25.10.2016

Аналитика от PBF Group. Атаки типа Black Box на устройства финансового самообслуживания.


Метод хищения денежных средств на АТМ путем прямого диспенса (Black Box)

Данный метод основан на перехвате управления контроллером диспенсера УС (Устройство самообслуживания) по средству подключения к шине данных программно-аппаратного комплекса имитирующего функции управляющего системного блока УС. Исследуемый вид атаки основан на одном из уязвимых элементов системы, а именно, физическом интерфейсе передачи данных между системным блоком и модулем выдачи банкнот. На настоящий момент, основной целью злоумышленников стали УС производства компании NCR, семейства Personas, выпускавшиеся с 1997 по 2008 год и широко используемые в настоящее время по всему миру.

Для осуществления взаимодействия модулей банкомата в поколении Personas используется интерфейс RS485 (Рис. 1)


Принцип работы интерфейса заключается в последовательном подключении всех контролируемых устройств к одной линии связи и объединении их в «общую шину». Особенностью данного вида связи является наличие, в один момент времени, единственного контролирующего устройства (Master), в роли которого в составе УС выступает системный блок. Master передает служебные команды остальным модулям банкомата, подключенным к общей шине, в том числе и команду выдачи банкнот диспенсеру. При совершении атаки, злоумышленники получают доступ к наиболее открытому участку общей шины и подключают Black Box к линии связи RS485. Само устройство обладает схожими с системным блоком функциями, однако при подключении такого устройства к шине, возникает конфликт двух Master ролей в системе. Для решения этой проблемы, возникает необходимость отключения основного Master устройства (ПК УС) от общей шины.

Методы отключения основного Master устройства от шины данных различны и характеризуются особенностью строения атакуемого УС. На Рис. 2 и Рис. 3 показаны несколько типов подключения Black Box устройств на примере банкомата NCR Personas 5877.

Рис. 2 Удаление основного Master устройства из системы путем физического
среза кабеля шины от общей линии. (NCR Personas 5877)


Рис. 3 Удаление основного Master устройства из системы, путем
отключения питания системного блока УС (NCR Personas 5877)

В результате отключения основного Master устройства от общей шины данных УС появляется возможность беспрепятственного включения Black Box в линию (Рис. 4), что в свою очередь позволяет дать команду выдачи денежных средств на контроллер диспенсера.


Аппаратные устройства защиты, доступные на рынке, позволяющие контролировать целостность общей шины данных УС и блокировать атаку на этапе отсечения системного блока, не позволяют в полной мере гарантировать безопасное функционирование УС, так как новые методы взлома исключают необходимость нарушения целостности путем обреза линии связи. Все чаще описываются случаи осуществления хищения денежных средств при помощи подключения устройства Black Box к шине передачи данных УС без нарушения целостности кабеля (Рис. 5) обратите внимание, на фотографии четко видны два ряда ровных отверстий, для получения доступа к шине данных злоумышленники использовали контактные ножки-резцы стандартного коннектора RS 485, данный способ позволяет обойти устройства защиты, алгоритм работы которых, основан на контроле целостности кабельной системы шины данных.



Описываемый тип атаки, стал возможным благодаря особенности интерфейса RS485. Как и большинство линий связи, кабель в таком интерфейсе состоит из нескольких проводников, два из которых информационные, то есть физически передача тех, или иных команд осуществляется путем передачи тока по двум проводам, подключившись к которым, можно подать свой сигнал на определенное устройство. В своем первоначальном варианте интерфейс RS 485 устроен по схеме: один мастер, несколько подчиняющихся устройств, что не позволяет действовать одновременно двум передающим устройствам в одной шине. Однако, параметры интерфейса можно перенастроить и организовать другой тип - децентрализованный (многомастерный), при таком виде подключения параметр «главенствующего» устройства можно передавать другому объекту в общей шине. Такой принцип обеспечивает возможность подключения к шине данных без отключения основного мастера, то есть ПК УС.


«Прямой диспенс» USB

В последних поколениях УС, практически все вендоры банкоматного оборудования используют единый интерфейс передачи данных между модулями - USB. Технология взлома подобного интерфейса, основана на внедрении устройства Black Box в кабель USB на участке между ПК и устройством выдачи банкнот. Комплект Black Box состоит из нескольких приборов: Первое - это основное устройство передачи команд, оно подключается взамен ПК и передает соответствующие команды диспенсеру. Второе устройство – «Заглушка» подключается к системному блоку взамен диспенсера и эмулирует его работу, что позволяет обмануть систему и оставить банкомат в режиме «In Service». Основное устройство предусматривает удаленное управление, то есть после установки подобного комплекта, появляется возможность, спустя некоторое время, произвести подачу команды на выдачу денежных средств, не привлекая постороннего внимания.


Рекомендации PBF Group:

·         Защитное экранирование наиболее уязвимых областей лицевой панели УС

·         Защитное экранирование жил кабеля шины данных и анализ его целостности

·         Унификация цвета и диаметра жил шины данных RS 485 (SDC)

·         Контроль отключения и разрыва USB кабеля

·         Шифрование данных

·         СКУД АТМ

Решения PBF Group для защиты УС от Black Box атак:

Система контроля SDC-шины / USB - http://pbfgroup.ru/solutions/sistema-kontrolya-sdc-shiny-usb/

Новая разработанная компанией PBF Group система контроля SDC шины/USB позволяет эффективно противодействовать всем известным типам Black Box атак на АТМ. Решение позволяет детектировать повреждение и нештатное отключение SDC-шины/USB и блокировать команды к диспенсеру. Система контроля SDC шины/USB монтируется непосредственно в сейф защищаемого АТМ, и кроме того имеет встроенный элемент питания, что позволяет обеспечит наивысший уровень защиты.

СКУД АТМ - http://pbfgroup.ru/solutions/stopskimmer-controller-atm-advanced-standart/

Система предназначена для защиты верхнего кабинета ATM от несанкционированного доступа в сервисную часть банкомата посторонних лиц и предотвращения актов вандализма. Решение включает в себя систему контроля и ограничения доступа с возможностью удаленного мониторинга и управления.

ПО мониторинга и централизованного управления - http://pbfgroup.ru/services/programmnye-produkty/

SPRUT2- программный комплекс, представляющий возможности единого контроля, администрирования и управления инновационными системами безопасности PBF GROUP.



Все новости