W ostatnich dniach stycznia służby specjalne Stanów Zjednoczonych wydały ostrzeżenie dla instytucji finansowych przed planowanymi cyberatakami na terminale płatnicze ATM (bankomaty). Nie bez powodu.
Celowość komunikatu znalazła swoje potwierdzenie w wydarzeniach kolejnych dni. W Stanach Zjednoczonych odnotowano liczne skuteczne ataki zwane ATM Jackpotting, za sprawą których opróżniono wiele bankomatów.
Malware atakuje
Przed pięcioma laty po raz pierwszy zarejestrowano malware Ploutus, którym zainfekowane były bankomaty w Meksyku. Pozwalał on cyberprzestępcom na opróżnienie kaset z pieniędzy. Początkowo na ataki podatne były tylko wybrane modele urządzeń firmy NCR, jednakże w ostatnim czasie możliwości złośliwego oprogramowania uległy znacznemu rozszerzeniu i obecna jego wersja – Ploutus.D – jest w stanie atakować urządzenia różnych producentów.
Malware nie wykorzystuje podatności oprogramowania. Jest to atak logiczny, który wykorzystuje wewnętrzne protokoły urządzenia, oprogramowanie niskiego poziomu (firmware, middleware) oraz komunikację wewnętrzną sprzętu. Stopień złożoności malware wskazuje, iż cyberprzestępcy doskonale operują na bardzo niskim poziomie budowy urządzeń ATM.
W atakach logicznych na bankomaty wykorzystuje się urządzenie zewnętrzne (laptopy lub same klawiatury) oraz specjalnie przygotowane oprogramowanie (Ploutus.D). Użyte narzędzia pozwalają przestępcom na przejęcie kontroli nad dyspenserem (modułem odpowiedzialnym za pobieranie gotówki z kaset i przekazywanie wypłacającemu) i dokonanie wypłaty dowolnej kwoty. Nazwa „jackpotting” nawiązuje do wygranej w kasynie, kiedy po wylosowaniu odpowiedniej kombinacji symboli, maszyna zaczyna wypłacać całą swoją zawartość. Podobnie bankomat po wpisaniu odpowiedniego kodu lub wysłaniu sygnału sterującego na poziomie elektronicznym, wydaje całą gotówkę, będącą w jego dyspozycji.
Jak zainfekować bankomat
Jak podaje Brian Krebs, realizowane scenariusze ataków różnią się nieco w szczegółach. Po przygotowaniu malware najtrudniejszym etapem jest uzyskanie dostępu do wnętrza urządzenia oraz podpięcie do złącza, które pozwoli na zainfekowanie oprogramowania. W tym zakresie pomysłowość przestępców przerosła przewidywania konstruktorów bankomatów. Przez niewielki otwór wprowadzali do bankomatu endoskop (przyłączoną do telefonu kamerę inspekcyjną wraz z własnym źródłem światła), podłączali złącze laptopa bezpośrednio do komputera bankomatu i synchronizowali dane na dyskach. W dalszej kolejności przestępcy wyłączali program antywirusowy, instalowali malware, odłączali interfejs sieciowy, po czym restartowali system operacyjny. Po uruchomieniu bankomat był gotowy do wypłaty całości posiadanych środków. Cała instalacja trwała maksymalnie 30 minut. Po tym czasie następowało wydanie gotówki, które mogłoby nie wzbudzać podejrzeń, gdyby nie fakt, że bankomat wypłacał w kilku seriach całą swoją zawartość. Mimo że centrale zarządzania siecią bankomatów rejestrowały anomalię (odłączenie od sieci), to jednak dotychczas nie uznawano tego faktu za zdarzenie mające wpływ na cyberbezpieczeństwo. Przestępcy doskonale rozpoznali budowę i słabe punkty bankomatu, wybrali modele podatne na ataki oraz najsłabsze miejsce w którym można sforsować obudowę.
Do bankomatów przestępcy dostawali się również w mniej subtelny sposób. W obudowie bankomatu wycinano otwór, który pozwalał na wymontowanie dysku twardego. Dysk, poza bankomatem, był infekowany i wmontowany w swoje pierwotne miejsce. Dalsza część ataku wyglądała podobnie: restart systemu i wypłata gotówki.
W tego typu ataku przestępcy zorganizowali się i podzielili zadaniami. Osobne grupy w sposób fizyczny dostawały się do bankomatów i infekowały urządzenia, inne zdalnie kontrolowały sprzęt, jeszcze inne wypłacały pieniądze.
Czy można się obronić
ATM Jackpotting nie jest wymierzony bezpośrednio w klientów banków, a wprost we właścicieli bankomatów. Producent urządzeń, firma Diebold Nixdorf, wydała pilną rekomendację:
- Ograniczyć i kontrolować fizyczny dostęp do urządzenia (użycie zamków uniemożliwiających siłowe otwarcie, kontrola dostępu przez personel, weryfikacja osób serwisujących, implementacja dodatkowych składników uwierzytelniania).
- Włączyć zalecane mechanizmy ochronne w modułach wypłacających (zaktualizować firmware ostatnią wydaną poprawką bezpieczeństwa, zastosować bezpieczniejszą konfigurację włączając szyfrowanie wewnętrznej komunikacji i fizyczne uwierzytelnianie).
- Wdrożyć dodatkowe mechanizmy kontrolne (kontrola otwarcia obudowy, monitorowanie zdarzeń bezpieczeństwa w czasie rzeczywistym, szyfrowanie dysków, sprawdzanie integralności transakcji oraz ciągłości komunikacji z komponentami wewnętrznymi, utrzymanie aktualnego systemu operacyjnego oraz oprogramowania).
Co dalej
Analiza próbek Ploutus.D wykazała, że malware atakuje urządzenia firmy Diebold. Jednak niewielkie zmiany w złośliwym kodzie pozwalają na przeprowadzenie ataku na 40 różnego typu urządzeń stosowanych w 80 krajach. Dodatkowo należy zauważyć, że terminale ATM wciąż pracują na systemach Windows XP, a ograniczenie tego typu ataków wiąże się aktualizacją wersji do Windows 7.
Również poznanie szczegółowego działania bankomatu nie wydaje się trudne. W Internecie można znaleźć techniczną dokumentację wielu modeli urządzeń, a na popularnych portalach aukcyjnych w Polsce i za granicą dostępne były podajniki banknotów, a nawet całe terminale ATM.
Informacje przekazane przez amerykańskie służby potwierdziły się i odnotowano wiele ataków ATM Jackpotting. Wszystkie instytucje finansowe poważnie potraktowały to ostrzeżenie. W oparciu o zalecenia producenta urządzeń wprowadzane są dodatkowe zabezpieczenia utrudniające lub uniemożliwiające okradanie bankomatów. Prace te dotyczą także sieci polskich bankomatów, w których nadal funkcjonuje bardzo dużo urządzeń Diebold. Analitycy prognozują, że tego typu ataki przeniosą się na obszar Europy.
Komentarze
„W dalszej kolejności przestępcy wyłączali program antywirusowy”
Chwila moment, a po co w bankomacie program antywirusowy? Ktoś zakłada przeglądanie stron porno przez wypłacającego w oczekiwaniu na pieniądze i wydruk? Nie pomoże na specjalizowane malware, nie jest potrzebny kiedy bankomat robi tylko to do czego jest projektowany. Ktoś obeznany z tematem mógłby wyjaśnić po co tam program antywirusowy?
AV został wyłączony, aby malware nie został wykryty :).
Pasjans pewnie tez jest. W razie jakby klientow nie bylo i czas sie dluzyl. ;)
„Dodatkowo należy zauważyć, że terminale ATM wciąż pracują na systemach Windows XP”
W
I
N
D
O
W
S
.
Przemyśl, przedumaj, przelicz, zrozum.
Windows niczego nie tłumaczy. Jeśli komputer nie ma żadnego IO poza bankiem to niby jakie zagrożenia dla normalnych PC są tam istotne? Brzmi jak jakiś dupochron.
Pisanie wirusów na Windows jest dużo łatwiejsze.
A jak te wirusy przedostają sie na bankomaty? Chyba nie chcesz powiedzieć że infrastruktura dostawcy bankomatów jest az tak żenująco dziurawa że mozna sobie na bankomat wgrać cobądź. Może producent powinien zając się branżą kopania rowów skoro nie ma zaufania dla kawałka hardware/software który w pocie czoła produkuje?
@Sebo nieuważnie czytasz z3s ;)
Masz po pierwsze bankomaty nieraz jeszcze z xp. Ich aktualizacje oczywiście są instalowane ale ataków na xp które nie zdążą być rozbrojone aktualizacją MS a są wykrywane przez AV trochę było.
Po drugie ten problem dotyczy wszystkich systemów. AV reagują szybciej niż MS. (zazwyczaj)\
Po trzecie AV mają zdolność wyłapywania „dziwnego zachowania” i blokowania wirusów nieznanych.
Więc taki AV dość mocno podnosi nam bezpieczeństwo i zapobiega przynajmniej częściowo przed atakami „masowymi”
Pomijam że istnieje sporo znanych już luk które były latami otwarte. Na większość AV nie dawały rady ale ich wykorzystanie zawsze trochę utrudniały.
Biorąc pod uwagę co zabezpieczamy i jakie są koszty AV to nie zainstalowanie go było by głupotą.
AV to nie zabezpieczenie przed chorobami wenerycznymi choć wiele osób tak podchodzi do tego. Skoro nie chadzają na panienki to się nie zarażą… Cóż czasem może ktoś z grypą kichnąć w windzie do której wsiądziemy i jednak będziemy chorzy ;) Pomimo że nie będziemy nawet widzieli wektora ataku ;) A głupia i pogardzana rutyna z wit C albo wyciąg z mniszka stosowane ciągle mogą być wystarczającym zabezpieczeniem. Choć oczywiście niekoniecznie jeśli inna podatność naszego organizmu da przewagę wirusowi (znanemu przecież naszemu systemowi immunologicznemu)
I jeszcze jedna analogia.
Nie chodzę na panienki (jakże częsty przekaz ludzi jak nie chcą paru zł na AV wydać)
No tak ale do sąsiadki to czasem zaglądną ;) I jak „panienka” każe mu gumkę ubrać tak sąsiadka niekoniecznie.
Wejdziesz na jakąś niewinną „bezpieczną” stronę i z adwordsa dostaniesz syfa…
Przyjdzie serwisant do bankomatu wepnie dysk zewnętrzny zainfekowany w komputerze w firmie jakimś śpiochem….
Nawet jeśli są procedury zakazujące to po pierwsze wielu mistrzów uważa że przepisy są po to żeby je łamać a po drugie nawet jak pracownik nie wyznaje tak idiotycznej zasady to jest tylko człowiekiem i z pospiechu zmęczenia czy roztargnienia może popełnić błąd.
I takich przypadków trochę już było że ktoś wniósł syfa do krytycznej infrastruktóry.
Niby w jakis posób AV podnosi bezpieczeństwo ZAMKNIETEGO systemu, który komunikuje się tylko ścile okreslonym protokołem z bankiem i nie posiada żadnego IO poza tym kanałem do banku? Na bankomacie nie ma absolutnie żadnej metody na to aby pobrać dane z poza sieci bankowej przeznaczonej dla teo bankomatu. Nie ma IO. Nie ma aktualizacji AV chyba że jakiś idiota wpadł na pomysł aby uwierzyć na słowo że AV im pewnego dnia aktualizacja nie zabije miliona bankomatów. Ogólnie to jest system ReadOnly, niezmienny, statyczny. Można dyskutować nad zdrowiem psychicznym miszcza który tam wstawia systemy do oglądania facebooka, ale trudno, przecież w korpo decyzje nie sa podejmowane przez świadomych tylko przez menagment.
Z faktu że tam jest XP, z faktu że XP na komputerze Kowalskiego ma jakieś problemy z bezpieczeństwem *NIE WYNIKA* że potrzebny jest w bankomacie. Nikt z bankomatu nie wchodzi na jakieś strony, nie odpala podejrzanych execów, nie kopie bitcoinów, nie otwiera portów. Mimo kilku odpowiedzi nie ma ani jednej która pokazuje sens stosowania AV w *BANKOMACIE* za to wszyscy widza sens stosowania na kompie Kowalskiego. No więc jeszcze raz: Co robi AV w BANKOMACIE?
Zaznaczam że ani jeden AV nie wykryje malware targetowanego na konkretną maszynę. Więc nie zabezpiecza on przez hackerami. Musi zabezpieczać przed dziadostwem z internetu. Ale skąd to mialo by wylądować na bankomacie? jak się zaraz dowiem że bankomaty sa wpięte w „normalny” internet z porno to ide jutro wycofać pieniądze z banku.
Re infekcja bankomatu:
zachęcam do poczytania o Stuxnecie, który dość skutecznie zainfekował wirówki w Iranie. Umieszczone w chronionych pomieszczeniach, niepodłączone do jakiejkolwiek zewnętrznej sieci oraz pracujące pod kontrolą dziwnego systemu.
Rany julek, przecież wirówki w Iranie były inferkowane pendrive i w dodatku nie wykrył tego ani jeden AV co tylko potwierdza teze że ten AV w bankmacie to tylko dupochron na wypadek szczekających prawników. Czy widzialeś ostatnio gdzieś bankomat do którego wciska się pendrive? Na skierowany atak nie ma obrony gownianym AV. To się nadaje tylko dla ochrony ludzi oglądających porno, odpalających „faktury od kueriera” itp chlam produkowany masowo i to jeszcze nie najnowszy.
Dalej pytanie: w jaki sposób wirus ma przeniknąc do bankmatu? Naprawdę to jest aż takie dziadostwo że firma która je produkuje w poczuci słusznej paniki robi wszystko żeby ktoś nie chwycił ich za d..ę jak już się mleko wyleje? „Ale, ale, myśmy tu mieli antywirusa, naprawde nie pojmuje jak…”. Skoro nie stosują nawet takich trywializmów jak podpisywanie własnego kodu w sprzęcie („no ale serwisant może podmienić dysk twardy”) i nie stac ich na kilku ludzi ktorzy zaprojektują im customowe BIOSy czy wręcz hardware to naprawde pora gasić światło, na debilizm nie ma rady, pozostaje implementowanie pancernych płyt i modlitwa żeby ktoś pendrive nie wsadzil do dziurki. Łojezusmaria. Co za dziadostwo wylewa się szerokim strumieniem z tej jednej prostej informacji.
Na cholerę tam Windows?
Bo łatwo (czyt. tanio) się programuje.
Kolego Sebo, zdziwiłbyś sie… bardzo ;) jak beztroscy sa właściciele ATM. A bezpieczeństwo kosztuje… X.25 bylo bezpieczne Panie kolego. Zamkniete systemy? Utopia! A po za tym, pisał Ci przedmówca, jak przyjdzie serwisant technik czy informatyk i podłączy zainfekowany nosnik pamięci w celach serwisowych archiwalnych czy diagnostycznych, to AV raczej się przyda … przepraszam, że sprowadzam na ziemię
technik podpinający pendrive znalezionego w dzirce własnego komputera do oglądania porno? Zaczyna się robić coraz ciekawiej. Serio jest aż tak źle? Za chwile dowiem się że w bankomatach uzywa się płyt głownych kupowanych na allegro i komisach w celu redukjci koztów. Co za żenada.
A chociażby po to, aby kontrolować dostęp do podłączanych urządzeń. Zwykle AV dla bankomatów ma rozbudowany moduł kontroli uruchamianych plików pracujący w trybie „default deny” i białą listę plików, które można uruchomić oraz moduł kontroli podłączanych urządzeń – zablokowane wszystkie poza dozwolymi. Jak widać „tradycyjna” ochrona w czasie rzeczywistym może być zbędna, gdyż bez dodania pliku malware’u do białej listy i tak się nie uruchomi (podmiana znanego nie pomoże – sumy kontrolne) a jeszcze trzeba z czegoś go wkopiować a tu tylko jeden dozwolony pendrive.
Czy to wyjaśnia dlaczego naipierw ubija się AV?
Nie, to świadczy tylko o dziadostwie.
Najpierw bierze się dziadowski system operacyjny z masa podatności a nastepnie łata się go wyrafinowanym oprogramowaniem AV. Takie security, Panie, jak to w korpo.
I zonk, nie zadziałało jak ktoś podmienił dysk twardy. Złośliwy by zapytał PO CO tam dysk twardy. Serio nie da się wcisnąc całego softu bankomatowego do pamięci flash bez mozliwości zapisu bez klucza kryptograficznego? Ostatni programiści embedded wymarli? Firmy stawiające bankomaty mają tylko do dyspozycji programatorów JS/PHP? Zrobienie bezpiecznego hardware przekracza możliwości finansowe korpo bo prezesowi zabrakło by na jacht?
Obecnośc AV świadczy o przerażającym dziadostwie. Przekraczającym pojęcie kogokolwiek kto choć przez 5 sekund zastanowi się po co on tam w ogóle jest. Otóż łata dziadostwo hardwareowe i softwareowe. na tyle nieudolnie że jedynym prawiwym powodem są szczekający prawnicy.
Z czasów jak pracowałem w firmie (jeszcze) Wincor Nixdorf to nie przypominam sobie żadnych antywirusów
kara za stosowanie WINDOWSA :)
A skąd Secret Service wiedziało z wyprzedzeniem o atakach?
W opisywanym przypadku wersja Windows ma drugorzędne znaczenie ponieważ nie jest infekowanych sam system operacyjny a za jego pomocą firmware w elektronice bankomatu. Taki bankomat oprócz komputera ma mnóstwo innej elektroniki z procesorami i pamięciami.
@Sebo: W dodatku antywir musi być ciągle aktualizowane, żeby spełniał swoją rolę. A to oznacza tylko jedno – ATM musi łączyć się z infrastrukturą powiązaną z Internetem. Inaczej nie otrzymałby nowych sygnatur. Czyli antywir jest kolejnym elementem obniżającącym bezpieczeństwo.
Nie koniecznie, niektóre systemy AV można łączyć do konsoli centralnego zarządzania i z takiego serwera końcówki pobierają aktualizacje a sam serwer ma dostęp tylko do wybranych adresów serwerów producenta AV.
A to że niby jak jest podłączony bankomat myślicie. Że do wszystkich bankomatów banki tworzą oddzielną infrastrukturę sieciową ? lol
Bankomaty są podłączone to internetu tak samo jak komp Kowalskiego, owszem dalej mogą stosować VPN itp.
Bedzie pewno ze 30 lat jak w powszechnym uzyciu są mechanizmy używania warstwy transportowej internetu bez dostepu do niego z poziomu windowsa. Jestem zdruzgotany informacją że bankomat musi mieć antuwirusa bo jest podpięty do internetu. Dzizas! To nie możliwe żeby producenci tych urządzeń byli aż tak głupi Że wystawiają WinXP wprost do sieci. Powiedzcie mi ze to nie możliwe. Że jest tam choć jedna osoba mającej pojęcie o czymkolwiek z dziedziny bezpieczeństwa. Że to tak naprawdę wina księgowych a nie programistów. Mam wrażenie że reszta programistów/projektantów powinna od dzisiaj nosić papierowe torby na głowie ze wstydu za tych kilku imbecyli od wciskania WinXP wpiętego zywcem do netu w bankomat.
Po pierwsze większość bankomatów (w Polsce) nie jest podpiętych „na żywo” do Internetu. Stosuje się łącza dedykowane GPRS lub (starsze) satelitarne albo łącza VPN jeśli bankomat stoi bardzo blisko siedziby banku a ta ma dedykowane łącze do operatora bankowego (BZWBK, ITCARD itp). Na bankomacie stosuje się owszem Windows xp (w wersji embeeded) bo niestety Windows 7 potrafi bardzo pięknie wyłożyć aplikacje ATM-owe lub co pół roku wysypać się że nie został aktywowany. Po prostu na tych łączach (GPRS, SAT) nie ma dostępu do niczego innego niż do centrum monitoringu i rozliczeń a jak idzie po VPN-ach to ewentualne zabezpieczenie (do przełamania) jest w banku. Oczywiście fizyczny dostęp do bankomatu może umożliwić różne rzeczy… ale nie jest tak łatwo. System operacyjny bankomatu ma różne poziomy dostępu, blokadę portów usb (programową i mechaniczną) poza tym, trzeba z zewnątrz namęczyć się aby dostać do komputera sterującego i mieć opanowane kody serwisowe do zrzutu gotówki. Poza tym jeszcze są zabezpieczenia alarmami, czujkami wstrząsowymi i monitoringiem, więc „praca” 30 minut nad bankomatem z wierceniem może być ciekawa. Łatwiej jest wypłacić pieniądze sklonowaną kartą lub zaczepić bankomat linką i wywieźć zrywając kotwy mocujące. Trwa to szybciej niż wiercenie, lukanie kamerką i macanie penem do usb, instalacja swojego systemu i wypłacanie nim…. no ale ponarzekać każdy może na poziom bezpieczęństwa XP
No to gdzie ta potrzeba posiadania antywirusa na XP w bankomacie?
A widziałeś wszędobylskie reklamy wyświetlane również na ekranach bankomatów? A słyszałeś o złośliwych kodach ukrywanych w takich reklamach? Nadal uważasz, że av w bankomacie jest zbędny?
Stawiam piwo jak znajdziesz jeden bankomat w tym kraju podpięty do internet ?
Nie wiem czy pamietacie serie kradziezy duzych ilosci endoskopow z polskich szpitali. Slady prowadzily do Ameruki Poludniowej.
Nie wiem czy wiecie , że w wielu bankomatach jest XP-k. Miałem okazję niedawno obserwować jak się rebootował .
Bankomaty Ncrv to tragedia!!!!!
Nieważne czy wybierasz 200€,czy 6000€. Wydaje wszystko po 20€!!!!.
Zamiast brać pieniądze pod pachę, musiałam walizkę zabrać, żeby potem Bank ing. Nl mógł mi dać jak człowiekowi po 50€. Od kiedy weszły te bankomaty, to tragedia dla Ing. Zamykam konto,mając je od lat. Znajomi w swoich bankomatach otrzymują normalne wypłaty, z możliwością wyboru nominału. Tutaj w tych śmiesznych nie masz wyboru. Ba….. Przy wybieraniu dziennie po parę euro trzeba parę razy stać i wbijać.
Koszmar.nigdy więcej ING.