Атаки на банкомати: минуле, сьогодення і майбутнє

В пості про інтернет речей я, практично з шашкою наголо, відніс до такого і банкомати — за критеріями автономної роботи і наявності постійного підключення до інтернету. Загалом-то все так і є, але якщо від слів перейти до справи — тобто до реальної специфіки захисту банкоматів від злому, то відразу ж виникає безліч незручних деталей. Сучасний банкомат — це повноцінний комп'ютер, заточений під виконання однієї конкретної задачі, але придатний до запуску будь-якого коду, в тому числі і шкідливого. Банкомат обвешен і контактує з безліччю датчиків і спеціалізованих пристроїв, через які можна зламати банкомат. А можна і не зламувати, перехопивши управління пристроєм для видачі готівки або клавіатурою для введення PIN-коду.

Сценаріїв, коли з банкоматом може піти щось не так — безліч, і більшість засновані далеко не на теоретичному аналізі потенційних вразливостей, а на практиці розбору реальних атак. Банківська сфера в цілому набагато більш захищена, ніж інші індустрії, але й уваги у кіберзлочинців до неї більше: на кону реальні гроші. Тим не менш, непогано було б якось систематизувати слабкі місця банківської інфраструктури, чим і зайнялися нещодавно фахівці «Лабораторії» Ольга Кочетова і Олексій Осипов.

Як і у випадку з історією розслідування кампанії Lurk, цей текст являє собою вільний переказ першоджерел. За деталями відправляю до них: це оглядова статья на Securelist російською, дослідження «Майбутні сценарії атак на комунікаційні системи, які взаємодіють з банкоматами» англійською, коротка вичавка звідти — тільки опис атак і методів протидії, а також більш ранні публікації: опис шкідливої програми Skimer і цільової атаки на банкомати Tyupkin.

Ти пам'ятаєш як все починалося
Атаки на банкомати — не зовсім нова тема. Перша версія шкідливої програми Skimer з'явилася в 2008-2009 роках. Атака спрямована безпосередньо на банкомати: в одній з актуальних версій (Skimer існує і розвивається донині) після зараження банкомату ним можна управляти, вставивши в банкомат підготовлену карту з «ключем» на магнітній смузі.


ворсейшество!

У відповідності зі своєю назвою, Skimer може активувати збір даних, що вставляються в банкомат карт, але його також можна використовувати для прямої крадіжки готівки — відповідна команда передбачена в меню управління. Skimer вбудовується в легітимний процес SpiService.exe, в результаті чого отримує повний доступ до XFS — універсальної клієнт-серверній архітектурі для фінансових додатків для Windows-систем.



На відміну від Skimer, атака Tyupkin, досліджена в «Лабораторії» в 2014 році, не використовує підготовлені карти. Замість цього передбачена активація шкідливого коду в певний час доби, причому навіть в цей час перехопити управління банкоматом можна тільки після введення динамічного коду авторизації. Наслідки успішної атаки, втім, приблизно ті ж:



Carbanak і компанія
Власне, найбільш цікавим у цих двох прикладах є процес зараження, який часом доводиться відновлювати за записами камер відеоспостереження. У випадку з Tyupkin шкідливий встановлювався з компакт-диска (!), тобто був фізичний доступ до нутрощів банкомату. Це очевидний вектор атаки з не менш очевидними недоліками. Але він і не єдиний.

У кампанії Carbanak, детали якій розкрили експерти «Лабораторії» в лютому минулого року, банкомати використовуються в останню чергу, безмовно віддаючи кеш по команді з центру, без будь-яких маніпуляцій на місці. Скомпрометована була інфраструктура жертв, завдяки якій основний наносився збиток, що називається, за безготівковим розрахунком. Коли збитки вимірюються сотнями мільйонів доларів, готівкові перестають відігравати значиму роль.



Тренд отримав розвиток і в цьому році: у лютому ми рассказали про трьох нових атаках, причому дві з них були орієнтовані на безготівкову крадіжку коштів. Тільки одна кампанія (Metel) передбачала виведення коштів через банкомати, але самі пристрої ніхто не зламував. Технічно транзакція (зняття грошей з рахунку) була легітимною, але після неї відбувався відкат балансу картки до колишнього значення. Сучасна версія нерозмінного п'ятака експлуатувалася, як і у випадку з іншими атаками, ночами, бажано у вихідні.



Кіберзлочинці будуть атакувати кореневу інфраструктуру фінансових організацій, поки у них буде така можливість, тобто поки вона буде вразливою. Як показує історія з пограбуванням через систему міжбанківських переказів SWIFT, навіть критично важливі елементи фінансової інфраструктури не завжди захищені належним чином (не виходить так, що захист банкоматів часом краще?). Хочеться вірити, що це ненадовго. Враховуючи те, що кіберзлочинність про банкомати і не думає забувати, саме вони претендують на сумнівну привілей довгостроковій головного болю фининдустрии.

В яку сторону боятися?
У своєму аналізі майбутніх векторів атак на банкомати, наші експерти не обмежуються безпосередній крадіжкою готівки. До цієї зрозумілої мети додамо крадіжку даних про клієнтів для подальшого виведення коштів у великих обсягах з меншими шансами засвітитися на камеру спостереження. Але і це не все. Якщо придивитися уважно, то у всій IT-«обв'язку» мережі банкоматів не вийде знайти таке місце, яке не можна було б атакувати.

Цікавим прикладом є біометрична ідентифікація клієнтів — відносно нова технологія, що дозволяє замінити або доповнити стандартні засоби авторизації — з пін-кодом, за допомогою NFC і так далі. Крадіжка біометричних даних теоретично можлива через відповідним чином допиленные скимери (у разі якщо біометрія настане ще раз на граблі, пройдені раніше з рідерами карт), через атаку типу Man-in-the-middle (коли банкомат починає слати дані на чужій процесинговий сервер), або через атаку на інфраструктуру фінансової організації.



Подальше використання біометрії для крадіжки коштів поки під питанням, і детально не описується. Але є важливий нюанс: якщо вони навчаться це робити, ми отримаємо аналог ситуації з клонованими кредитними картами, але без можливості «перевипуску» (відбитків пальців, голосу тощо). Не факт, що доведеться винаходити симулятори відбитків: в окремій главі дослідження наводяться сценарії атак на PIN-пади, в ході яких дані можуть бути перехоплені, а можуть бути і підмінені, з примусовим відключенням шифрування. Чи можливо реалізувати таке для біометричного сенсора? Чому б і ні.



Що робити?
У звіті не зачіпається тема застарілого заліза в банкоматах — хоча це являє певну проблему з точки зору безпеки, рішення навіть для давніх пристроїв існують. В цілому комплексний підхід до сценаріїв загроз передбачає настільки ж різноспрямований список заходів їх запобігання. Як мінімум за трьома напрямами: мережа, софт і залізо (плюс бажано не забувати про тренінги для персоналу). Для всіх трьох є очевидна необхідність у захищеної передачі даних на всіх етапах і перевірки автентичності — інакше стають можливими ситуації, коли до диспенсеру готівки просто підключається «чужий» керуючий модуль. Окремо для програмної частини пропонується строгий контроль над запуском неавторизованого коду: для банкоматів, на відміну від звичайних комп'ютерів, це порівняно легко реалізовується. Нарешті, на мережевому рівні обов'язкова ізоляція сегментів мережі один від одного: щоб не виникало досить поширених ситуацій, коли банкомат в результаті помилки конфігурації доступний з інтернету.


Вгадай вісь за версією Adobe Reader

Хоча деякі показані у звіті сценарії атак (поки що) є теоретичними, разом з «практичними» вони складаються в цікаву картину. Фінансовим організаціям доводиться боротися зі специфічними погрозами (атака на SWIFT, Carbanak — злом зі знанням внутрішніх процесів), так і з загальновживаними (фішинг, експлуатація вразливостей, помилки конфігурації і так далі). Додамо сюди традиційні скимери, фізичний злом банкоматів, труднощі з оновленням софта і заліза (мій власний пруф — на фото вище). З одного боку з усього цього виходить одна гігантська вразливість. З іншого — ресурсів на захист, хоч грошових, хоч експертних, теж чимало. Так що фінансова сфера в майбутньому може принести нам як нові приклади гучних кибервзломов, так і дійсно інноваційні моделі захисту.

Disclaimer: Дана колонка заснована на реальних подіях, але все ще відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.