Okradanie bankomatu przez usb

[fluid]

Ciekawą metodę hackowania bankomatów zaprezentowano na trwającym właśnie konwencieCCC. Wystarczy bankomat z Windowsem (większość bankomatów pracuje pod kontrolą tego systemu), pendrive z odpowiednim skryptem i sprytne wymuszenie restartu bankomatu.
Klasyczne skimmery i eksplozje bankomatów są nudne
Zazwyczaj słysząc o kolejnym złodziejskim ataku na bankomat, na myśl przychodzą popularne skimmery lub tzw. “metoda na Polaka”, polegająca na wysadzaniu bankomatów w powietrze. Tego typu zdarzenia opisywaliśmy już wielokrotnie na naszych łamach.
Atak, który zaprezentujemy poniżej wnosi pewien powiew świeżości i finezji (choć do kreatywności metody “na widelec” jeszcze mu daleko). Warto również podkreślić, że niniejszy atak nie jest zupełną nowością — już 3 lata temu opisywaliśmy kultowy numer Barnaby Jacka, pozwalający zainstalować rootkit w bankomacie poprzez podpięcie się do portu USB bankomatu. Kiedy jednak Barnaby Jack prezentował swoje odkrycia, z opisywanych przez niego metod nie korzystała wówczas jeszcze żadna grupa przestępcza — teraz sytuacja uległa zmianie. Mało tego, szajka rabusiów jest podobno na tle groźna, że analizujący ich metody badacze, w obawie o swoje zdrowie, nie zdecydowali się na ujawnienie tożsamości (występowali pod pseudonimami tw i sb, ale pokazali się z odkrytymi twarzami na scenie).
Tajemnicze, puste bankomaty
Wszystko zaczęło się, kiedy jeden z banków zaczął otrzymywać coraz więcej doniesień ototalnie wyczyszczonych z gotówki bankomatach. Bankowcy zauważyli, że maszyny na krótko przed wyczyszczeniem na chwilę odpinały się od bankowych systemów monitoringu, ale nie mieli bladego pojęcia jak gotówka znika z bankomatu (logi maszyn były wyczyszczone). Postanowiono więc wzmocnić monitoring CCTV wokół bankomatów i dzięki temu odkryto, że złodzieje korzystają z pendrive’a do infekcji bankomatu złośliwym oprogramowaniem. Jednego z rabusiów złapano na gorącym uczynku, dzięki czemu uzyskano dostęp do zainfekowanego pendrive’a.
Jak przebiega atak na bankomat?
1. Złodziej najpierw wyłamuje kawałek obudowy dokładnie w tym miejscu, w którym znajduje się port USB przeznaczony dla drukarki. (Tak precyzyjne działanie wskazuje na to, że złodzieje najprawdopodobniej posiadali swobodny dostęp do jakiegoś egzemplarza bankomatu, no cóż, wolnostojące potrafią znikać…).
2. Do portu USB podpina pendrive’a, na którym znajduje się popularny system ratunkowy Hirens.
3. Złodziej wymusza restart bankomatu. Można to zrobić albo przez odcięcie zasilania albo przez wyjęcie na chwilę kabla sieciowego.
4. W trakcie restartu, złodziej zmienia kolejność bootowania i wskazuje podpięty przez siebie dysk USB jako dysk startowy. Tu kłania się brak podstawowego hardeningu publicznie dostępnej maszyny. Czyżby firmy obsługujące bankomaty zakładały, że fizyczny dostęp do komputera bankomatu nie jest możliwy?
5. Bankomat jest teraz pod obsługą tzw. mini WinXP i automatycznie startuje skrypt o nazwie …hack.bat.
Badacze początkowo myśleli, że nazwa skryptu jest zbyt oczywista i jest to podpucha, ale życie pokazało, że trop był jak najbardziej poprawny.

Jak wypłacano gotówkę z zainfekowanego bankomatu?
Infekcja bankomatu to dopiero początek — przestępcy ciągle muszą się jakoś dostać do sejfu i znajdujących się w nim kasetek z banknotami. Złośliwe oprogramowanie zgrywa z bankomatu pewne dane (fragmenty rejestru Windows, oraz pliki zawierające informacje dotyczące wykonywanych transakcji kartowych), ale również ur*chamia własny kod służący do obsługi bankomatu i m.in. podmienia ekrany z menu bankomatu
reszta na niebezpiecznik.pl

[apg2312]

Podsumowanie można znaleźć w komentarzu autorstwa qba111

Jakoś wydaje mi się, że tą opowieść między bajki można
włożyć… 1) “Złodziej najpierw wyłamuje kawałek obudowy dokładnie
w tym miejscu, w którym znajduje się port USB przeznaczony dla
drukarki.” – W wielu przypadkach (nie we wszystkich, ale coraz
częściej) komputer znajduje się w sejfie. 2) “Złodziej wymusza
restart bankomatu. Można to zrobić albo przez odcięcie zasilania
albo przez wyjęcie na chwilę kabla sieciowego.” – Zarówno do kabla
zasilającego jak i do sieciowego trzeba mieć dostęp żeby to zrobić.
Kolejna dziurka? 3) “W trakcie restartu, złodziej zmienia kolejność
bootowania i wskazuje podpięty przez siebie dysk USB jako dysk
startowy.” – żeby to zrobić trzeba mieć klawiaturę. Większość
bankomatów jej nie ma, a podłączenie (PS lub USB) jest wyprowadzone
zazwyczaj “z przodu” bankomatu – trzeba “wyjechać facją”. Rozumiem,
że kolejna dziurka Tym razem z przodu 4) “Czyżby firmy
obsługujące bankomaty zakładały, że fizyczny dostęp do komputera
bankomatu nie jest możliwy?” – ależ oczywiście, że nie. W części
komputer jest w sejfie więc powodzenia przy próbie dostępu do
niego. W innych komputer jest poza sejfem jednak w obudowie
skonstruowanej tak, że bez kluczy się nie dostaniemy…. No chyba,
że metodami siłowymi (nie ma śrubek na zewnątrz pozwalających ją
rozkręcić), a wtedy czujki wstrząsowe pewnie dadzą o sobie znać. 5)
“Bankomat jest teraz pod obsługą tzw. mini WinXP i automatycznie
startuje skrypt o nazwie …hack.bat.”…. ta…. tu już w cuda nie
wierzę… I ten system mini WinXP ma zainstalowane w sobie
kilkanaście aplikacji do obsługi dyspensera, menu, komunikacji z
hostem itp itd??? I ten mini WinXP wie, jaki ma mieć IP, na jakich
portach słuchać z jakim hostem bankomatowym gadać itp itd??? A….
byłbym zapomniał…. jeszcze ma “podrobioną” aplikację dostawcy
bankomatu do monitoringu więc nikt nic nie wie tak? Sorki, ale
wyjątkowo grubymi nićmi ta opowieść szyta. W stylu opowieści
dziwnych treści. Wierzę, że można to zrobić mając niezabezpieczony
bankomat w labie, ale nie w naturze. No chyba, że atak przeprowadzi
serwisant bankomatu

[fluid]

ja tam panie nie wiem nie ja to pisalem

przypominam ze to o czym mowa ma miejsce na konwencie zabezpieczen w STANACH i zakladam ze odnosi sie do tamtejszych bankomatow
nie twierdze ze to jest prawda ale skoro mozna zdalnie wlaczyc/wylaczyc nowoczesne samochody to jest to dosc prawdopodobne