Взлом банкоматов

Я не являюсь автором данной статьи. Ни призываю совершать вас, те действия, которые описаны в статье. Все написано для ознакомления 18+

Как с помощью Black Box взламывают банкоматы.

Хеллоу, хукер. Эта статья вкратце расскажет вам о таком типе киберпреступления, как электронный взлом банкомата - одна из физических составляющих DarkNet.

Стоящие на улицах города железные коробки с деньгами не могут не привлекать внимание любителей быстрой наживы. И если раньше для взлома банкоматов применяли чисто физические методы, то теперь в ход идут все более искусные методы взлома, связанные с компьютерами. Сейчас наиболее актуальный из них — это «BlackBox» или как у нас говорят «Черный ящик» с одноплатным микрокомпьютером внутри. О том, как работает BlackBox и как с помощью данного устройства взламывают банкоматы, мы и поговорим в этой статье.

Типичный банкомат — это набор готовых электромеханических компонентов, размещенных в одном корпусе. Производители банкоматов собирают их из устройства выдачи банкнот, считывателя карт и других компонентов, уже разработанных сторонними поставщиками. Этакий конструктор LEGO для взрослых. Готовые компоненты размещаются в корпусе банкомата, который обычно состоит из двух отсеков: верхнего («кабинета» или «зоны обслуживания») и нижнего (сейфа). Все электромеханические компоненты подключены через порты USB и COM к системному блоку, который в данном случае играет роль хоста. На старых моделях банкоматов также можно встретить соединения через SDC-шину.

Ещё будет тема про взлом Сбербанка. Оставайтесь с нами.

Эволюция банкоматного кардинга

Сначала кардеры эксплуатировали только грубые физические недостатки защиты банкоматов — использовали скиммеры и шиммеры для кражи данных с магнитных полос, поддельные ПИН-пады и камеры для просмотра ПИН-кодов и даже поддельные банкоматы. Затем, когда банкоматы стали оснащать унифицированным программным обеспечением, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), кардеры начали взламывать банкоматы компьютерными вирусами. Среди них Trojan.Skimer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие именованные и безымянные зловреды, которых кардеры подсаживают на хост банкомата либо через загрузочную флешку, либо через TCP-порт удаленного управления.

Захватив XFS-подсистему, вредонос может без авторизации отдавать команды устройству выдачи банкнот или картридеру: читать магнитную полосу банковской карты, писать на нее и даже извлекать историю транзакций, хранящуюся на чипе EMV-карты. Особого внимания заслуживает EPP (Encrypting PIN Pad — шифрованный ПИН-пад). Принято считать, что вводимый на нем ПИН-код не может быть перехвачен. Однако XFS позволяет использовать EPP ПИН-пад в двух режимах: открытом (для ввода различных числовых параметров, таких как сумма, которую надо обналичить) и безопасном (в него EPP переключается, когда надо ввести ПИН-код или ключ шифрования).

Эта особенность XFS позволяет кардеру устроить MITM-атаку: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, и затем сообщить EPP ПИН-паду, что работу следует продолжить в открытом режиме. В ответ на это сообщение EPP отправляет нажатия клавиш открытым текстом.

В последние годы, по данным Европола, вредоносы для банкоматов заметно эволюционировали. Кардерам теперь необязательно иметь физический доступ к банкомату, чтобы взломать его. Они могут заражать банкоматы при помощи удаленных сетевых атак, используя для этого корпоративную сеть банка. По информации GroupIB, в 2016 году более чем в десяти странах Европы на банкоматы были совершены дистанционные нападения.

Антивирусы, блокировка обновления прошивки, блокировка USB-портов и шифрование жесткого диска до некоторой степени защищают банкомат от вирусных атак кардеров. Но что, если кардер не атакует хост, а напрямую подключается к периферии (через RS232 или USB) — к считывателю карт, ПИН-паду или устройству выдачи наличных?

Первое знакомство с BlackBox

Сегодня технически подкованные кардеры поступают именно так, используя для кражи наличных из банкомата так называемые «черные ящики» BlackBox — специфически запрограммированные одноплатные микрокомпьютеры, наподобие Raspberry Pi. BlackBox опустошают банкоматы подчистую, совершенно волшебным (с точки зрения банкиров) образом. Кардеры подключают свое устройство напрямую к устройству выдачи банкнот и извлекают из него все деньги. Такая атака действует в обход всех программных средств защиты, развернутых на хосте банкомата (антивирусы, контроль целостности, полное шифрование диска и прочее).

Крупнейшие производители банкоматов и правительственные спецслужбы, столкнувшись с несколькими реализациями BlackBox, сообщают, что эти хитроумные компьютеры заставляют банкоматы выплевывать все доступные наличные, по сорок банкнот каждые двадцать секунд. Также спецслужбы предупреждают, что кардеры чаще всего нацеливаются на банкоматы в аптеках, торговых центрах и банкоматы, которые обслуживают автомобилистов «на ходу».

При этом, чтобы не светиться перед камерами, наиболее осторожные кардеры берут на помощь какого-нибудь не слишком ценного партнера, «мула». А чтобы тот не смог присвоить BlackBox себе, применяется следующая схема: из BlackBox убирают ключевую функциональность и подключают к нему смартфон, который используют в качестве канала для дистанционной передачи команд урезанному «черному ящику», по IP-протоколу.

Как это выглядит с точки зрения банкиров?

На записях с видеокамер-фиксаторов происходит примерно следующее: некая личность вскрывает верхний отсек (зону обслуживания), подключает к банкомату «волшебный ящик», закрывает верхний отсек и уходит. Немного погодя несколько человек, на вид обычные клиенты, подходят к банкомату и снимают огромные суммы денег. Затем кардер возвращается и извлекает из банкомата свое маленькое волшебное устройство. Обычно факт атаки банкомата с помощью BlackBox обнаруживается только через несколько дней, когда пустой сейф и журнал снятия наличных не совпадают. В результате сотрудникам банка становится невесело.

Анализ банкоматных коммуникаций.

Как уже отмечалось выше, системный блок и периферийные устройства взаимодействуют через USB, RS232 или SDC. Кардер подключается непосредственно к порту периферийного устройства и отправляет ему команды — в обход хоста. Это довольно просто, потому что стандартные интерфейсы не требуют каких-то специфических драйверов. А проприетарные протоколы, по которым периферия и хост взаимодействуют, не требуют авторизации (ведь устройство же находится внутри доверенной зоны), так что эти незащищенные протоколы, по которым периферия и хост взаимодействуют, легко прослушиваются и легко поддаются атаке воспроизведения.

Таким образом, кардеры могут использовать программный или аппаратный анализатор трафика, подключая его напрямую к порту конкретного периферийного устройства (например, к считывателю карт) для сбора передаваемых данных. Пользуясь анализатором трафика, кардер узнаёт все технические подробности работы банкомата, в том числе недокументированные функции его периферии (например, изменение прошивки периферийного устройства). В результате взломщик получает полный контроль над банкоматом. При этом обнаружить наличие анализатора трафика довольно-таки трудно.

Прямой контроль над устройством выдачи банкнот означает, что кассеты банкомата могут быть опустошены без какой-либо фиксации в логах, которые в штатном режиме вносит софт, развернутый на хосте. Для тех, кто не знаком с программно-аппаратной архитектурой банкомата, это может выглядеть как магия.