Согласно исследованию Eclypsium, ATM-системы используют не слишком новое системное ПО, что подразумевает большое число уязвимостей. Какие существуют основные атаки на ATM-системы, приводящие к незаконному выводу денежных средств, и как обеспечить их информационную безопасность?
Разновидности атак
Прямой диспенс или джекпотинг (cash out) – это разновидность атаки, которая нацелена на POS-терминалы и ATM-устройства. Как можно догадаться из названия, суть атаки заключается в том, что в результате взлома вредоносным ПО или инструментами банкомат начинает выдавать наличные средства.
Скиммер – инструмент (логический или физический), размещающийся на ATM-терминале и копирующий данные PIN-кода для злоумышленников, чтобы далее он мог повторить операции по снятию/переводу денежных средств с проведенных через банкомат кредитных карт.
История
Банкоматные скиммеры проявились в 2009 году. Так, в 2014 году был обнаружен Tyupkin – джекпот-вирус, после которого этот тип атак набрал популярность. В 2015 году была зафиксирована первая атака на ATM-системы из процессингового центра банка. И в 2017-2019 годах объем атак на ATM-системы практически удвоился. Из наиболее ярких представителей вредоносного ПО можно упомянуть WinPot, ATMTest, ATMDtruck, Metel Malware, ATMJackpot, Ploutus, ATMWizX and XFS_DIRECT.
Уязвимости
Исследователи компании Eclypsium, не первый раз занимающиеся анализом драйверов Windows, проанализировали распространенные реализации ATM- и POS-терминалов (далее – ATM-системы) на наличие в них уязвимостей драйверов системы. Надо понимать, что в большинстве ATM в качестве операционной системы используются разновидности ОС Windows, в том числе 7, XP, PE. И если ликвидная часть находится в отдельном защищенном сейфе, то компьютер, использующийся для обработки всех операций, достаточно доступен.
Злоумышленник может получить доступ к I/O портам: сетевым, USB или PCI интерфейсам, или же получить доступ к нему по сети (если используется сетевое подключение банкомата через открытую сеть Интернет). И далее именно через уязвимости в реализации драйверов получить повышение привилегий в системе или доступ к выполнению команд и других вредоносных действий.
Рекомендации по защите ATM-систем
ATM-системы действительно часто используют не слишком новое системное ПО, а организовать регулярное обновление компонент для такого рода объектов достаточно сложно, так как оно может прямым образом повлиять на функцию одновременно множества устройств – а процесс восстановления может оказаться дороже, чем риски потери одного-двух устройств. Но и игнорировать вопросы безопасности с устройствами, напрямую занимающимися финансовыми операциями, нельзя.
В данном вопросе особенно важно проводить тщательный анализ рисков и соблюдать компромисс между безопасностью и непрерывностью бизнес-функции.
Часть рисков можно нивелировать средствами внешней физической защиты и качественного мониторинга (например, камеры, встроенные в стены банкоматы). Также для физической защиты существуют специализированные крепления на базе железных платформ.
Для сетевых подключений не использовать открытые сети, многие провайдеры дают возможность использования разного типа VPN-туннелей (GRE, IPSEC, итд).
Не стоит держать в парке совсем устаревшие устройства, они наиболее подвержены рискам взлома.
Многие решения по защите данных имеют реализации своих функций для ATM, среди них:
-
Антивирусные решения, а также средства контроля приложений и контроля целостности. Для ATM-систем особенно актуален принцип «белого списка», так как использующиеся на них ПО и процессы строго ограничены:
o McAfee Application Control (ex Solidcore),
o Kaspersky Embedded Systems Security,
o Safe'n'Sec TPSecure и др.
-
Средства анализа рисков и векторов атак.
-
Средства анализа кода для ATM приложений.
Таким образом, используя в корпоративной среде средства защиты, в скоуп их действий важно включать и ATM-сеть, а также использовать специализированные решения для защиты систем банкоматов, описанные выше.
Источник:
IKS-Media