Лёгкие деньги: как и почему и атакуют банкоматы

Хотя некоторые производители уже начали разрабатывать более безопасные машины, банки не спешат переходить на них, продолжая использовать старые и небезопасные модели.

Представьте: поздняя ночь, плохо освещённый район в трущобах, источники освещения — одиноко стоящий фонарь и лампа дневного света за стеклянными дверьми. Заштатное отделения крупного банка с круглосуточным банкоматом. На улице ни души, в домах по соседству все давно спят.

Из темноты возникает едва различимая фигура. На ней мешковатая, «уличного» типа толстовка, так что разобрать невозможно ни черты лица, ни пол. Фигура заходит в вестибюль, подходит к одному из банкоматов и замирает. Через одну-две минуты он (или, может быть, она — этого ни за что не угадать) начинает что-то запихивать в принесённый с собой рюкзак. После того как всё готово, фигура опять растворяется в темноте…

…Утром работники банка обнаруживают, что по крайней мере в одном банкомате наличных нет.

Как уже могли догадаться читатели, человек в капюшоне был так называемым денежным мулом, нанятым забрать наличные деньги из скомпрометированного банкомата — скорее всего, взломанного дистанционно. Данную операцию оказывается весьма просто осуществить. Почему?

Как пришло, так и ушло

На самом деле современные банкоматы представляют собой по сути сборные устройства, состоящие из ряда аппаратных модулей, таких как диспенсер, карт-ридер, клавиатура, дисплей (сенсорный или обычный) и т. д. Но основной системной единицей является самый обычный ПК, какое бы специальное программное обеспечение на него ни устанавливали. ПО для управления банкоматами, программы для взаимодействия с пользователем, для связи с процессинговым центром и т. п. — всё это работает на базе вполне обычной операционной системы.

И в подавляющем большинстве современных банкоматов до сих пор используется Windows XP. По какой-то причине некоторые банки также устанавливают Acrobat Reader 6.0, Radmin, TeamViewer и прочие необязательные, а в некоторых случаях — и просто опасные программы, что делает устройство ещё уязвимее.

Как известно, Microsoft, наконец, прекратила поддержку этой ОС в 2014 году, но и спустя два года Windows XP по-прежнему встречается в той или иной форме. Банкоматы — не такие уж и дешёвые устройства, так что кажется вполне логичным, что их эксплуатируют до тех пор, пока они могут выполнять свои функции, вне зависимости от установленной на них ОС.

Microsoft поддержку прекратила, так что все вновь обнаруженные уязвимости так и остались. И не только они: Securelist сообщает, что на многих машинах до сих пор не исправлена критическая уязвимость MS08-067, которая допускает удалённое выполнение кода.

В 2014 году исследователи «Лаборатории Касперского» обнаружили Tyupkin — один из первых широко известных примеров вредоносных программ для банкоматов, а в 2015 году эксперты компании раскрыли банду Carbanak, которая, помимо всего прочего, могла опустошать банкоматы посредством скомпрометированной банковской инфраструктуры. Обе приведённые в пример атаки стали возможны благодаря эксплуатации нескольких распространённых технических слабостей банкоматов и инфраструктуры, которая обеспечивает их работу. И это только верхушка айсберга.

Злоумышленники порой осуществляют крайне сложные, многоступенчатые операции, заканчивающиеся массовым взломом банкоматов. «Цепочка» действительно бывает длинной. Например, некая группа хакеров может скомпрометировать инфраструктуру какого-нибудь оператора связи, используя простой и дешёвый метод социальной инженерии. После установки бэкдоров первая группа взломщиков может продать добычу кому-то другому, кто впоследствии обнаруживает, что телекоммуникационная компания обслуживает сети нескольких банков. В ходе дальнейших поисков вторая группа хакеров обнаруживает, что в банкоматы можно проникнуть дистанционно. После этого взломщики подсаживают ряд вредоносных программ, для того чтобы перенаправить деньги на мошеннические счета или заставляют некоторые банкоматы в определённый момент времени расстаться со всей наличностью, которую и подбирают «фигуры в капюшонах».

Но вполне может быть, что никаких выдающихся «высокотехнологичных» усилий и не понадобится. Во многих случаях, наблюдавшихся исследователями «Лаборатории Касперского», преступникам не пришлось даже использовать вредоносные программы для заражения банкомата или банковской сети, к которой тот подключен. Физическая безопасность самих банкоматов является очень распространённой проблемой: часто банкоматы собирают и устанавливают таким образом, что третья сторона может легко получить доступ к компьютеру внутри банкомата или к сетевому кабелю, соединяющему машину с интернетом.

И, получив даже частичный физический доступ к банкомату, преступники потенциально могут установить специально запрограммированный микрокомпьютер (так называемый чёрный ящик) внутри банкомата, который даст злоумышленникам удалённый доступ к машине, или даже переподключит банкомат к процессинговому центру мошенников.

Подставной процессинговый центр представляет собой сервер, который обрабатывает данные об оплате и идентичен серверу банка, несмотря на то, что банку он не принадлежит. После переподключенения банкомата к подставному процессинговому центру злоумышленники могут отдавать любые команды, какие пожелают. И банкомат их выполнит.

Проблема XFS

Исследуя широко используемые банкоматы (и реальные атаки, осуществлённые за последнее время), специалисты «Лаборатории Касперского» обнаружили, что в подавляющем большинстве случаев специальное пользовательское ПО, которое обеспечивает взаимодействие ПК банкомата с банковской инфраструктурой и аппаратными блоками, обрабатывающими операции с наличными средствами и кредитными картами, основано на стандарте XFS. Это довольно старая и ненадёжная техническая спецификация, изначально создававшаяся с целью стандартизировать программное обеспечение банкомата, чтобы оно могло работать на любом оборудовании, независимо от производителя.

Проблема заключается в том, что спецификация XFS не требует авторизации для команд, которые обрабатывает. Это означает, что любое приложение, установленное или запущенное на банкомате, может давать команды на любым другим аппаратным блокам банкомата, включая карт-ридер и диспенсер наличных.

Если вредоносное ПО успешно заражает банкомат, то получает практически неограниченные возможности в плане контроля над инфицированным банкоматом: может превратить панель набора пин-кода и карт-ридер в «родной» скиммер или просто выдать все деньги, хранящиеся в банкомате, по команде хакера.

XFS, несомненно, является главным источником проблем с банкоматами.

Что можно сделать

Специалисты «Лаборатории Касперского» утверждают, что производители банкоматов могут снизить риск взлома машин посредством принятия следующих мер:

  • Во-первых, необходимо пересмотреть стандарт XFS с акцентом на безопасность и внедрить двухфакторную авторизацию между устройствами и легальным программным обеспечением. Это поможет уменьшить вероятность несанкционированного снятия денег с использованием троянских программ и получения злоумышленниками непосредственного контроля над отдельными банкоматами.
  • Во-вторых, необходимо ввести «авторизованную выдачу», чтобы исключить возможность атак через поддельные центры обработки данных.
  • В-третьих, необходимо реализовать криптографическую защиту и контроль целостности данных, передаваемых между всеми аппаратными блоками и ПК внутри банкомата.

Важнейшая проблема, однако, заключается в том, что, пока производители банкоматов разрабатывают всё более безопасные устройства, сами банки продолжают использовать устаревшие машины под управлением Windows XP.

«Хотя некоторые производители уже начали разрабатывать более безопасные машины,  банки не спешат переходить на них, продолжая использовать старые и небезопасные модели. Именно поэтому сегодня мы наблюдаем такой стремительный рост атак на банкоматы. И поскольку банки к ним не готовы, они и их клиенты терпят огромные финансовые убытки. Мы полагаем, что сложившаяся ситуация стала результатом убеждения финансовых организаций, что киберпреступников интересуют лишь системы интернет-банкинга. Да, безусловно, это так, но атаки на банкоматы значительно сокращают путь к деньгам и, следовательно, не могут не привлекать внимание злоумышленников», — отметила Ольга Кочетова, старший специалист отдела тестирования на проникновение «Лаборатории Касперского».

Подробности можно найти в её статье на Securelist, где детально описываются современные проблемы безопасности банкоматов.

Советы