Friend
Professional
- Messages
- 2,653
- Reaction score
- 842
- Points
- 113
Содержание
1. Эволюция кардинга банкоматов
2. Первое знакомство с BlackBox
3. Анализ коммуникаций банкомата
4. Откуда взялся BlackBox?
5. «Последняя миля» и поддельный процессинговый центр
6. Заключение
Железные ящики с деньгами, стоящие на улицах города, не могут не привлекать внимание любителей быстрой наживы. И если раньше для взлома банкоматов использовались чисто физические методы, то сейчас все чаще применяются искусные методы взлома, связанные с компьютерами. Сейчас наиболее актуальным из них является «BlackBox» или как мы говорим «Черный ящик» с одноплатным микрокомпьютером внутри. О том, как работает BlackBox и как взламывают банкоматы с помощью этого устройства, мы и поговорим в этой статье.
Типичный банкомат представляет собой набор готовых электромеханических компонентов, размещенных в одном корпусе. Производители банкоматов собирают их из купюроприемника, картридера и других комплектующих, уже разработанных сторонними вендорами. Этакий конструктор LEGO для взрослых. Готовые компоненты размещаются в корпусе банкомата, который обычно состоит из двух отсеков: верхнего («шкафа» или «сервисной зоны») и нижнего (сейфа). Все электромеханические компоненты подключаются через порты USB и COM к системному блоку, который в данном случае выступает в роли хоста. На старых моделях банкоматов также можно найти соединения через шину SDC.
Эволюция кардинга банкоматов
Сначала кардеры эксплуатировали только грубые физические недостатки безопасности банкоматов — они использовали скиммеры и шиммеры для кражи данных с магнитных полос, поддельные PIN-пады и камеры для просмотра PIN-кодов и даже поддельные банкоматы. Затем, когда банкоматы стали оснащаться унифицированным программным обеспечением, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), кардеры начали взламывать банкоматы с помощью компьютерных вирусов. Среди них — Trojan.Skimer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие названные и неназванные вредоносные программы, которые кардеры добавляют на хост банкомата либо через загрузочный USB-флеш-накопитель, либо через TCP-порт для удаленного управления.
Схема заражения банкомата
Захватив подсистему XFS, вредоносная программа может без авторизации отдавать команды купюроприемнику или картридеру: считывать магнитную полосу банковской карты, записывать на нее данные и даже извлекать историю транзакций, хранящуюся на чипе карты EMV. Особого внимания заслуживает EPP (Encrypting PIN Pad). Принято считать, что введенный на нем PIN-код перехватить невозможно. Однако XFS позволяет использовать EPP PIN Pad в двух режимах: открытом (для ввода различных числовых параметров, таких как сумма, подлежащая обналичиванию) и защищенном (EPP переключается на него, когда требуется ввести PIN-код или ключ шифрования).
Эта функция XFS позволяет кардеру запустить атаку MITM: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, а затем сообщить EPP PIN Pad о необходимости продолжить работу в открытом режиме. В ответ на это сообщение EPP отправляет нажатия клавиш открытым текстом.
Как работает BlackBox
За последние годы, по данным Европола, вредоносное ПО для банкоматов значительно эволюционировало. Кардерам больше не нужно иметь физический доступ к банкомату, чтобы взломать его. Они могут заражать банкоматы с помощью удаленных сетевых атак, используя корпоративную сеть банка. В 2020 году, по данным GroupIB, банкоматы были атакованы удаленно более чем в десяти европейских странах.
Атака на банкомат через удаленный доступ
Антивирусы, блокировка обновлений прошивки, блокировка портов USB и шифрование жесткого диска в некоторой степени защищают банкомат от вирусных атак кардеров. Но что, если карта не атакует хост, а напрямую подключается к периферийным устройствам (через RS232 или USB) — к считывателю карт, PIN-паду или банкомату?
Первое знакомство с BlackBox
Сегодня технически подкованные кардеры делают именно это, используя черные ящики BlackBox — специально запрограммированные одноплатные микрокомпьютеры, такие как Raspberry Pi — для кражи наличных из банкомата. BlackBox опустошают банкоматы чисто, совершенно волшебным образом (с точки зрения банкира). Кардеры подключают свое устройство напрямую к банкомату и извлекают из него все деньги. Такая атака обходит все защитное программное обеспечение, развернутое на хосте банкомата (антивирусы, контроль целостности, полное шифрование диска и т. д.).
BlackBox на базе Raspberry Pi
Крупные производители банкоматов и правительственные спецслужбы, столкнувшись с многочисленными внедрениями BlackBox, сообщают, что эти хитрые компьютеры заставляют банкоматы выплевывать всю имеющуюся наличность, по сорок купюр каждые двадцать секунд. Также спецслужбы предупреждают, что чаще всего кардеры нацеливаются на банкоматы в аптеках, торговых центрах и банкоматы, обслуживающие автомобилистов «на ходу».
При этом, чтобы не светиться перед камерами, самые осторожные кардеры берут на себя помощь какого-нибудь не слишком ценного партнера, «мула». А чтобы он не смог присвоить себе BlackBox, применяется следующая схема. Из BlackBox удаляется ключевой функционал и к нему подключается смартфон, который используется как канал для удаленной передачи команд на урезанный «черный ящик» по IP.
Модификация «черного ящика» с активацией через удаленный доступ
На записях с видеокамер происходит примерно следующее: некий человек открывает верхний отсек (сервисную зону), подключает к банкомату «волшебную коробочку», закрывает верхний отсек и уходит. Чуть позже к банкомату подходят несколько человек, на первый взгляд обычных клиентов, и снимают огромные суммы денег. Затем кардер возвращается и вынимает из банкомата свое маленькое волшебное устройство. Обычно факт атаки на банкомат с использованием BlackBox обнаруживается только через несколько дней, когда пустой сейф и журнал снятия наличных не совпадают. В результате сотрудники банка могут только чесать затылки.
Анализ коммуникаций банкомата
Как было отмечено выше, системный блок и периферия общаются через USB, RS232 или SDC. Кардер подключается напрямую к периферийному порту и посылает ему команды — минуя хост. Это довольно просто, поскольку стандартные интерфейсы не требуют никаких специальных драйверов. А фирменные протоколы, по которым взаимодействуют периферия и хост, не требуют авторизации (ведь устройство находится внутри доверенной зоны), поэтому эти незащищенные протоколы, по которым взаимодействуют периферия и хост, легко прослушиваются и легко поддаются атаке воспроизведения.
Таким образом, кардеры могут использовать программный или аппаратный анализатор трафика, подключив его напрямую к порту на определенном периферийном устройстве (например, кард-ридере) для сбора передаваемых данных. Используя анализатор трафика, кардер узнает все технические подробности работы банкомата, включая недокументированные функции его периферии (например, изменение прошивки периферийного устройства). В результате злоумышленник получает полный контроль над банкоматом. При этом обнаружить наличие анализатора трафика довольно сложно.
Прямой контроль над выдающим банкноты устройством означает, что кассеты банкомата могут быть опустошены без какой-либо фиксации в журналах, которые обычно заносит программное обеспечение, развернутое на хосте. Для тех, кто не знаком с аппаратной и программной архитектурой банкомата, это может показаться магией.
Откуда взялся BlackBox
Поставщики и субподрядчики банкоматов разрабатывают отладочные утилиты для диагностики оборудования банкоматов, включая электромеханику, отвечающую за снятие наличных. Среди таких утилит — ATMDesk, RapidFire ATM XFS . На рисунке ниже показано еще несколько таких диагностических инструментов.
Панель управления ATMDesk
Панель управления RapidFire ATM XFS
Сравнительные характеристики нескольких диагностических утилит
Доступ к таким утилитам обычно ограничен персонализированными токенами, и они работают только при открытой дверце сейфа банкомата. Однако, просто заменив несколько байтов в двоичном коде утилиты, хакеры могут «тестировать» снятие наличных — обходя проверки, предусмотренные производителем утилиты. Кардеры устанавливают эти модифицированные утилиты на свой ноутбук или одноплатный микрокомпьютер, который затем подключают напрямую к диспенсеру банкнот.
«Последняя миля» и поддельный процессинговый центр
Прямое взаимодействие с периферийными устройствами без связи с хостом — это лишь один из эффективных методов кардинга. Другие методы основаны на том факте, что у нас есть широкий спектр сетевых интерфейсов, через которые банкомат общается с внешним миром, от X.25 до Ethernet и сотовой связи. Многие банкоматы можно идентифицировать и локализовать с помощью сервиса Shodan (наиболее краткие инструкции по его использованию представлены здесь ) — с последующей атакой, которая паразитирует на уязвимой конфигурации безопасности, лени администратора и уязвимых коммуникациях между различными подразделениями банка.
Последняя миля связи между банкоматом и процессинговым центром богата разнообразными технологиями, которые могут служить точкой входа для кардера. Существуют проводные (телефонная линия или Ethernet) и беспроводные (Wi-Fi, сотовая связь: CDMA, GSM, UMTS, LTE) методы связи. Механизмы безопасности могут включать:
Одним из главных требований PCI DSS является то, что все конфиденциальные данные должны быть зашифрованы при передаче по общедоступной сети. И ведь у нас действительно есть сети, которые изначально проектировались так, чтобы данные в них были полностью зашифрованы! Поэтому так и хочется сказать: «Наши данные зашифрованы, потому что мы используем Wi-Fi и GSM». Однако многие из этих сетей не обеспечивают достаточной защиты. Сотовые сети всех поколений давно взломаны. Окончательно и бесповоротно. И есть даже поставщики, которые предлагают устройства для перехвата данных, передаваемых через них.
Поэтому либо в незащищенной связи, либо в «частной» сети, где каждый банкомат вещает о себе другим банкоматам, может быть инициирована MITM-атака «поддельный процессинговый центр», которая приведет к тому, что кардер возьмет под контроль потоки данных, передаваемые между банкоматом и процессинговым центром.
Тысячи банкоматов потенциально уязвимы для таких MITM-атак. На пути к подлинному процессинговому центру хакер вставляет свой, поддельный. Этот поддельный процессинговый центр дает банкомату команду выдать купюры. При этом кардер настраивает свой процессинговый центр таким образом, что наличные выдаются независимо от того, какая карта вставлена в банкомат — даже если ее срок действия истек или на ней нулевой баланс. Главное, чтобы поддельный процессинговый центр ее «узнал». Поддельный процессинговый центр может быть как кустарным изделием, так и имитатором процессингового центра, изначально предназначенным для отладки сетевых настроек (еще один подарок «производителя» кардерам).
На следующем рисунке показан дамп команд на выдачу сорока банкнот из четвертой кассеты, отправленных из поддельного процессингового центра и сохраненных в журналах программного обеспечения банкомата. Они выглядят почти как настоящие.
Команды дампа фейкового процессингового центра
Заключение
Как видите, классическая максима «по-настоящему защищенный компьютер находится в железном ящике и не подключен ни к одной сети, включая электрическую» с каждым годом находит все больше подтверждений. Уязвимо все, и банковское имущество не исключение.
Кстати. Глава ATM Association International (ATMIA) выделил черные ящики как самую серьезную угрозу для банкоматов.
Источник
1. Эволюция кардинга банкоматов
2. Первое знакомство с BlackBox
3. Анализ коммуникаций банкомата
4. Откуда взялся BlackBox?
5. «Последняя миля» и поддельный процессинговый центр
6. Заключение
Железные ящики с деньгами, стоящие на улицах города, не могут не привлекать внимание любителей быстрой наживы. И если раньше для взлома банкоматов использовались чисто физические методы, то сейчас все чаще применяются искусные методы взлома, связанные с компьютерами. Сейчас наиболее актуальным из них является «BlackBox» или как мы говорим «Черный ящик» с одноплатным микрокомпьютером внутри. О том, как работает BlackBox и как взламывают банкоматы с помощью этого устройства, мы и поговорим в этой статье.
Типичный банкомат представляет собой набор готовых электромеханических компонентов, размещенных в одном корпусе. Производители банкоматов собирают их из купюроприемника, картридера и других комплектующих, уже разработанных сторонними вендорами. Этакий конструктор LEGO для взрослых. Готовые компоненты размещаются в корпусе банкомата, который обычно состоит из двух отсеков: верхнего («шкафа» или «сервисной зоны») и нижнего (сейфа). Все электромеханические компоненты подключаются через порты USB и COM к системному блоку, который в данном случае выступает в роли хоста. На старых моделях банкоматов также можно найти соединения через шину SDC.
Эволюция кардинга банкоматов
Сначала кардеры эксплуатировали только грубые физические недостатки безопасности банкоматов — они использовали скиммеры и шиммеры для кражи данных с магнитных полос, поддельные PIN-пады и камеры для просмотра PIN-кодов и даже поддельные банкоматы. Затем, когда банкоматы стали оснащаться унифицированным программным обеспечением, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), кардеры начали взламывать банкоматы с помощью компьютерных вирусов. Среди них — Trojan.Skimer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие названные и неназванные вредоносные программы, которые кардеры добавляют на хост банкомата либо через загрузочный USB-флеш-накопитель, либо через TCP-порт для удаленного управления.
Схема заражения банкомата
Захватив подсистему XFS, вредоносная программа может без авторизации отдавать команды купюроприемнику или картридеру: считывать магнитную полосу банковской карты, записывать на нее данные и даже извлекать историю транзакций, хранящуюся на чипе карты EMV. Особого внимания заслуживает EPP (Encrypting PIN Pad). Принято считать, что введенный на нем PIN-код перехватить невозможно. Однако XFS позволяет использовать EPP PIN Pad в двух режимах: открытом (для ввода различных числовых параметров, таких как сумма, подлежащая обналичиванию) и защищенном (EPP переключается на него, когда требуется ввести PIN-код или ключ шифрования).
Эта функция XFS позволяет кардеру запустить атаку MITM: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, а затем сообщить EPP PIN Pad о необходимости продолжить работу в открытом режиме. В ответ на это сообщение EPP отправляет нажатия клавиш открытым текстом.
Как работает BlackBox
За последние годы, по данным Европола, вредоносное ПО для банкоматов значительно эволюционировало. Кардерам больше не нужно иметь физический доступ к банкомату, чтобы взломать его. Они могут заражать банкоматы с помощью удаленных сетевых атак, используя корпоративную сеть банка. В 2020 году, по данным GroupIB, банкоматы были атакованы удаленно более чем в десяти европейских странах.
Атака на банкомат через удаленный доступ
Антивирусы, блокировка обновлений прошивки, блокировка портов USB и шифрование жесткого диска в некоторой степени защищают банкомат от вирусных атак кардеров. Но что, если карта не атакует хост, а напрямую подключается к периферийным устройствам (через RS232 или USB) — к считывателю карт, PIN-паду или банкомату?
Первое знакомство с BlackBox
Сегодня технически подкованные кардеры делают именно это, используя черные ящики BlackBox — специально запрограммированные одноплатные микрокомпьютеры, такие как Raspberry Pi — для кражи наличных из банкомата. BlackBox опустошают банкоматы чисто, совершенно волшебным образом (с точки зрения банкира). Кардеры подключают свое устройство напрямую к банкомату и извлекают из него все деньги. Такая атака обходит все защитное программное обеспечение, развернутое на хосте банкомата (антивирусы, контроль целостности, полное шифрование диска и т. д.).
BlackBox на базе Raspberry Pi
Крупные производители банкоматов и правительственные спецслужбы, столкнувшись с многочисленными внедрениями BlackBox, сообщают, что эти хитрые компьютеры заставляют банкоматы выплевывать всю имеющуюся наличность, по сорок купюр каждые двадцать секунд. Также спецслужбы предупреждают, что чаще всего кардеры нацеливаются на банкоматы в аптеках, торговых центрах и банкоматы, обслуживающие автомобилистов «на ходу».
При этом, чтобы не светиться перед камерами, самые осторожные кардеры берут на себя помощь какого-нибудь не слишком ценного партнера, «мула». А чтобы он не смог присвоить себе BlackBox, применяется следующая схема. Из BlackBox удаляется ключевой функционал и к нему подключается смартфон, который используется как канал для удаленной передачи команд на урезанный «черный ящик» по IP.
Модификация «черного ящика» с активацией через удаленный доступ
На записях с видеокамер происходит примерно следующее: некий человек открывает верхний отсек (сервисную зону), подключает к банкомату «волшебную коробочку», закрывает верхний отсек и уходит. Чуть позже к банкомату подходят несколько человек, на первый взгляд обычных клиентов, и снимают огромные суммы денег. Затем кардер возвращается и вынимает из банкомата свое маленькое волшебное устройство. Обычно факт атаки на банкомат с использованием BlackBox обнаруживается только через несколько дней, когда пустой сейф и журнал снятия наличных не совпадают. В результате сотрудники банка могут только чесать затылки.
Анализ коммуникаций банкомата
Как было отмечено выше, системный блок и периферия общаются через USB, RS232 или SDC. Кардер подключается напрямую к периферийному порту и посылает ему команды — минуя хост. Это довольно просто, поскольку стандартные интерфейсы не требуют никаких специальных драйверов. А фирменные протоколы, по которым взаимодействуют периферия и хост, не требуют авторизации (ведь устройство находится внутри доверенной зоны), поэтому эти незащищенные протоколы, по которым взаимодействуют периферия и хост, легко прослушиваются и легко поддаются атаке воспроизведения.
Таким образом, кардеры могут использовать программный или аппаратный анализатор трафика, подключив его напрямую к порту на определенном периферийном устройстве (например, кард-ридере) для сбора передаваемых данных. Используя анализатор трафика, кардер узнает все технические подробности работы банкомата, включая недокументированные функции его периферии (например, изменение прошивки периферийного устройства). В результате злоумышленник получает полный контроль над банкоматом. При этом обнаружить наличие анализатора трафика довольно сложно.
Прямой контроль над выдающим банкноты устройством означает, что кассеты банкомата могут быть опустошены без какой-либо фиксации в журналах, которые обычно заносит программное обеспечение, развернутое на хосте. Для тех, кто не знаком с аппаратной и программной архитектурой банкомата, это может показаться магией.
Откуда взялся BlackBox
Поставщики и субподрядчики банкоматов разрабатывают отладочные утилиты для диагностики оборудования банкоматов, включая электромеханику, отвечающую за снятие наличных. Среди таких утилит — ATMDesk, RapidFire ATM XFS . На рисунке ниже показано еще несколько таких диагностических инструментов.
Панель управления ATMDesk
Панель управления RapidFire ATM XFS
Сравнительные характеристики нескольких диагностических утилит
Доступ к таким утилитам обычно ограничен персонализированными токенами, и они работают только при открытой дверце сейфа банкомата. Однако, просто заменив несколько байтов в двоичном коде утилиты, хакеры могут «тестировать» снятие наличных — обходя проверки, предусмотренные производителем утилиты. Кардеры устанавливают эти модифицированные утилиты на свой ноутбук или одноплатный микрокомпьютер, который затем подключают напрямую к диспенсеру банкнот.
«Последняя миля» и поддельный процессинговый центр
Прямое взаимодействие с периферийными устройствами без связи с хостом — это лишь один из эффективных методов кардинга. Другие методы основаны на том факте, что у нас есть широкий спектр сетевых интерфейсов, через которые банкомат общается с внешним миром, от X.25 до Ethernet и сотовой связи. Многие банкоматы можно идентифицировать и локализовать с помощью сервиса Shodan (наиболее краткие инструкции по его использованию представлены здесь ) — с последующей атакой, которая паразитирует на уязвимой конфигурации безопасности, лени администратора и уязвимых коммуникациях между различными подразделениями банка.
Последняя миля связи между банкоматом и процессинговым центром богата разнообразными технологиями, которые могут служить точкой входа для кардера. Существуют проводные (телефонная линия или Ethernet) и беспроводные (Wi-Fi, сотовая связь: CDMA, GSM, UMTS, LTE) методы связи. Механизмы безопасности могут включать:
- аппаратное или программное обеспечение для поддержки VPN (как стандартное, встроенное в ОС, так и сторонних производителей);
- SSL/TLS (как специфичные для конкретной модели банкомата, так и от сторонних производителей);
- шифрование;
- аутентификация сообщений.
Одним из главных требований PCI DSS является то, что все конфиденциальные данные должны быть зашифрованы при передаче по общедоступной сети. И ведь у нас действительно есть сети, которые изначально проектировались так, чтобы данные в них были полностью зашифрованы! Поэтому так и хочется сказать: «Наши данные зашифрованы, потому что мы используем Wi-Fi и GSM». Однако многие из этих сетей не обеспечивают достаточной защиты. Сотовые сети всех поколений давно взломаны. Окончательно и бесповоротно. И есть даже поставщики, которые предлагают устройства для перехвата данных, передаваемых через них.
Поэтому либо в незащищенной связи, либо в «частной» сети, где каждый банкомат вещает о себе другим банкоматам, может быть инициирована MITM-атака «поддельный процессинговый центр», которая приведет к тому, что кардер возьмет под контроль потоки данных, передаваемые между банкоматом и процессинговым центром.
Тысячи банкоматов потенциально уязвимы для таких MITM-атак. На пути к подлинному процессинговому центру хакер вставляет свой, поддельный. Этот поддельный процессинговый центр дает банкомату команду выдать купюры. При этом кардер настраивает свой процессинговый центр таким образом, что наличные выдаются независимо от того, какая карта вставлена в банкомат — даже если ее срок действия истек или на ней нулевой баланс. Главное, чтобы поддельный процессинговый центр ее «узнал». Поддельный процессинговый центр может быть как кустарным изделием, так и имитатором процессингового центра, изначально предназначенным для отладки сетевых настроек (еще один подарок «производителя» кардерам).
На следующем рисунке показан дамп команд на выдачу сорока банкнот из четвертой кассеты, отправленных из поддельного процессингового центра и сохраненных в журналах программного обеспечения банкомата. Они выглядят почти как настоящие.
Команды дампа фейкового процессингового центра
Заключение
Как видите, классическая максима «по-настоящему защищенный компьютер находится в железном ящике и не подключен ни к одной сети, включая электрическую» с каждым годом находит все больше подтверждений. Уязвимо все, и банковское имущество не исключение.
Кстати. Глава ATM Association International (ATMIA) выделил черные ящики как самую серьезную угрозу для банкоматов.
Источник
Last edited by a moderator:
