Недавно обнаруженные уязвимости могут сделать возможным более продолжительные и разрушительные атаки на популярные модели банкоматов и POS-устройств.
Банкоматы и кассовые терминалы (POS) были мишенью для многих киберпреступников за последние несколько лет, что привело к самым крупным взломам карт и кражам денег в истории. Хотя у злоумышленников есть различные способы проникновения в эти машины, теперь исследователи предупреждают, что уязвимости в драйверах, которые они содержат, могут сделать возможным более продолжительные и разрушительные атаки.
Исследователи из Eclypsium, компании, специализирующейся на безопасности устройств, оценили безопасность драйверов устройств, программ, которые позволяют приложениям взаимодействовать с аппаратными компонентами системы и использовать их возможности. За последний год их исследовательский проект, получивший название Screwed Drivers, выявил уязвимости и конструктивные недостатки в 40 драйверах Windows от как минимум 20 различных поставщиков оборудования, что выявило широко распространенные проблемы, связанные с этой поверхностью атаки.
Большинство людей думают о Windows в контексте серверов, рабочих станций и ноутбуков, но это не единственные типы устройств, на которых работает операционная система Microsoft. Windows также широко распространена в мире банкоматов, POS-терминалов, киосков самообслуживания, медицинских систем и другого специализированного оборудования. Эти устройства, как правило, сложнее обновлять, поскольку они используются в регулируемых отраслях и средах, поэтому обновления должны проходить строгое тестирование и сертификацию. Отключение их на длительные периоды времени может привести к сбоям в работе и финансовым потерям.
Как отмечают исследователи Eclypsium в новом отчете, атаки на банкоматы могут принимать разные формы:
Уязвимость в драйвере банкомата Diebold Nixdorf
В рамках своего исследовательского проекта исследователи Eclypsium обнаружили уязвимость в драйвере, используемом в модели банкомата от Diebold Nixdorf, одного из крупнейших производителей устройств для банковского и розничного секторов. Драйвер позволяет приложениям получать доступ к различным портам ввода-вывода x86 такой системы.
Банкоматы - это, по сути, компьютеры со специализированными периферийными устройствами, такими как считыватель карт, пин-панель, сетевые интерфейсы или кассеты для наличных, которые подключаются через различные порты связи. Получив доступ к портам ввода-вывода через уязвимый драйвер, злоумышленник может прочитать данные, которыми обмениваются центральный компьютер банкомата и устройства, подключенные к PCI.
Более того, этот драйвер можно использовать для обновления BIOS, низкоуровневого микропрограммного обеспечения компьютера, которое запускается до операционной системы и инициализирует компоненты оборудования. Используя эту функцию, злоумышленник может развернуть руткит BIOS, который переживет переустановку ОС, что приведет к очень стойкой атаке.
Насколько известно исследователям, эта уязвимость не использовалась ни в одной реальной атаке, но, основываясь на обсуждениях с Diebold, они полагают, что тот же драйвер используется в других моделях банкоматов, а также в POS-системах. Diebold работал с исследователями и выпустил исправления в начале этого года.
«Это лишь верхушка айсберга с точки зрения того, на что способны вредоносные драйверы», - заявили исследователи. «Наше предыдущее исследование выявило драйверы, которые, помимо произвольного доступа к вводу-выводу, также имели возможность чтения / записи в память, регистры отладки и управления, а также произвольный доступ к шине PCI. Эти возможности в уязвимом драйвере может иметь разрушительные последствия для банкоматов или кассовых терминалов. Учитывая, что многие драйверы этих устройств не были тщательно проанализированы, они, вероятно, содержат неоткрытые уязвимости».
Возможность злоупотребления
И банкоматы, и POS-системы стали жертвами хакеров. Существуют группы киберпреступников, такие как Carbanak, которые специализируются на взломе финансовых учреждений, таких как банки, и постепенно проникают в их сети банкоматов. Эти группы методичны и терпеливы и могут проводить месяцы внутри сетей, пока не узнают, как жертва работает и как работают ее системы. Когда они решают, наконец, осуществить ограбление, они посылают денежных мулов для сбора наличных в взломанных банкоматах, как правило, ночью.
Другая группа, известная как FIN7, которая связана с Carbanak, специализируется на взломе POS-систем и нацелена на кражу данных платежных карт компаний из гостиничного и розничного секторов. Недавно группа была замечена в рассылке вредоносных USB-ключей своим целям по обычной почте под видом подарочной карты Best Buy.
Даже банды программ-вымогателей заинтересовались такими системами, потому что их блокировка может стать большим стимулом для пострадавших организаций к уплате выкупа. На прошлой неделе Symantec сообщила, что Sodinokibi, одна из самых изощренных групп программ-вымогателей, действующих в настоящее время, начала сканирование программного обеспечения и систем POS в средах, к которым они получают доступ.
Уязвимости в драйверах, подобных тому, который обнаружил Eclypsium, не предоставляют хакерам первоначальный доступ к системе, но могут использоваться для повышения их привилегий, как только они получат эту начальную точку опоры каким-либо другим способом. Как неоднократно демонстрировали Carbanak, FIN7 и другие киберпреступные группы, получение доступа к сетям и системам не обязательно сложно и может быть выполнено различными способами.
«Как только вы обнаружите уязвимость для проникновения в банкомат, вы можете использовать ее, чтобы получить дополнительные привилегии и доступ к некоторым субинтерфейсам, которые позволят вам делать более интересные вещи», - сказал CSO Джесси Майкл, главный исследователь Eclypsium. «Это дает вам возможность разговаривать с другими устройствами, например с периферийным устройством, к которому вы хотите получить доступ для выполнения некоторых операций в рамках процесса атаки, так что это, по сути, нарушение этих уровней защиты».
Скрытие вредоносных программ внутри BIOS, чтобы выжить при переустановке ОС, может оказаться очень полезным для некоторых из этих продвинутых киберпреступных групп, потому что это означает, что они могут неоднократно поражать свои цели. Возможны и более разрушительные атаки, из-за которых устройства не загружаются. «Этот драйвер взаимодействует с контроллером SPI набора микросхем для установки обновлений BIOS, поэтому, если вы хотите просто заблокировать систему, чтобы она вообще не загружалась, вы можете просто записать мусор в загрузочный блок», - говорит Майкл.
В прошлом атаки программ-вымогателей зашифровывали главную загрузочную запись компьютеров, оставляя их не загружаемыми до тех пор, пока жертвы не заплатили выкуп. Восстановление после атаки этого типа требует ручного вмешательства, а в случае банкоматов, которые могут быть разнесены географически, это означает значительное время простоя. В контексте POS-систем это также может означать финансовые потери, если все терминалы в магазине или нескольких магазинах внезапно перестанут работать.
Затем были атаки, такие как Shamoon, поразившая Saudi Aramco в 2012 году, или атака на Sony Pictures в 2014 году, приписываемая Северной Корее, цель которой заключалась в нарушении нормальной деловой активности. Такие подрывные атаки могут быть использованы для манипулирования курсом акций компании и получения от этого прибыли.
Исследование Eclypsium подчеркивает недостаток безопасности в драйверах устройств, поскольку большинство обнаруженных проблем являются архитектурными недостатками, а не уязвимостями кода. По мнению Майкла, эти проблемы обычно являются результатом выполнения разработчиками бизнес-потребностей, таких как способность приложения взаимодействовать с аппаратным компонентом, без установки надлежащих элементов управления.
«Большинство этих случаев - это примеры того, что кто-то на самом деле не думает о последствиях неправильного использования функции», - сказал Майкл. «Это функция, которая полезна для их конкретной задачи, но они не думали, может ли ее использовать кто-то другой в плохих целях или для других целей».
Банкоматы и кассовые терминалы (POS) были мишенью для многих киберпреступников за последние несколько лет, что привело к самым крупным взломам карт и кражам денег в истории. Хотя у злоумышленников есть различные способы проникновения в эти машины, теперь исследователи предупреждают, что уязвимости в драйверах, которые они содержат, могут сделать возможным более продолжительные и разрушительные атаки.
Исследователи из Eclypsium, компании, специализирующейся на безопасности устройств, оценили безопасность драйверов устройств, программ, которые позволяют приложениям взаимодействовать с аппаратными компонентами системы и использовать их возможности. За последний год их исследовательский проект, получивший название Screwed Drivers, выявил уязвимости и конструктивные недостатки в 40 драйверах Windows от как минимум 20 различных поставщиков оборудования, что выявило широко распространенные проблемы, связанные с этой поверхностью атаки.
Большинство людей думают о Windows в контексте серверов, рабочих станций и ноутбуков, но это не единственные типы устройств, на которых работает операционная система Microsoft. Windows также широко распространена в мире банкоматов, POS-терминалов, киосков самообслуживания, медицинских систем и другого специализированного оборудования. Эти устройства, как правило, сложнее обновлять, поскольку они используются в регулируемых отраслях и средах, поэтому обновления должны проходить строгое тестирование и сертификацию. Отключение их на длительные периоды времени может привести к сбоям в работе и финансовым потерям.
Как отмечают исследователи Eclypsium в новом отчете, атаки на банкоматы могут принимать разные формы:
Уязвимость в драйвере банкомата Diebold Nixdorf
В рамках своего исследовательского проекта исследователи Eclypsium обнаружили уязвимость в драйвере, используемом в модели банкомата от Diebold Nixdorf, одного из крупнейших производителей устройств для банковского и розничного секторов. Драйвер позволяет приложениям получать доступ к различным портам ввода-вывода x86 такой системы.
Банкоматы - это, по сути, компьютеры со специализированными периферийными устройствами, такими как считыватель карт, пин-панель, сетевые интерфейсы или кассеты для наличных, которые подключаются через различные порты связи. Получив доступ к портам ввода-вывода через уязвимый драйвер, злоумышленник может прочитать данные, которыми обмениваются центральный компьютер банкомата и устройства, подключенные к PCI.
Более того, этот драйвер можно использовать для обновления BIOS, низкоуровневого микропрограммного обеспечения компьютера, которое запускается до операционной системы и инициализирует компоненты оборудования. Используя эту функцию, злоумышленник может развернуть руткит BIOS, который переживет переустановку ОС, что приведет к очень стойкой атаке.
Насколько известно исследователям, эта уязвимость не использовалась ни в одной реальной атаке, но, основываясь на обсуждениях с Diebold, они полагают, что тот же драйвер используется в других моделях банкоматов, а также в POS-системах. Diebold работал с исследователями и выпустил исправления в начале этого года.
«Это лишь верхушка айсберга с точки зрения того, на что способны вредоносные драйверы», - заявили исследователи. «Наше предыдущее исследование выявило драйверы, которые, помимо произвольного доступа к вводу-выводу, также имели возможность чтения / записи в память, регистры отладки и управления, а также произвольный доступ к шине PCI. Эти возможности в уязвимом драйвере может иметь разрушительные последствия для банкоматов или кассовых терминалов. Учитывая, что многие драйверы этих устройств не были тщательно проанализированы, они, вероятно, содержат неоткрытые уязвимости».
Возможность злоупотребления
И банкоматы, и POS-системы стали жертвами хакеров. Существуют группы киберпреступников, такие как Carbanak, которые специализируются на взломе финансовых учреждений, таких как банки, и постепенно проникают в их сети банкоматов. Эти группы методичны и терпеливы и могут проводить месяцы внутри сетей, пока не узнают, как жертва работает и как работают ее системы. Когда они решают, наконец, осуществить ограбление, они посылают денежных мулов для сбора наличных в взломанных банкоматах, как правило, ночью.
Другая группа, известная как FIN7, которая связана с Carbanak, специализируется на взломе POS-систем и нацелена на кражу данных платежных карт компаний из гостиничного и розничного секторов. Недавно группа была замечена в рассылке вредоносных USB-ключей своим целям по обычной почте под видом подарочной карты Best Buy.
Даже банды программ-вымогателей заинтересовались такими системами, потому что их блокировка может стать большим стимулом для пострадавших организаций к уплате выкупа. На прошлой неделе Symantec сообщила, что Sodinokibi, одна из самых изощренных групп программ-вымогателей, действующих в настоящее время, начала сканирование программного обеспечения и систем POS в средах, к которым они получают доступ.
Уязвимости в драйверах, подобных тому, который обнаружил Eclypsium, не предоставляют хакерам первоначальный доступ к системе, но могут использоваться для повышения их привилегий, как только они получат эту начальную точку опоры каким-либо другим способом. Как неоднократно демонстрировали Carbanak, FIN7 и другие киберпреступные группы, получение доступа к сетям и системам не обязательно сложно и может быть выполнено различными способами.
«Как только вы обнаружите уязвимость для проникновения в банкомат, вы можете использовать ее, чтобы получить дополнительные привилегии и доступ к некоторым субинтерфейсам, которые позволят вам делать более интересные вещи», - сказал CSO Джесси Майкл, главный исследователь Eclypsium. «Это дает вам возможность разговаривать с другими устройствами, например с периферийным устройством, к которому вы хотите получить доступ для выполнения некоторых операций в рамках процесса атаки, так что это, по сути, нарушение этих уровней защиты».
Скрытие вредоносных программ внутри BIOS, чтобы выжить при переустановке ОС, может оказаться очень полезным для некоторых из этих продвинутых киберпреступных групп, потому что это означает, что они могут неоднократно поражать свои цели. Возможны и более разрушительные атаки, из-за которых устройства не загружаются. «Этот драйвер взаимодействует с контроллером SPI набора микросхем для установки обновлений BIOS, поэтому, если вы хотите просто заблокировать систему, чтобы она вообще не загружалась, вы можете просто записать мусор в загрузочный блок», - говорит Майкл.
В прошлом атаки программ-вымогателей зашифровывали главную загрузочную запись компьютеров, оставляя их не загружаемыми до тех пор, пока жертвы не заплатили выкуп. Восстановление после атаки этого типа требует ручного вмешательства, а в случае банкоматов, которые могут быть разнесены географически, это означает значительное время простоя. В контексте POS-систем это также может означать финансовые потери, если все терминалы в магазине или нескольких магазинах внезапно перестанут работать.
Затем были атаки, такие как Shamoon, поразившая Saudi Aramco в 2012 году, или атака на Sony Pictures в 2014 году, приписываемая Северной Корее, цель которой заключалась в нарушении нормальной деловой активности. Такие подрывные атаки могут быть использованы для манипулирования курсом акций компании и получения от этого прибыли.
Исследование Eclypsium подчеркивает недостаток безопасности в драйверах устройств, поскольку большинство обнаруженных проблем являются архитектурными недостатками, а не уязвимостями кода. По мнению Майкла, эти проблемы обычно являются результатом выполнения разработчиками бизнес-потребностей, таких как способность приложения взаимодействовать с аппаратным компонентом, без установки надлежащих элементов управления.
«Большинство этих случаев - это примеры того, что кто-то на самом деле не думает о последствиях неправильного использования функции», - сказал Майкл. «Это функция, которая полезна для их конкретной задачи, но они не думали, может ли ее использовать кто-то другой в плохих целях или для других целей».
