О том, что злоумышленники начали сверлить в банкоматах отверстия, заговорили еще в прошлом году. К примеру, осенью 2016 года зампред Сбербанка Станислав Кузнецов лично сообщил журналистам, что мошенники взяли на вооружение новую технику, известную как drilled box. «Просверливается дырочка в банкомате — в определенных видах банкомата, определенной марки, мы все их знаем — и подключается шина и [с помощью] этой шины выкачиваются мгновенно деньги», — объяснял он.
ИБ-специалисты, конечно, тоже не могли не заметить это новшество. На конференции Security Analyst Summit исследователи «Лаборатории Касперского» рассказали об этой технике подробнее. В отличие от сложных и масштабных вредоносных кампаний, которые включают в себя компрометацию сетей банков и заражение банкоматов бесфайловой малварью, данная методика не в пример проще. Злоумышленнику понадобятся только мощная дрель и кастомный гаджет, собранный за $15, который будет отдавать диспенсеру банкомата команды.
Эксперты не раскрывают названий пострадавших банков, а также не сообщают, какие модели банкоматов, каких производителей уязвимы перед такими физическими атаками. Тем не менее, известно, что банкоматы сверлят уже не только в России, но и в странах Европы.
Расследование «Лаборатории Касперского» началось с того, что к специалистам компании обратились представители неназванного банка, обнаружившие дырку в обворованном хакерами банкомате. Устройство было абсолютно целым, не считая отверстия, размером с мяч для гольфа, которое просверлили рядом с клавиатурой, а затем замаскировали наклейкой. Когда число подобных ограблений перевалило за десяток, полиция арестовала подозреваемого, а также изъяла у него ноутбук и кабель, который он использовал для взлома. Эксперты решили разобраться в ситуации.
«Мы хотели понять, насколько можно контролировать начинку банкомата, просверлив одно отверстие и подключив один провод? Оказалось, что таким образом можно выполнить все, что угодно», — рассказывает Игорь Суменков.
Для тестов специалисты «вооружились» таким же банкоматом, какие компрометируют злоумышленники. Это старая модель, использующаяся с 1990-х годов. Сняв лицевую панель устройства, эксперты обнаружили последовательный порт, который как раз был доступен через просверленное рядом с клавиатурой отверстие. Через этот порт можно получить доступ к внутренней шине банкомата, а значит и возможность управлять диспенсером, пользовательским интерфейсом и так далее.
Исследователи потратили пять недель на расшифровку протокола внутренних коммуникаций банкомата, при помощи анализатора логики и осциллографа. В итоге выяснилось, что между различными модулями машины нет практически никакой аутентификации, и банкомат использует только слабый шифр XOR, который довольно легко взломать. Заручившись этими знаниями, исследователи смогли построить собственный девайс для взлома, который мог отдать диспенсеру команду выдачи денег, будучи подключен к вышеупомянутому порту.
Устройство обошлось специалистам всего в 15 долларов США. Оно состояло из макетной платы, микроконтроллера Atmega (можно найти, например, в микрокомпьютерах Arduino), конденсаторов, адаптера и батареи на 9 вольт. При помощи этого компактного приспособления исследователи успешно воспроизвели атаку, подключившись к порту банкомата через небольшое отверстие и отдав диспенсеру команду принудительной выдачи наличных.
Как оказалось, скорость атаки несколько ограничена. Дело в том, что спустя некоторое время банкомат все-таки «замечает», что диспенсер ведет себя некорректно, и перезагружается. Однако до этого момента устройство все равно успевает выдать несколько тысяч долларов. К тому же злоумышленник, как правило, может повторить атаку несколько раз.
Специалисты «Лаборатории Касперского» отмечают, что производители уязвимых устройств уже знают о проблеме, однако исправить ее не так-то легко. Обновить ПО банкоматов «по воздуху» в данном случае невозможно, а значит, остается либо менять в уязвимых банкоматах железо, либо добавлять им новые, физические уровни защиты, такие как камеры наблюдения и ограничители доступа к корпусу.
Стоит заметить, что по данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team, EAST) физические атаки на банкоматы не просто являются проблемой, но количество таких случаев неуклонно растет. К примеру, согласно отчету группы, за первые шесть месяцев 2016 года было зафиксировано 492 случая подрыва банкоматов с целью хищения денег. Для сравнения, за аналогичный период в 2015 году банкоматы взрывали только 273 раза.
Фото: Reuters/Vincent West
