Как сообщает Security Week, на ИБ-конференции DefCamp 2017, прошедшей в Бухаресте на прошлой неделе, был представлен доклад «Лаборатории Касперского» по вопросам безопасности банкоматов. Эксперты Ольга Кочетова и Алексей Осипов рассказали об уязвимости ПО, работающего на таких машинах, а также об особенностях атак на каналы между банкоматами и процессинговыми центрами и перспективах вовлечения банкоматов в ботнеты.

Плачевное состояние программного обеспечения банкоматов — хорошо известный факт. По свидетельству докладчиков, многие из таких машин работают под управлением Windows XP, давно снятой с поддержки. На других установлены неиспользуемые и потому необновляемые программы вроде TeamViewer или устаревших версий Adobe Reader/Acrobat. К тому же банки зачастую пренебрегают актуализацией ПО банкоматов, что делает их легкой добычей для вредоносных программ.

Если злоумышленнику удалось внедрить специализированное приложение в банкомат, он сможет опустошать кассеты или собирать данные банковских карт, отдавая команды зловреду. Более того, получение доступа к одному банкомату открывает возможность для компрометации остальных машин в сети, которая, как правило, не структурирована. Внедриться в подобную сеть и перехватить управление банкоматами можно разными способами: установить микроконтроллер на один из аппаратов, взломать систему управления сетью, провести атаку на цепочку поставок с целью внедрения вредоносного кода в прошивку.

«Имея [физический] доступ к банкомату, злоумышленник может установить на нем устройство для подачи команд на все машины в сети, — поясняют исследователи репортеру Security Week. — Эти команды будут восприниматься так, как если бы они исходили из центра управления. В результате автор атаки сможет использовать заготовки банковских карточек или любые другие карты и изымать наличные из банкоматов в сети».

По словам экспертов, это классический пример MitM-атаки, притом все следы враждебного присутствия в сети исчезнут, как только злоумышленник снимет свой контроллер с банкомата.

Хотя банки обычно отрицают подключение банкоматов к Интернету, исследователи убедились, что, используя Shodan и правильные ключевые слова и фразы, их можно с легкостью обнаружить онлайн. Этим способом могут воспользоваться и злоумышленники: отыскать открытые порты и провести эксплойт-атаку, а затем внедрить зловред для кражи информации или приобщить банкоматы к ботнету.

Атаки на цепочку поставок, как показал опыт с CCleaner и NotPetya/ExPetr, тоже могут быть весьма эффективными. В данном случае автору атаки надо будет инфицировать так называемый «золотой образ», используемый для установки ОС и необходимых программ на банкомат.

«Мы уже наблюдали случаи заражения банкоматов обычными зловредами через USB-накопитель, который специалист по обслуживанию подключает к машине, — комментирует Осипов для Security Week. — Таким образом, если использовать «золотой образ», техник даже не заметит компрометации. Безусловно, атакующий должен знать, какое ПО следует установить на этот «золотой образ», с тем чтобы скомпрометировать банкомат незаметно. То же самое произойдет, если вектором атаки служит сервис-провайдер. Компрометацию никто не заметит».

Ботнет из банкоматов можно также использовать для майнинга криптовалюты, коль скоро этот тренд набирает обороты. «В конце концов, банкомат — всего лишь другой тип компьютера, — резюмирует Кочетова. — А значит, его можно взломать, если найдутся подходящие уязвимости. Это все равно что CCTV-камеры, которые инфицируют для создания IoT-ботнетов».

Если верить экспертам, возможность создания ботнета на банкоматах вполне реальна, хотя таких случаев пока не наблюдалось.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости, Хакеры