Немного о BlackBox
По немногочисленных просьбам расскажу об одной из атак на банкоматы. Оговорюсь сразу, эта тема мне не слишком близка, в работе я соприкасаюсь только с результатом хищения.
Итак, такой способ хищения денежных средств как BlackBox известен российскому банковскому сообществу с 2015 года, хотя первые попытки взлома отмечены 2010 годом.
Само название Black Box пришло из фрикинга, когда во второй половине 20 века было популярно подключение к телефонной сети различных устройств, чаще всего с целью совершения бесплатных звонков — так называемый боксинг (Phreaking boxes). Фрикеры разработали десятки устройств с разным функционалом, которые называли Blue Box, Black Box и т.д. Естественно устройство не обязательно имело тот цвет, который указан, просто каждому цвету в наименовании соответствовал свой функционал.
Зачем придумывать что-то новое, если есть хорошо (не) забытое старое. Для осуществления затеянного, злоумышленникам всего лишь нужно попасть в сервисную зону банкомата, открыв переднюю панель доступным способом и подключить своё устройство к диспенсеру.
Таким образом, атакующие обходят любые меры по обеспечению безопасности, реализованные на хосте, – антивирусы, средства контроля целостности, включая полное шифрование диска и т.д. У взломщиков свой хост с блекбжэком и ...ну вы поняли.
Затем, к банкомату подходит "клиент" и снимает большое количество денег. Конечно же, после опустошения банкомата злоумышленники убирают все следы преступления, иначе банки бы уже давно придумали 100% методы борьбы с этой заразой. Хотя, знаю, что LAN ATM Сервис предлагает Программно-аппаратный комплекс ATMdefender для борьбы с BlackBox. Вкратце, это штука которая позволяет удалённо контролировать доступ в сервисную зону банкомата, отключать диспенсер, включать сирену и видеозапись, писать логи входа в режим супервизора, мониторить датчики открытия двери и прочее. Думаю, что Ланит не единственные, кто вывел в продажу такой продукт.
Из своей практики могу добавить, что какие-то устройства умеют тестировать кассеты на номинал, находящихся в них банкнот. При пересчёте кассет выглядит это примерно так: в 100 кассете не хватает 1 купюры, в 500 - 3 купюр, в 5000 - всех купюр.
Как это примерно происходит, по версии Лаборатории Касперского (к сожалению, живых видео хищения в общем доступе не найти):
А теперь немного о DrillBox.
В октябре 2016 года зампред Сбербанка Станислав Кузнецов поведил широкой общественности, цитирую:
«Тенденция появилась буквально четыре-пять месяцев назад, нового преступления, называется drilled box, когда просверливается дырочка в банкомате — в определенных видах банкомата, определенной марки, мы все их знаем — и подключается шина и [с помощью] этой шины выкачиваются мгновенно деньги».
(Конечно же баянометр ругается на картинку).
Сдаётся мне, имеет место несостыковка терминов. По факту, BlackBox и DrillBox - одно и то же.
По словам Андрея Пастухова, генерального директора IT-компании «Ансер Про», которая занимается производством электроники для защиты банкоматов речь идет о банкоматах, производимых компанией NCR.
«По подтвержденным данным, которые у нас имеются, речь идет о старых моделях [NCR], на которые установлена SDC-шина», — говорит он. Это, по сути, разъем, подключившись к которому, взломщик может с помощью своей программы дать команду банкомату выдать деньги. По словам Пастухова, случаи успешных атак были зафиксированы специалистами компании во время выездов на место преступления.
На сайте компании «Ансер Про» есть схема, на которой показан вариант такой атаки. Тык (по ссылке интересно). Злоумышленники осуществляют ее с помощью мини-компьютера со шлейфом проводов для подключения к банкомату. Этот мини-компьютер специалисты по безопасности называют Black Box. Поэтому Пастухов удивляется термину «drilled box», озвученному зампредом Сбербанка. При помощи сверла злоумышленник получает доступ к шине управления периферийными устройствами банкомата, в том числе диспенсером — устройством, которое управляет выдачей наличных. По словам Пастухова, отверстие чаще делают рядом с клавиатурой банкомата, на которой пользователи обычно вводят PIN-код. В этом месте легче вытащить разъем и подключить к Black Box, объясняет он. (На Пастухова честная ссылка на РБК http://www.rbc.ru/finances/20/10/2016/5807b6919a79477b212afee7).
Ну вот вроде и всё. Дополнения и критику в студию!