Aussie
New member
Типичный банкомат — это набор готовых электромеханических компонентов, размещенных в одном корпусе. Производители банкоматов собирают их из устройства выдачи банкнот, считывателя карт и других компонентов, уже разработанных сторонними поставщиками. Этакий конструктор LEGO для взрослых. Готовые компоненты размещаются в корпусе банкомата, который обычно состоит из двух отсеков: верхнего («кабинета» или «зоны обслуживания») и нижнего (сейфа). Все электромеханические компоненты подключены через порты USB и COM к системному блоку, который в данном случае играет роль хоста. На старых моделях банкоматов также можно встретить соединения через SDC-шину.
Начальник международной ассоциации производителей банкоматов (ATMIA)выделил«черные ящики» как наиболее серьезную угрозу для банкоматов.
Эволюция банкоматного кардинга
Сначала ""пекари" эксплуатировали только грубые физические недостатки защиты банкоматов — использовали скиммеры и шиммеры для кражи данных с магнитных полос, поддельные ПИН-пады и камеры для просмотра ПИН-кодов и даже поддельные банкоматы. Затем, когда банкоматы стали оснащать унифицированным софтом, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), кардеры начали атаковать банкоматы компьютерными вирусами. Среди них Trojan.Skimer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие именованные и безымянные зловреды, которых кардеры подсаживают на хост банкомата либо через загрузочную флешку, либо через TCP-порт удаленного управления.
Захватив XFS-подсистему, малварь может без авторизации отдавать команды устройству выдачи банкнот или картридеру: читать магнитную полосу банковской карты, писать на нее и даже извлекать историю транзакций, хранящуюся на чипе EMV-карты. Особого внимания заслуживает EPP (Encrypting PIN Pad — шифрованный ПИН-пад). Принято считать, что вводимый на нем ПИН-код не может быть перехвачен. Однако XFS позволяет использовать EPP в двух режимах: открытом (для ввода различных числовых параметров, таких как сумма, которую надо обналичить) и безопасном (в него EPP переключается, когда надо ввести ПИН-код или ключ шифрования). Эта особенность XFS позволяет повару устроить MITM-атаку: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, и затем сообщить ПИН-паду, что работу следует продолжить в открытом режиме. В ответ на это сообщение EPP отправляет нажатия клавиш открытым текстом.
В последние годы,по данным Европола, вредоносы для банкоматов заметно эволюционировали. Поварам теперь необязательно иметь физический доступ к банкомату, чтобы заразить его. Они могут заражать банкоматы при помощи удаленных сетевых атак, используя для этого корпоративную сеть банка.По информации Group IB, в 2016 году более чем в десяти странах Европы на банкоматы были совершены дистанционные нападения.
Антивирусы, блокировка обновления прошивки, блокировка USB-портов и шифрование жесткого диска до некоторой степени защищают банкомат от вирусных атак кардеров. Но что, если взломщик не атакует хост, а напрямую подключается к периферии (через RS232 или USB) — к считывателю карт, ПИН-паду или устройству выдачи наличных?
Первое знакомство с «черным ящиком»
Сегодня технически подкованные студентыпоступают именно так, используя для кражи наличных из банкомата так называемые «черные ящики» — специфически запрограммированные одноплатные микрокомпьютеры, наподобие Raspberry Pi. «Черные ящики» опустошают банкоматы подчистую, совершенно волшебным (с точки зрения банкиров) образом. Пекари подключают свое устройство напрямую к устройству выдачи банкнот и извлекают из него все деньги. Такая атака действует в обход всех программных средств защиты, развернутых на хосте банкомата (антивирусы, контроль целостности, полное шифрование диска и прочее).
Крупнейшие производители банкоматов и правительственные спецслужбы, столкнувшись с несколькими реализациями «черного ящика»,сообщают, что эти хитроумные компьютеры заставляют банкоматы выплевывать все доступные наличные, по сорок банкнот каждые двадцать секунд. Также спецслужбы предупреждают, что кардеры чаще всего нацеливаются на банкоматы в аптеках, торговых центрах и банкоматы, которые обслуживают автомобилистов «на ходу».
При этом, чтобы не светиться перед камерами, наиболее осторожные взломщики жопы берут на помощь какого-нибудь не слишком ценного партнера, «мула». А чтобы тот не смог присвоить «черный ящик» себе, применяетсяследующая схема. Из «черного ящика» убирают ключевую функциональность и подключают к нему смартфон, который используют в качестве канала для дистанционной передачи команд урезанному «черному ящику» по IP-протоколу.
Как это выглядит с точки зрения банкиров? На записях с видеокамер-фиксаторов происходит примерно следующее: некая личность вскрывает верхний отсек (зону обслуживания), подключает к банкомату «волшебный ящик», закрывает верхний отсек и уходит. Немного погодя несколько человек, на вид обычные клиенты, подходят к банкомату и снимают огромные суммы денег. Затем кардер возвращается и извлекает из банкомата свое маленькое волшебное устройство. Обычно факт атаки банкомата «черным ящиком» обнаруживается только через несколько дней, когда пустой сейф и журнал снятия наличных не совпадают. В результате сотрудникам банкаостается только чесать затылки.
Анализ банкоматных коммуникаций
Как уже отмечалось выше, системный блок и периферийные устройства взаимодействуют через USB, RS232 или SDC. Кардер подключается непосредственно к порту периферийного устройства и отправляет ему команды — в обход хоста. Это довольно просто, потому что стандартные интерфейсы не требуют каких-то специфических драйверов. А проприетарные протоколы, по которым периферия и хост взаимодействуют, не требуют авторизации (ведь устройство же находится внутри доверенной зоны), так что эти незащищенные протоколы, по которым периферия и хост взаимодействуют, легко прослушиваются и легко поддаются атаке воспроизведения.
Таким образом, хакеры могут использовать программный или аппаратный анализатор трафика, подключая его напрямую к порту конкретного периферийного устройства (например, к считывателю карт) для сбора передаваемых данных. Пользуясь анализатором трафика, кардер узнаёт все технические подробности работы банкомата, в том числе недокументированные функции его периферии (например, изменение прошивки периферийного устройства). В результате взломщик получает полный контроль над банкоматом. При этом обнаружить наличие анализатора трафика довольно-таки трудно.
Прямой контроль над устройством выдачи банкнот означает, что кассеты банкомата могут быть опустошены без какой-либо фиксации в логах, которые в штатном режиме вносит софт, развернутый на хосте. Для тех, кто не знаком с программно-аппаратной архитектурой банкомата, это может выглядеть как магия.
Откуда берутся «черные ящики»?
Поставщики банкоматов и субподрядчики разрабатывают отладочные утилиты для диагностики аппаратной части банкомата, в том числе электромеханики, отвечающей за снятие наличных. Среди таких утилитATMDesk,RapidFire ATM XFS. На рисунке ниже представлены еще несколько таких диагностических тулз.
Доступ к подобным утилитам в норме ограничен персонализированными токенами, и работают они только при открытой дверце банкоматного сейфа. Однако, просто заменив в бинарном коде утилиты несколько байтов, хакерымогут«протестировать» снятие наличных — в обход проверок, предусмотренных производителем утилиты. Кардеры устанавливают такие модифицированные утилиты на свой ноутбук или одноплатный микрокомпьютер, которые затем подключают непосредственно к устройству выдачи банкнот.
«Последняя миля» и поддельный процессинговый центр
Прямое взаимодействие с периферией без общения с хостом — это только один из эффективных приемов кардинга. Другие приемы основываются на том, что у нас есть широкое разнообразие сетевых интерфейсов, через которые банкомат связывается с внешним миром, — от X.25 до Ethernet и сотовой связи. Многие банкоматы могут быть идентифицированы и локализованы при помощи сервиса Shodan (наиболее лаконичная инструкция по его использованию представленаздесь) — с последующей атакой, паразитирующей на уязвимой конфигурации безопасности, лени администратора и уязвимых коммуникациях между различными подразделениями банка.
«Последняя миля» связи между банкоматом и процессинговым центром богата самыми разнообразными технологиями, которые могут служить точкой входа для кардера. Встречаются проводные (телефонная линия или Ethernet) и беспроводные (Wi-Fi, сотовая связь: CDMA, GSM, UMTS, LTE) способы связи. Механизмы безоп
Начальник международной ассоциации производителей банкоматов (ATMIA)выделил«черные ящики» как наиболее серьезную угрозу для банкоматов.
Эволюция банкоматного кардинга
Сначала ""пекари" эксплуатировали только грубые физические недостатки защиты банкоматов — использовали скиммеры и шиммеры для кражи данных с магнитных полос, поддельные ПИН-пады и камеры для просмотра ПИН-кодов и даже поддельные банкоматы. Затем, когда банкоматы стали оснащать унифицированным софтом, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), кардеры начали атаковать банкоматы компьютерными вирусами. Среди них Trojan.Skimer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие именованные и безымянные зловреды, которых кардеры подсаживают на хост банкомата либо через загрузочную флешку, либо через TCP-порт удаленного управления.
Захватив XFS-подсистему, малварь может без авторизации отдавать команды устройству выдачи банкнот или картридеру: читать магнитную полосу банковской карты, писать на нее и даже извлекать историю транзакций, хранящуюся на чипе EMV-карты. Особого внимания заслуживает EPP (Encrypting PIN Pad — шифрованный ПИН-пад). Принято считать, что вводимый на нем ПИН-код не может быть перехвачен. Однако XFS позволяет использовать EPP в двух режимах: открытом (для ввода различных числовых параметров, таких как сумма, которую надо обналичить) и безопасном (в него EPP переключается, когда надо ввести ПИН-код или ключ шифрования). Эта особенность XFS позволяет повару устроить MITM-атаку: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, и затем сообщить ПИН-паду, что работу следует продолжить в открытом режиме. В ответ на это сообщение EPP отправляет нажатия клавиш открытым текстом.
В последние годы,по данным Европола, вредоносы для банкоматов заметно эволюционировали. Поварам теперь необязательно иметь физический доступ к банкомату, чтобы заразить его. Они могут заражать банкоматы при помощи удаленных сетевых атак, используя для этого корпоративную сеть банка.По информации Group IB, в 2016 году более чем в десяти странах Европы на банкоматы были совершены дистанционные нападения.
Антивирусы, блокировка обновления прошивки, блокировка USB-портов и шифрование жесткого диска до некоторой степени защищают банкомат от вирусных атак кардеров. Но что, если взломщик не атакует хост, а напрямую подключается к периферии (через RS232 или USB) — к считывателю карт, ПИН-паду или устройству выдачи наличных?
Первое знакомство с «черным ящиком»
Сегодня технически подкованные студентыпоступают именно так, используя для кражи наличных из банкомата так называемые «черные ящики» — специфически запрограммированные одноплатные микрокомпьютеры, наподобие Raspberry Pi. «Черные ящики» опустошают банкоматы подчистую, совершенно волшебным (с точки зрения банкиров) образом. Пекари подключают свое устройство напрямую к устройству выдачи банкнот и извлекают из него все деньги. Такая атака действует в обход всех программных средств защиты, развернутых на хосте банкомата (антивирусы, контроль целостности, полное шифрование диска и прочее).
Крупнейшие производители банкоматов и правительственные спецслужбы, столкнувшись с несколькими реализациями «черного ящика»,сообщают, что эти хитроумные компьютеры заставляют банкоматы выплевывать все доступные наличные, по сорок банкнот каждые двадцать секунд. Также спецслужбы предупреждают, что кардеры чаще всего нацеливаются на банкоматы в аптеках, торговых центрах и банкоматы, которые обслуживают автомобилистов «на ходу».
При этом, чтобы не светиться перед камерами, наиболее осторожные взломщики жопы берут на помощь какого-нибудь не слишком ценного партнера, «мула». А чтобы тот не смог присвоить «черный ящик» себе, применяетсяследующая схема. Из «черного ящика» убирают ключевую функциональность и подключают к нему смартфон, который используют в качестве канала для дистанционной передачи команд урезанному «черному ящику» по IP-протоколу.
Как это выглядит с точки зрения банкиров? На записях с видеокамер-фиксаторов происходит примерно следующее: некая личность вскрывает верхний отсек (зону обслуживания), подключает к банкомату «волшебный ящик», закрывает верхний отсек и уходит. Немного погодя несколько человек, на вид обычные клиенты, подходят к банкомату и снимают огромные суммы денег. Затем кардер возвращается и извлекает из банкомата свое маленькое волшебное устройство. Обычно факт атаки банкомата «черным ящиком» обнаруживается только через несколько дней, когда пустой сейф и журнал снятия наличных не совпадают. В результате сотрудникам банкаостается только чесать затылки.
Анализ банкоматных коммуникаций
Как уже отмечалось выше, системный блок и периферийные устройства взаимодействуют через USB, RS232 или SDC. Кардер подключается непосредственно к порту периферийного устройства и отправляет ему команды — в обход хоста. Это довольно просто, потому что стандартные интерфейсы не требуют каких-то специфических драйверов. А проприетарные протоколы, по которым периферия и хост взаимодействуют, не требуют авторизации (ведь устройство же находится внутри доверенной зоны), так что эти незащищенные протоколы, по которым периферия и хост взаимодействуют, легко прослушиваются и легко поддаются атаке воспроизведения.
Таким образом, хакеры могут использовать программный или аппаратный анализатор трафика, подключая его напрямую к порту конкретного периферийного устройства (например, к считывателю карт) для сбора передаваемых данных. Пользуясь анализатором трафика, кардер узнаёт все технические подробности работы банкомата, в том числе недокументированные функции его периферии (например, изменение прошивки периферийного устройства). В результате взломщик получает полный контроль над банкоматом. При этом обнаружить наличие анализатора трафика довольно-таки трудно.
Прямой контроль над устройством выдачи банкнот означает, что кассеты банкомата могут быть опустошены без какой-либо фиксации в логах, которые в штатном режиме вносит софт, развернутый на хосте. Для тех, кто не знаком с программно-аппаратной архитектурой банкомата, это может выглядеть как магия.
Откуда берутся «черные ящики»?
Поставщики банкоматов и субподрядчики разрабатывают отладочные утилиты для диагностики аппаратной части банкомата, в том числе электромеханики, отвечающей за снятие наличных. Среди таких утилитATMDesk,RapidFire ATM XFS. На рисунке ниже представлены еще несколько таких диагностических тулз.
Доступ к подобным утилитам в норме ограничен персонализированными токенами, и работают они только при открытой дверце банкоматного сейфа. Однако, просто заменив в бинарном коде утилиты несколько байтов, хакерымогут«протестировать» снятие наличных — в обход проверок, предусмотренных производителем утилиты. Кардеры устанавливают такие модифицированные утилиты на свой ноутбук или одноплатный микрокомпьютер, которые затем подключают непосредственно к устройству выдачи банкнот.
«Последняя миля» и поддельный процессинговый центр
Прямое взаимодействие с периферией без общения с хостом — это только один из эффективных приемов кардинга. Другие приемы основываются на том, что у нас есть широкое разнообразие сетевых интерфейсов, через которые банкомат связывается с внешним миром, — от X.25 до Ethernet и сотовой связи. Многие банкоматы могут быть идентифицированы и локализованы при помощи сервиса Shodan (наиболее лаконичная инструкция по его использованию представленаздесь) — с последующей атакой, паразитирующей на уязвимой конфигурации безопасности, лени администратора и уязвимых коммуникациях между различными подразделениями банка.
«Последняя миля» связи между банкоматом и процессинговым центром богата самыми разнообразными технологиями, которые могут служить точкой входа для кардера. Встречаются проводные (телефонная линия или Ethernet) и беспроводные (Wi-Fi, сотовая связь: CDMA, GSM, UMTS, LTE) способы связи. Механизмы безоп