Хакеры грабят банкоматы с помощью Raspberry PI
В руки злоумышленников попали программные средства банкоматов Diebold Nixdorf, которые использовались в ходе атак с использованием "черных ящиков".
Чернее некуда
Поставщик банкоматов Diebold Nixdorf разослал своим клиентам предупреждение о новой разновидности атак с использованием "черных ящиков" - аппаратных устройств, с помощью которых злоумышленники могут заставлять банкоматы выдавать наличные в неограниченных количествах. Преступники смогли оснастить свои "черные ящики" фрагментом исходного кода программных оболочек банкоматов, что сильно повышает продуктивность подобных атак.
Атаки с помощью "черных ящиков" - отнюдь не новость: инциденты подобного рода отмечаются уже больше десятилетия. Как правило, злоумышленники пытаются вскрыть банкомат, после чего подключаются к USB-портам диспенсера (машины для выдачи наличности). Используются либо ноутбуки, либо миникомпьютеры Raspberry PI с вредоносным ПО, необходимым для отправки команд диспенсеру.
Цифровая составляющая типового банкомата - это обычный компьютер на базе схемотехники Intel под управлением Windows (стандартной или адаптированной под встраиваемые системы версии). Поверх нее устанавливаются программные оболочки для работы с сенсорным экраном и управления автоматом для приема и выдачи денег. Сам бокс с наличностью обычно весьма устойчив к физическому воздействию, зато внешний корпус банкомата вскрыть сравнительно легко.
"Черные ящики" и вредоносное ПО для взлома банкоматов также довольно легко достать, и в целом атаки подобного рода осуществить подчас даже проще и дешевле, чем с помощью скиммеров, клонированных карт и т. д. И в отличие от сугубо цифровых атак, от злоумышленников не требуется никакой особой квалификации.
Ключевое отличие нынешней серии атак заключается в том, что преступники используют программный стек (комплект программных средств) конкретных моделей банкоматов - Diebold Nixdorf Pro Cash 2050xe. Естественно, большая часть атак нацелена именно на эту модель. Злоумышленники отсоединяют кабель от управляющего компьютера к диспенсеру, подключают свое устройство и отправляют нужные им команды. Программный код, вероятнее всего, позволяет успешно выдавать "черный ящик" за авторизованное устройство - вроде тех, которыми пользуются инкассаторы и технический персонал.
Большая часть описанных атак имела место в европейских странах, но логично предположить, что в скором времени эта методика распространиться повсеместно.
Откуда код?
Каким именно образом в руки злоумышленников попал этот стек, неизвестно; в бюллетене Diebold указывается, что хакеры могли украсть его с помощью "офлайновой атаки на незашифрованный жесткий диск".
В бюллетене также говорится, что в большей части недавних атак злоумышленники вскрывали уличные банкоматы. Отключали терминал диспенсера CMD-V4 от управляющего компьютера и подсоединяли "черный ящик", с которого уже отправляли команды на выдачу денежных средств.
Diebold Nixdorf выпустил ряд программных обновлений, которые рекомендуется установить на всех банкоматах. Вдобавок, операторам банкоматов рекомендовано активировать все доступные средства шифрования для самих терминалов и для управляющих компьютеров - установить антивирусы и средства противодействия проникновению, а также максимально ограничить физический доступ к корпусу банкомата.
"Исключение неавторизованного физического доступа помогло бы отсечь большую часть таких атак, однако с уличными банкоматами это не так просто осуществить, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Обезопасить банкомат можно с помощью сигнализации, а также программных инструментов, блокирующих работу диспенсера, если происходит его подключение к неавторизованному аппаратному средству, такому как пресловутый черный ящик. С другой стороны, использование программного стека самих банкоматов в теории как раз позволяет обойти такую защиту. Но это уже вопрос не защиты банкоматов, а безопасности критически важных программных компонентов на стороне их разработчика".