który służy jako kanał zdalnego przesyłania poleceń do okrojonej „czarnej skrzynki” za pośrednictwem protokołu IP.
Modyfikacja „czarnej skrzynki” z aktywacją poprzez zdalny dostęp
Jak to wygląda z punktu widzenia bankierów? W nagraniach z kamer wideo dzieje się coś takiego: pewna osoba otwiera górną komorę (obszar obsługi), podłącza „magiczną skrzynkę” do bankomatu, zamyka górną komorę i wychodzi. Nieco później do bankomatu podchodzi kilka osób, pozornie zwykłych klientów, i wypłaca ogromne sumy pieniędzy. Następnie carder wraca i pobiera swoje małe magiczne urządzenie z bankomatu. Zazwyczaj fakt ataku na bankomat przez „czarną skrzynkę” zostaje wykryty dopiero po kilku dniach: kiedy pusty sejf i dziennik wypłat gotówki nie pasują do siebie. W rezultacie pracownicy banku mogą tylko .
Analiza komunikacji ATM
Jak wspomniano powyżej, interakcja między jednostką systemową a urządzeniami peryferyjnymi odbywa się za pośrednictwem USB, RS232 lub SDC. Carder łączy się bezpośrednio z portem urządzenia peryferyjnego i wysyła do niego polecenia - z pominięciem hosta. Jest to dość proste, ponieważ standardowe interfejsy nie wymagają żadnych specjalnych sterowników. A zastrzeżone protokoły, dzięki którym współdziałają urządzenie peryferyjne i host, nie wymagają autoryzacji (w końcu urządzenie znajduje się w strefie zaufanej); dlatego też te niezabezpieczone protokoły, za pośrednictwem których komunikują się urządzenia peryferyjne i host, są łatwo podsłuchiwane i podatne na ataki typu „replay”.
To. Carders mogą skorzystać z programowego lub sprzętowego analizatora ruchu, podłączając go bezpośrednio do portu określonego urządzenia peryferyjnego (na przykład czytnika kart) w celu gromadzenia przesyłanych danych. Za pomocą analizatora ruchu carder poznaje wszystkie szczegóły techniczne działania bankomatu, w tym nieudokumentowane funkcje jego urządzeń peryferyjnych (np. funkcję zmiany oprogramowania urządzenia peryferyjnego). Dzięki temu carder zyskuje pełną kontrolę nad bankomatem. Jednocześnie dość trudno jest wykryć obecność analizatora ruchu.
Bezpośrednia kontrola nad dystrybutorem banknotów oznacza, że kasety bankomatu można opróżniać bez konieczności zapisywania w dziennikach, które zwykle są wprowadzane przez oprogramowanie zainstalowane na hoście. Dla tych, którzy nie są zaznajomieni ze sprzętem i architekturą oprogramowania ATM, może to naprawdę wyglądać jak magia.
Skąd się biorą czarne skrzynki?
Dostawcy i podwykonawcy bankomatów opracowują narzędzia do debugowania w celu diagnozowania sprzętu bankomatu, w tym mechaniki elektrycznej odpowiedzialnej za wypłaty gotówki. Wśród tych narzędzi: , . Poniższy rysunek przedstawia kilka innych takich narzędzi diagnostycznych.
Panel sterowania ATMDeska
Panel sterowania RapidFire ATM XFS
Charakterystyka porównawcza kilku narzędzi diagnostycznych
Dostęp do takich narzędzi jest zwykle ograniczony do tokenów spersonalizowanych; i działają tylko wtedy, gdy drzwi sejfu bankomatu są otwarte. Jednak po prostu zastępując kilka bajtów w kodzie binarnym narzędzia carders „testowa” wypłata gotówki - z pominięciem kontroli dostarczonych przez producenta narzędzia. Karterzy instalują takie zmodyfikowane narzędzia na swoim laptopie lub jednopłytkowym mikrokomputerze, które następnie podłączają się bezpośrednio do bankomatu w celu dokonywania nieautoryzowanych wypłat gotówki.
„Ostatnia mila” i fałszywe centrum przetwarzania
Bezpośrednia interakcja z peryferiami, bez komunikacji z gospodarzem, to tylko jedna ze skutecznych technik zgrzeblenia. Inne techniki polegają na tym, że mamy szeroką gamę interfejsów sieciowych, za pośrednictwem których bankomat komunikuje się ze światem zewnętrznym. Od X.25 po Ethernet i sieć komórkową. Wiele bankomatów można zidentyfikować i zlokalizować za pomocą usługi Shodan (przedstawiono najbardziej zwięzłą instrukcję jej użycia). ), – z późniejszym atakiem wykorzystującym lukę w konfiguracji zabezpieczeń, lenistwo administratora i wrażliwą komunikację pomiędzy różnymi działami banku.
„Ostatnia mila” komunikacji pomiędzy bankomatem a centrum przetwarzania jest bogata w szeroką gamę technologii, które mogą służyć jako punkt wejścia dla zrzeszającego. Interakcja może odbywać się poprzez komunikację przewodową (linia telefoniczna lub Ethernet) lub bezprzewodową (Wi-Fi, komórkowa: CDMA, GSM, UMTS, LTE). Mechanizmy bezpieczeństwa mogą obejmować: 1) sprzęt lub oprogramowanie obsługujące VPN (zarówno standardowe, wbudowane w system operacyjny, jak i pochodzące od stron trzecich); 2) SSL/TLS (zarówno specyficzne dla konkretnego modelu bankomatu, jak i pochodzące od zewnętrznych producentów); 3) szyfrowanie; 4) uwierzytelnienie wiadomości.
jednak że dla banków wymienione technologie wydają się bardzo złożone i dlatego nie zawracają sobie głowy specjalną ochroną sieci; lub wdrażają go z błędami. W najlepszym przypadku bankomat komunikuje się z serwerem VPN i już w sieci prywatnej łączy się z centrum przetwarzania. Dodatkowo, nawet jeśli bankom uda się wdrożyć wymienione powyżej mechanizmy ochronne, carder ma już na nie skuteczne ataki. To. Nawet jeśli bezpieczeństwo jest zgodne ze standardem PCI DSS, bankomaty nadal są podatne na ataki.
Jednym z podstawowych wymagań PCI DSS jest to, że wszystkie wrażliwe dane muszą być szyfrowane podczas przesyłania przez sieć publiczną. I rzeczywiście mamy sieci, które pierwotnie zostały zaprojektowane w taki sposób, że dane w nich są całkowicie zaszyfrowane! Dlatego kuszące jest stwierdzenie: „Nasze dane są szyfrowane, ponieważ korzystamy z Wi-Fi i GSM”. Jednak wiele z tych sieci nie zapewnia wystarczającego bezpieczeństwa. Sieci komórkowe wszystkich generacji były już dawno atakowane przez hakerów. Wreszcie i nieodwołalnie. Są nawet dostawcy, którzy oferują urządzenia do przechwytywania przesyłanych przez nich danych.
Dlatego też w przypadku niezabezpieczonej komunikacji lub w „prywatnej” sieci, gdzie każdy bankomat rozgłasza się do innych bankomatów, może zostać zainicjowany atak MiTM na „fałszywe centrum przetwarzania”, co doprowadzi do przejęcia przez cardera kontroli nad przepływami danych przesyłanych pomiędzy Bankomat i centrum przetwarzania.
Potencjalnie dotknięte są tysiące bankomatów. W drodze do prawdziwego centrum przetwarzania, cardr wkłada swój własny, fałszywy. To fałszywe centrum przetwarzania wydaje bankomatowi polecenia wydania banknotów. W tym przypadku carder konfiguruje swoje centrum przetwarzania w taki sposób, że gotówka jest wydawana niezależnie od tego, która karta jest włożona do bankomatu – nawet jeśli straciła ważność lub ma zerowe saldo. Najważniejsze, że fałszywe centrum przetwarzania „rozpoznaje” to. Fałszywym centrum przetwarzania może być produkt domowej roboty lub symulator centrum przetwarzania, pierwotnie zaprojektowany do debugowania ustawień sieciowych (kolejny prezent od „producenta” dla karterów).
Na poniższym obrazku zrzut poleceń wydania 40 banknotów z czwartej kasety – wysłanych z fałszywego centrum przetwarzania i zapisanych w logach oprogramowania bankomatu. Wyglądają prawie jak prawdziwe.
Zrzut poleceń fałszywego centrum przetwarzania
Źródło: www.habr.com