Кибератаки на банкоматы:
что учесть и чем защищаться



По данным European Association for Secure Transactions (EAST), занимающихся безопасностью электронных транзакций и банкоматов, количество атак на банкоматы в Европе не снижается. Тенденция подтверждается и Российским центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере «ФинЦЕРТ» Банка России.
Согласно его отчету, атаки, направленные на устройства самообслуживания, отнесены к основным типам фиксируемых атак за первое полугодие 2017 года в кредитных учреждениях.

Илья Орленко
технический директор компании "КОМСЕТ-сервис"
Несмотря на значительное развитие кибератак, направленных непосредственно на платежные сервисы и внутреннюю структуру финансовых учреждений, принципиального смещения фокуса преступной активности в эту сторону не наблюдается. Злоумышленники пока лишь расширяют свой арсенал, не забывая при этом и о старых, проверенных способах мошенничества. Причины этого просты.

Во-первых, стремительное развитие платежных сервисов и применение новых технологий наряду с «запаздыванием» индустрии информационной безопасности в части их защиты, безусловно, привлекает злоумышленников, но одновременно требует высокой компетенции при проведении атак на высокотехнологичные сервисы. С другой стороны, в их арсенале остаются старые, хорошо апробированные способы атак, которые с большей долей вероятности принесут злоумышленникам прибыль при понятных затратах.

Во-вторых, модернизация оборудования и платежной инфраструктуры в целом – процесс небыстрый, многие финансовые учреждения идут на это неохотно. В результате мы до сих пор встречаем на улицах банкоматы под управлением Windows XP и «начинкой» 20-летней давности, с устаревшими интерфейсами и небезопасными протоколами.
Еще одним фактором является снижение затрат кредитных учреждений на охрану банкоматов. Зачастую вся защита сводится к установке видеонаблюдения.
Все это в совокупности приводит к повторным атакам, которые, казалось бы, уже известны, но по-прежнему остаются актуальными.

Основные виды атак

Рассмотрим основные виды атак на банкоматы и попробуем их классифицировать:
- Атака на клиентов, использующих банкомат (скимминг, шимминг, траппинг и т. д.);
- Физическая атака на банкомат (разрушение сейфа, кража всего банкомата, в том числе с использованием тяжелой автотехники, физические атаки на презентер банкомата
и т. д.);
- Логический взлом банкомата. Тут существует достаточно большое количество различных векторов атак, что приводит к невозможности применения традиционных средств защиты, таких как парольная политика, антивирус, механизмы регистрации и аудита и т. д.

Если с первыми двумя вариантами все достаточно тривиально и понятно, то последний хотелось бы рассмотреть подробно и проанализировать все возможные, по мнению автора статьи, вариации таких атак. Именно из-за большого количества различных путей реализации логических атак, легкой масштабируемости, скрытности непосредственных организаторов и высокой прибыли злоумышленников данный вид атак наиболее опасен для банка, хотя по абсолютной популярности он находится на 3-м месте в связи с необходимостью наличия у преступников специальных знаний для его реализации.

Векторы логических атак и традиционные способы защиты

Для того чтобы понять основные векторы атак на банкоматы и их происхождение, вначале рассмотрим специфику конструктива банкомата.

Любой банкомат можно условно поделить на два отсека. Первый – сейф с диспенсером, кассетами и наличностью в них. Второй – технологический отсек, в котором размещено управляющее оборудование, оборудование связи, периферийное оборудование, такое как монитор, клавиатура, картоприемник и чековый принтер. В качестве управляющего оборудования в банкоматах установлен обычный компьютер, как правило, под управлением Windows Embedded, Windows XP или Windows 7 (до сих пор большая редкость!) и специализированным ПО от производителя банкомата. Системный блок связан с периферийным оборудованием и диспенсером через технологическую шину по интерфейсам USB или RS485. Также через сетевое оборудование системный блок связан с сетью банка.
Сверление отверстия для получения доступа к шине данных между системным блоком и диспенсером. Видны два ряда ровных отверстий для получения доступа к шине данных RS 485
Важно отметить, что физически хорошо защищен только первый отсек, где расположен диспенсер с кассетами, а технологический отсек, ввиду отсутствия в нем наличности, практически у всех производителей представляет собой «ящик» из пластика и стали не толще 1 мм. Безопасность же этой конструкции обеспечивает простой механический замок со стандартным ключом для всех банкоматов одной модели (подразумевается, что при установке банк поменяет замки, после чего у каждого устройства будет свой уникальный ключ, но на практике это происходит крайне редко).
Теперь, когда мы знаем, «как устроен» банкомат, можно предположить три основных метода логической атаки:

1. Удаленный доступ к управляющему оборудованию через сеть банка или выходную точку оборудования связи;
2. Локальный доступ к управляющему оборудованию (путем несанкционированного физического подключения);
3. Параллельное подключение управляющего оборудования преступников к шине или же подмена управляющего оборудования.

Одним из громких примеров реализации метода № 1 можно считать использование ПО Cobalt Strike, изначально предназначенного для проведения тестирования на проникновение. По данным ФинЦЕРТа Банка России, Cobalt Strike использовался преступниками как средство для получения удаленного доступа к банкоматам и передачи на них ПО, непосредственно взаимодействующего с XFS-фреймворком (протокол технологической шины) банкомата для выдачи денежных средств (так называемого прямого диспенса).

К этому же методу атак можно отнести атаки путем подмены обновлений для ПО банкомата на сервере обновлений, когда вместе с обновлением (или вместо них) на банкомат отправляется вредоносное ПО, которое в дальнейшем позволяет злоумышленникам с помощью специальной комбинации клавиш заставлять управляющее оборудование отправлять диспенсеру команды на выдачу наличных.

Несмотря на то что метод № 1 сложен (требуется не только высокая квалификация в написании вредоносного ПО, наличие специализированных знаний о работе банкоматов, но еще и преодоление традиционных средств защиты, чтобы попасть внутрь периметра банка), по состоянию на 1 сентября 2017 года ФинЦЕРТу известны по меньшей мере два факта таких атак.
Одним из громких примеров реализации метода No 1 можно считать использование ПО Cobalt Strike
При реализации метода № 2 злоумышленники вскрывают технологический отсек, используя стандартный ключ, или путем взлома замка, получая физический доступ к системному блоку. Далее в ход идут модифицированные инженерные программы, позволяющие провести выдачу наличных денежных средств путем «сервисного тестирования» диспенсера, или, что реже, написанные с нуля программы, которые эксплуатируют особенности XFS. В итоге банкомат выдает преступникам всю хранящуюся в нем на момент атаки наличность. В 2015–2016 гг. это была одна из самых популярных логических атак до тех пор, пока крупные банки не стали устанавливать сигнализацию на открытие технологического отсека. Стоимость установки такой сигнализации начиналась от 20 тыс. рублей за одно устройство, но и это не помогало...

Дело в том, что некоторые группы злоумышленников начали вести элементарный подсчет времени после вскрытия, а особо «технологичные» стали сверлить отверстия в корпусе технологического отсека банкомата, выламывать рекламные панели или выпиливать части корпуса, таким образом, избегая срабатываний сигнализации вообще. Так появился метод № 3 – «параллельное подключение своего управляющего оборудования к шине или подмена управляющего оборудования», получивший название black box.

После просверливания отверстия в корпусе технологического отсека зло-умышленники либо физически «перекоммутировали» шину данных, подключая свое «управляющее оборудование», либо врезались в нее, нарушая целостность оплетки, подключали свое управляющее оборудование параллельно с настоящим и отдавали команды диспенсеру на выдачу наличных, как при обычной транзакции.

Результатами таких атак является потеря всех денег, хранящихся в банкомате, менее чем за 10 минут. А если посчитать количество потерянных денежных средств хотя бы для половины банкоматов, которые могут быть подвержены такой атаке и при этом доступны для свободного посещения, потенциальный ущерб представляется колоссальным.
Модернизация оборудования и платежной инфраструктуры в целом – процесс небыстрый, многие финансовые учреждения идут на это неохотно
Что делать?

Для начала необходимо все же правильно настроить традиционные средства защиты банкомата, которые снизят риск атак методом № 1 и уберегут от ряда менее технологичных атак. Итак, в качестве первоочередных мер необходимо:

- Установить пароль на BIOS и провести настройки порядка источников загрузки операционной системы;
- Настроить использование Dispenser Protection Authentication с уровнем защиты 3 – «Физическая защита выдачи наличных» (применимо не для всех вендоров, параметр может быть сброшен с помощью сервисной программы);
- Отключить все неиспользуемые сетевые протоколы, в том числе и DHCP-протокол;
- На уровне операционной системы заблокировать неиспользуемые/небезопасные сетевые службы;
- Удалить избыточное программное обеспечение;
- Для администрирования и работы программного обеспечения банкомата должны быть созданы разные учетные записи;
- Установить ограничения на доступ к системным файлам и каталогам;
- Настроить механизмы регистрации и аудита в операционной системе;
- По возможности должны проводиться регулярные обновления системного и программного ПО;
- Установить антивирус или средство контроля целостности среды/белые списки;
- Установить систему видеонаблюдения.
Необходимо помнить, что ни одно из этих традиционных средств защиты не спасет от атак методами № 2 и № 3, т. к. все они работают в среде исполнения, физически доступной злоумышленнику. Это же справедливо в отношении любых нестандартных/дополнительных средств защиты, которые размещены в технологическом отсеке или используют среду исполнения банкомата, например, в виде службы или программного обеспечения, установленного на операционной системе. Любому ИТ-специалисту известно, что пароль на BIOS можно сбросить, если есть доступ к материнской плате, пароли администраторов извлекаются даже из самых современных операционных систем, на работу служб или ПО, в том числе и средств защиты, можно оказывать влияние или отключить их вовсе, если среда исполнения находится под контролем.

Для защиты банкомата от атак методами № 2 и № 3 необходимо использование специализированных средств защиты. На рынке существует несколько различных производителей подобных решений. Несмотря на общую функциональность, технические механизмы защиты, как правило, отличаются. Некоторые решения отключают при попытке атаки питание диспенсера, другие разрывают шину данных, где-то решение плотно интегрировано с ПО банкомата, а некоторые выполнены полностью в автономном варианте.
Также немаловажными являются механизмы обнаружения атаки.
Защитное устройство банкомата – ЗУБ-Р
Принципы защиты от логических атак № 2 и № 3

В настоящей статье мы рассмотрим принципы такой защиты, опираясь на свой опыт и продукт компании «КОМСЕТ-сервис» – защитное устройство банкомата – ЗУБ-Р.
Решение позволяет обеспечить защиту от несанкционированного доступа к технологическому отсеку банкомата, что дает возможность не только защитить банкомат от атак методами № 2 и № 3, уберечься от кражи оборудования из банкомата или установки вредоносного ПО на системный блок, но и обеспечить контроль и журналирование обслуживания банкомата.
Устройство ЗУБ-Р устанавливается внутри сейфа банкомата в разрыв информационного канала между диспенсером и управляющим системным блоком банкомата. Для этого стандартный разъем диспенсера подключается к устройству ЗУБ-Р, а дополнительным кабелем осуществляется сопряжение устройства ЗУБ-Р с управляющим системным блоком в технологическом отсеке банкомата. Кабель сопряжения устройства ЗУБ-Р с управляющим системным блоком защищен от попыток его подключения к иным системным блокам/устройствам или врезок в него (при попытках происходит размыкание цепи, дальнейшая работа банкомата возможна только в случае получения команды с центрального сервера управления или с помощью авторизованного ключа доступа).
Рис. 1. Схема подключения устройства ЗУБ-Р в банкомате
Порт Ethernet устройства ЗУБ-Р подключается к имеющемуся в банкомате маршрутизатору для организации канала передачи данных с центральным сервером управления системы. Трафик между устройством ЗУБ-Р и центральным сервером управления шифруется «end-to-end» шифрованием и подписывается согласно протоколу TLS 1.2 (AES 128, ECDHE RSA 256).
Устройство считывания ключей и датчики открытия размещаются внутри технологического отсека банкомата.
Общая схема подключения устройства в банкомате приведена на рис. 1.
При открывании технологического отсека банкомата происходит срабатывание датчиков открытия, в результате которого устройство ЗУБ-Р переходит в режим фиксации. В этом режиме в течение настроенного интервала времени (обычно 30 сек.) необходимо приложить носитель идентификационного ключа Touch Memory (iButton) или Proximity карты стандарта ISO 14443 к считывателю, размещенному внутри технологического отсека банкомата. Если этого не случилось, происходит разрыв информационного канала между управляющим системным блоком и диспенсером. Дальнейшее его восстановление без носителя идентификационного ключа возможно только по команде администратора центрального сервера системы. Если же носитель приложен и ключ идентифицирован, канал не разрывается.
Кроме контроля срабатывания датчиков открытия устройство ЗУБ-Р контролирует разрыв или повреждение кабеля между управляющим системным блоком банкомата и самим устройством ЗУБ-Р (размещенным в сейфе банкомата) для исключения возможности подключения к кабелю, ведущему к диспенсеру, иного устройства в обход датчиков открытия.
При этом все события – открывание/закрытие технологического отсека, прикладывание носителя к считывателю, результат идентификации ключа, изменение состояния реле блокировки информационного канала, разрыв кабеля, получение команд с централизованного сервера – фиксируются в журнале событий с привязкой к точному времени и передаются на централизованный сервер управления.
Общая схема взаимодействия компонент системы представлена на рис. 2.

При взаимодействии устройства ЗУБ-Р с центральным сервером инициатором соединения является агентское ПО (SZI-agent), установленное на устройстве. Входящие соединения к устройству запрещены встроенным межсетевым экраном для исключения попыток сетевых атак на само устройство. Для установления соединения с централизованным сервером используется связка Faye/Node.js, которая, в свою очередь, использует протокол Websocket в режиме TLS. Соединение устанавливается по заданному URL сервера. При установлении соединения производится проверка подлинности сертификата сервера (на устройстве хранится сертификат доверенного центра сертификации). Если сертификат сервера не проходит проверку, соединение не устанавливается. Таким образом устройство ЗУБ-Р удостоверяется, что оно подключено к подлинному центральному серверу и не будет получать команды от поддельного сервера.

В случае разрыва канала связи с сервером устройство продолжит автономную работу без возможности удаленного управления и мониторинга и будет ожидать появления канала связи для автоматической установки соединения с сервером и проверки его подлинности. Факт исчезновения связи с устройством фиксируется в журнале регистрации событий сервера и отображается на центральной консоли мониторинга.

Централизованный сервер управления включает в себя следующие функции:

- мониторинг состояния устройств;
- управление состоянием устройств (разрыв/восстановление соединения цепи);
- заведение новых устройств и их разделение по группам;
- управление ключами на устройствах;
- централизованный сбор журналов регистрации событий с устройств.

Для выполнения функций мониторинга и администрирования на сервере управления создаются учетные записи, которым присваивается одна из основных ролей доступа. Аутентификация пользователей осуществляется по логину и паролю. В стандартной поставке в системе присутствуют две роли — «оператор» с правом просмотра событий и мониторинга устройств и «администратор» с правом управлять устройствами и ключами доступа.

Доступ к пользовательскому интерфейсу осуществляется по протоколу https с применением шифрования по протоколу TLS 1.2 (AES-128, ECDHE RSA 256).
Для управления состоянием информационного канала носителями идентификационных ключей для доступа к банкоматам и пользователями центрального сервера администратору доступны дополнительные функции в интерфейсе управления. Последние позволяют удалять/добавлять идентификаторы ключей доступа к банкомату (до 10 штук на один банкомат), смыкать/размыкать информационный канал между диспенсером и управляющим системным блоком банкомата, удалять/создавать/сбрасывать пароли пользователей системы.

Все события, выполняемые на централизованном сервере управления, фиксируются во внутреннем журнале регистрации событий сервера, который (так же, как и журналы событий с устройств) может быть отправлен системой на централизованный лог-сервер или SIEM-решение (например, HP Arcsight) по syslog либо через flex-коннекторы.
ЗУБ-Р от компании «КОМСЕТ-сервис» позволяет минимизировать риски логических атак на банкоматы
Преимущества решения на базе устройства
ЗУБ-Р


В заключение резюмируем основные преимущества ЗУБ-Р и его ключевые возможности в плане предотвращения логических атак на банкоматы.

1. Архитектура – устройство ЗУБ-Р полностью автономное и самодостаточное. Не требует установки дополнительных программных агентов на банкомат, что исключает:

- архитектурную уязвимость аналогичных решений в виде возможной атаки на управляющий агент средства защиты, размещенный на физически доступном для злоумышленника системном блоке банкомата.
- дополнительную нагрузку на системные ресурсы банкомата.

2. Соответствие требованиям – решение разработано с учетом требований международных платежных систем по безопасности. Не требует применения дополнительных средств защиты для обеспечения собственной безопасности.
3. Разработка и производство – Россия.
4. Совместимость и мультивендорность – поддержка любых интерфейсов диспенсеров и малые габариты позволяют применять решение на любой модели банкомата любого вендора.
5. Журналирование событий – развитая система журналирования событий и интеграция с SIEM-решениями различных производителей.
6. Централизованное управление – возможность управления всеми устройствами из одной консоли с гибким разделением полномочий.
7. Поддержка и доработка – быстрая доработка программного и аппаратного обеспечения под требования заказчика.

Все перечисленные моменты позволяют утверждать, что защитное устройство банкомата ЗУБ-Р от компании «КОМСЕТ-сервис» позволяет минимизировать риски логических атак на банкоматы и, соответственно, сократить потери банка от такого рода преступлений, одновременно снизив сумму страховки денежной наличности в устройствах банковского самообслуживания.

Задать вопрос компании
Илья Орленко
«КОМСЕТ-сервис»
+7 495 921 2917 orlenko@komset.ru
1721