Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомМошенники приобрели фирменное программное обеспечение Diebold для «джекпота» банкоматов
Дэн Гудин - 20 июля 2020 г., 21:40 UTC
Diebold Nixdorf, заработавшая в прошлом году 3,3 миллиарда долларов на продажах и обслуживании банкоматов, предупреждает магазины, банки и других клиентов о новой аппаратной форме «джекпоттинга» — отраслевого термина, обозначающего атаки, которые воры используют для быстрого опустошения банкоматов.
В новом варианте используется устройство, на котором работают части собственного стека программного обеспечения компании. Затем злоумышленники подключают устройство к внутренним компонентам банкомата и выдают команды. Успешные атаки могут привести к потоку наличных, иногда выдаваемому со скоростью 40 купюр каждые 23 секунды. Устройства подключаются либо путем получения доступа к ключу, который отпирает корпус банкомата, либо путем сверления отверстий или иным образом взлома физических замков, чтобы получить доступ к внутренним компонентам банкомата.
В предыдущих атаках с использованием джекпота подключенные устройства, известные в отрасли как черные ящики, обычно вызывали программные интерфейсы, содержащиеся в операционной системе банкомата, для передачи команд, которые в конечном итоге достигали аппаратного компонента, выдающего наличные. Совсем недавно компания Diebold Nixdorf наблюдала волну атак типа «черный ящик», в которых использовались части проприетарного программного обеспечения компании.
«Некоторые из успешных атак демонстрируют новый адаптированный Modus Operandi того, как осуществляется атака», — предупредил Диболд Никсдорф в активном предупреждении безопасности, выпущенном на прошлой неделе и предоставленном Ars представителем компании. «Хотя мошенник по-прежнему подключает внешнее устройство, на данном этапе нашего расследования выясняется, что это устройство также содержит части программного стека атакованного банкомата».
В рекомендации говорилось в другом месте:
В целом, джекпоттинг относится к категории атак, направленных на незаконную выдачу наличных из банкомата. Вариант джекпота «черный ящик» не использует стек программного обеспечения банкомата для выдачи денег из терминала. Вместо этого мошенник подключает свое собственное устройство, «черный ящик», к диспенсеру и направляет передачу данных напрямую на устройство обработки наличных.
В недавних инцидентах злоумышленники сосредоточились на наружных системах и разрушали части лицевой панели, чтобы получить физический доступ к головному отсеку. Далее отключался USB-кабель между дозатором CMD-V4 и специальной электроникой или кабель между специальной электроникой и ПК банкомата. Этот кабель подключен к черному ящику злоумышленника для отправки незаконных команд выдачи.
Некоторые инциденты указывают на то, что «черный ящик» содержит отдельные части программного стека атакованного банкомата. Расследование того, как эти детали оказались в руках мошенника, продолжается. Одной из возможностей может быть автономная атака на незашифрованный жесткий диск.
Растущее число атак нацелено на линейные терминалы компании ProCash, особенно на USB-модель ProCash 2050xs. Продолжающиеся атаки происходят в «некоторых европейских странах», говорится в сообщении.
Бруно Оливейра, эксперт по безопасности банкоматов, сказал, что слышал о более ранней форме атаки «черного ящика». Подключенное устройство управляет API-интерфейсами, включенными в расширения ОС, такие как XFS или CFS, которые взаимодействуют с удаленными серверами, управляемыми финансовыми учреждениями. По словам Оливейры, «черные ящики», имитирующие внутренний компьютер банкомата, могут представлять собой либо ноутбуки, либо оборудование Raspberry или Arduino, которое довольно легко собрать. Черные ящики — это один из четырех методов выигрыша джекпота, которые описывает здесь Дибольд Никсдорф.
В некоторых случаях подключенные устройства подключаются напрямую к банкомату и выдают ему команды на выдачу наличных. Другая форма атаки «черного ящика» подключается к сетевым кабелям и записывает информацию о держателях карт, которая передается туда и обратно между банкоматом и центром транзакций, который обрабатывает сеанс. Затем подключенное устройство изменяет разрешенную максимальную сумму снятия средств или маскируется под хост-систему, позволяя банкомату выдавать большие суммы денег.
В вышеупомянутой брошюре о джекпотах описаны два других типа атак. Первый заменяет законный жесткий диск на диск, созданный злоумышленниками. Другой использует фишинговые атаки на сотрудников банка. Получив доступ внутрь сети финансового учреждения, злоумышленники запускают команды, которые заражают банкоматы вредоносным ПО, которое можно использовать для очистки машин.