Сигурност

Уязвимите драйвери могат да доведат до хакерски атаки срещу банкомати и POS системи

Робърт Христов

Банкоматите и системите за продажба (POS) са цел на много киберпрестъпници през последните няколко години, което води и до едни от най-големите обири в историята. Въпреки че нападателите имат различни начини да нахлуят в тези машини, сега изследователи предупреждават, че уязвимостта в драйверите, които всички те имат, може да даде възможност за по-трайни зловредни атаки.

Изследователи от Eclypsium, компания специализирана в защитата на устройствата, са оценили сигурността на драйверите. През последната година техният изследователски проект, наречен Screwed Drivers, идентифицира уязвимостите и недостатъците на дизайна в над 40 драйвера за Windows от поне 20 различни доставчици на хардуер, изтъквайки широко разпространените проблеми. Изпробвани са и възможностите на програмите, позволяващи на приложенията да разговорят с хардуерните компоненти на системата.

Повечето хора мислят за Windows в контекста на сървъри, работни станции и лаптопи, но това не са единствените видове устройства, които управляват операционната система на Microsoft. Windows също е широко разпространен в света на банкоматите, POS терминалите, киоските за самообслужване, медицинските системи и други видове специализирана техника. По принцип тези устройства са по-трудни за актуализиране, тъй като се използват в регулирани индустрии и среди, така че актуализациите трябва да преминат строги тестове и сертифициране. Оставянето им офлайн за продължителни периоди от време може да доведе до смущения в бизнеса и финансови загуби.

Атаките срещу банкомати могат да приемат много форми, заявяват изследователите от Eclypsium в своя доклад. "Атакуващите могат да доставят злонамерен софтуер, като компрометират банковата мрежа, свързана с устройството или връзката на устройството с процесорите на карти, дори като получат достъп до вътрешния компютър на банкомата. Подобно на традиционните атаки, нападателите или злонамереният софтуер трябва да получат привилегии над устройството-жертва. Това е мястото, където използването на злонамерени или уязвими драйвери влиза в играта.

1.Уязвимост в драйвера за банкомат Diebold Nixdorf

Като част от своя изследователски проект, анализаторите от Eclypsium откриват уязвимост в драйвера, използван в модела на банкомат, изработен от Diebold Nixdorf, един от най-големите производители на устройства за банковия и търговския сектор. Драйверът позволява на приложенията да имат достъп до различните портове x86 I / O на такава система.

Банкоматите по същество са компютри със специализирани периферни устройства като четец на карти, подложка за ПИН, мрежови интерфейси и касети за пари, които са свързани чрез различни комуникационни портове. Чрез получаване на достъп до I / O портовете на уязвимия драйвер, атакуващият потенциално може да чете данни, обменяни между централния компютър на банкомата и PCI свързаните устройства.

Освен това този драйвер може да се използва за актуализиране на BIOS, защитната програма за сигурност, която се стартира преди операционната система и инициализира хардуерните компоненти. Използвайки тази функционалност, атакуващият може да разгърне BIOS rootkit, който да оцелее при преинсталации на ОС, а това да доведе до успешна атака.

Според Eclypsium, уязвимостта не е използвана при нито една атака в реалния свят, но въз основа на дискусиите им с Diebold, те смятат, че същият драйвер се използва и в други модели ATM, както и в POS системите. Diebold работи интензивно с изследователите за справяне с потенциалната опасност и пусна обновяващи пачове по-рано тази година.

"Това е само върхът на айсберга по отношение на това на какво са способни злонамерените хакери", коментират изследователите. "Нашите предишни изследвания откриха драйвери, които освен произволен I / O достъп, също имат възможност за четене / запис в паметта, специфични за модела, регистри за отстраняване на грешки и контрол, както и произволен достъп до PCI. Тези възможности в уязвимия драйвер биха могли да окажат пагубно въздействие върху ATM или POS устройства. Като се има предвид, че много от драйверите на тези устройства не са внимателно анализирани, има вероятност да съдържат още неоткрити уязвимости. "

2. Потенциалът за злоупотреба

Има групи за киберпрестъпления като Carbanak, които са специализирани в пробивите във финансови институции и пробиви в сигурността на банкомати. Тези групи са методични и търпеливи и могат да прекарат месеци в мрежите, докато не научат работните процеси на жертвата и начина на функциониране на техните системи. Когато най-накрая решат да осъществят кражба, те изпращат "мулета" за парите, за да си гарантират сигурност.

Друга група, известна като FIN7, която също е свързана с Carbanak, е специализирана в хакване на POS системи и компаниите от сектора на хотелиерството и търговията на дребно, за да бъдат откраднати данните на разплащателните карти. Наскоро групата е засечена да изпраща USB-та със злонамерен софтуер към своите цели чрез обикновена поща, под прикритието на подаръчни карти Best Buy.

Уязвимостите в драйвери като този, открит от Eclypsium, не предоставят на хакерите първоначален достъп до системата, но могат да бъдат използвани за сканиране и извличане на друга информация. Както многократно е демонстрирано от Carbanak, FIN7 и други групи за киберпрестъпления, получаването на достъп до мрежи и системи не е толкова трудно и може да се извърши по много различни начини.

"След като откриете уязвимост, с която да влезете в компютъра на банкомат, можете да я използвате, за да получите достъп до някои под-интерфейси, които биха ви позволили да правите още по-интересни неща", казва Джеси Майкъл, главен изследовател в Eclypsium пред CSO.

Скриването на злонамерен софтуер в BIOS и възможността да "преживее" преинсталирането на OS може да се окаже много полезно за някои от тези напреднали киберпрестъпни групи, защото това означава, че те могат да изцеждат целите си многократно. Възможни са и по-разрушителни атаки, които да не позволяват на устройствата да стартират. "Този драйвер разговаря с SPI контролера на чипсета, за да инсталира актуализации на BIOS, така че ако искате да изключите системата, за да не се зарежда изобщо, можете просто да напишете глупости в блока за зареждане", казва Майкъл.

3. Примерни пробиви

Атаки като Shamoon, която удари Саудит Арамко през 2012 г., или нападението срещу Sony Pictures през 2014 г., което се приписва на Северна Корея, чиято цел беше да наруши нормалните бизнес операции, не са рядкост. Подобни криминални актове могат да бъдат използвани за манипулиране на цената на акциите на компанията и печалбата от нея.

Редица атаки с Ransomware в миналото пък криптираха основния запис за зареждане на компютрите, оставяйки ги неизползваеми, докато жертвите не платят поискания откуп. Възстановяването от атака от този тип изисква ръчна намеса, а в случаи на банкомати, които могат да бъдат географски разпръснати, това означава значително прекъсване на системата. В контекста на POS системите, това означава и финансова загуба, ако всички терминали в магазин или няколко магазина изведнъж престанат да работят.

4. Заключение

Изследванията на Eclypsium подчертават липсата на сигурност при проектирането на драйвери за устройства, тъй като повечето открити проблеми са архитектурни недостатъци, а не уязвимости в кода. Според Джеси Майкъл тези проблеми обикновено са резултат от грешки на разработчиците, изпълняващи дадена бизнес потребност, като например способността на приложението да разговаря с хардуерен компонент.

"Повечето от тези случаи са примери за това, че някой наистина не мисли за последствията от злоупотребата с дадена функция. Въпросната функция може да е полезна за тяхната конкретна задача, но те не мислят дали тя може да бъде използвана и злонамерено", обощава той.

X