» »

Napadi na bankomate z USB-ključi še vedno aktualni

Napadi na bankomate z USB-ključi še vedno aktualni

Slo-Tech - Strokovnjaki na nemški konferenci CCC (Chaos Communication Congress) so predstavili metodo ropanja bankomatov z okuženimi USB-ključi, ki je kljub precej dolgi bradi še vedno popularna in dobičkonosna. Ker mnogo bankomatov še vedno poganja Windows XP, za robustno zunanjostjo pa se skriva običajen računalnik, ki ima tudi USB-vhode, napadi niso presenetljivi.

Napadalci v zunanje ohišje izvrtajo luknjo, skozi katero pridobijo dostop do USB-vhoda v računalniku. Vanj priključijo USB-ključ s posebej pripravljeno zlonamerno programsko opremo, nato pa poškodovani del ohišja zamenjajo, tako da se manipulacije ne opazi. Če je bankomat nastavljen tako, da se zažene z USB-ključa, bo ta ob ponovnem zagonu na disk namestil malware in nato nadaljeval zagon običajnega operacijskega sistema in vmesnika.

Tako okužen bankomat normalno obratuje in strankam izplačuje denar, tako da nihče ne opazi nič neobičajnega. Ko pa ga bančni uslužbenci ponovno do vrha napolnijo z denarjem, so napadalci pripravljeni na svoj poseg. Z vnosom skrivne kode prek številčnice aktivirajo malware in odprejo meni, v katerem izberejo, katere bankovce naj jim bankomat izvrže. Po operaciji se program poizkusi zbrisati in za seboj zakriti vse sledi, a mu to v celoti ni uspelo. Tako sta tudi strokovnjaka na CCC dobila sliko okuženega bankomata z nalogo, da razvijata podobnega črva.

Ni podatkov, kako razširjen je ta napad v zadnjem času. Raziskovalca pa pravita, da so napad pripravili ljudje z odličnim poznavanjem delovanja bankomatov, ki so v projekt investirali veliko sredstev in časa. Koda je vzorno in jedrnato napisana, celoten postopek pa je tako dovršen, da mora napadalec za dvig vpisati drugo kodo, ki mu jo na podlagi na zaslonu izpisane številke prek telefona posreduje drugi član tolpe. Očitno je v njej vladalo nezaupanje oziroma so želeli preprečiti, da bi jo kdo popihal s plenom kar sam.

Tovrstni, mogoče ne ravno identični, vsekakor pa sorodni napadi se dogajajo že nekaj let (predavanje na konferenci Black Hat 2010) a številni bankomati še vedno poganjajo zastareli operacijski sistem z osnovnimi nastavitvami brez dodatne zaščite.

49 komentarjev

japol ::

Kje zvrtajo to luknjo? Kako potem nastavijo novo masko? A nimajo povsod kamer nad bankomati?

m0LN4r ::

Jaz ne zastopim, kako lahko vdirajo v te bankomate na tak primitiven način. Sem spadajo tudi tisti z fake paneli, kot je bil tut v slo v mb oz. mogoče še kje.
Banka pa posluje z miljardami, zaščita pa očitno na zadnjem mestu.
https://www.youtube.com/user/m0LN4r

bsaksida ::

japol je izjavil:

Kje zvrtajo to luknjo? Kako potem nastavijo novo masko? A nimajo povsod kamer nad bankomati?


Kamere ti ne pomagajo, če napada ne odkrijejo pravočasno. Posnetke se hranijo na snemalni enoti nekaj časa potem se avtomatsko brišejo da se naredi prostor za nove posnetke. Zlikavci lahko počakajo preden kradejo dober mesec ali dva. Naredijo ponoči in pa še kapuco dajo gor, pa se ne bo nič vidlo.

fosil ::

No saj pri tovrstnem napadu, ti tudi najnovejši OS ne bo nič pomagal.
Tako je!

LightBit ::

Samo autorun mora biti izklopljen, kar je privzeto pri Visti in novejših Windowsih.

hojnikb ::

LightBit je izjavil:

Samo autorun mora biti izklopljen, kar je privzeto pri Visti in novejših Windowsih.

Nope
#brezpodpisa

WarpedGone ::

A nimajo povsod kamer nad bankomati?

Varnostna lekcija številka 1: kamera je vredna točno tolk, kot je ljudi ki tisti posnetek tudi gleda.
En človek je sposoben spremljat in dojemat posnetke morda 9 kamer - če seveda ravno takrat ne gleda TV, bere knjige/časopisa, sedi na WC, je na obhodu, ...

Glede na število nadzornih kamer bi moral biti poklic 'opazovalec videoposnetkov' najbol množičen poklic.
A poznaš kazga kolega ki celo službo samo gleda posnetke? Js tut ne.

Pod črto: kamera je pesek v oči 'naivnežem'. Je tam, da daje videz nadzora. Če se jih ne ustrašiš, maš dobre šanse da ne bo posledic.
Zbogom in hvala za vse ribe

LightBit ::

hojnikb je izjavil:

LightBit je izjavil:

Samo autorun mora biti izklopljen, kar je privzeto pri Visti in novejših Windowsih.

Nope

No ja, ampak to je veliko težje. Problem je, da Windowsi avtomatsko "mountajo".

crniangeo ::

Kako pa vejo kje je škatla , kje je režica za usb itd it ? ker sam nimam ideje ker tudi bankomata nisem vidu od notri :)
Convictions are more dangerous foes of truth than lies.

WarpedGone ::

Za vse kar se izdeluje in prodaja obstajajo načrti. Treba jih je samo najt.
Zbogom in hvala za vse ribe

technolog ::

Ukraden denar bi blo treba odbit z bančnega računa titemu bedaku...

..., ki je mislil, da je imet Windows na bankomatu pametna ideja.

antonija ::

Ne vem ce so glih windowsi problem tukaj... Komot se jih da nastavit da se bootajo iz diska in pustijo USBje pri miru. Lahko tudi ugasnes USBje ce jih ne rabis (bankomat jih vecinoma ne rabi, vzdrzevalci jih bojo pa ze znali usposobit ce jih bojo rabili). Lahko pa tud skatlo fizicno obrnes za 180 stopinj, pa se spet ne bo dalo vtaknit USB kljuca not. Windowsi so tle se najmanjsi problem (so pa se vedno problem >:D).
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Discomm ::

Tole je malo nakladanja za tiste,ki še niso videli bankomata od znotraj.Vsi bankomati,ki gledajo na cesto skozi steno imajo dostop od zadaj....torej tudi dostop do računalnika.Se pravi,če zvrtaš kakšno luknjo v sprednji del bankomata,ne dosežeš nič....mogoče samo sprožiš alarm za tresljaje,če si nepazljiv.Pri starih bankomatih je večina računalnikov montiranih v sam sef za dodatno varnost,torej sploh ni neoviranega dostopa,če vrata sefa niso odprta.
Bankomati,ki imajo dostop s sprednje strani,pa so montirani v bankah,trgovinah,poštah,itd....torej moraš najprej vlomiti v objekt (ki je že sam varovan),da boš potem vrtal še po bankomatu :-)
Windowsi pa morajo biti,saj je bil predhodni OS/2 SW zastarel in od 1996 brez pravih nadgradenj in IBM podpore.

dexterboy ::

O tem, koliko se vlaga v zaščito bankomatov, oz. koliko vlagajo banke v zaščito IT sistemov, govori podatek, da se še danes, tako rekoč v letu 2014, promet iz bankomatov kopira za potrebe kontrole na floppy diskete, 1,4 mega kapacitete.
Da.
Prav ste prebrali.
Res, da ni to povsod, ampak še vedno je kar nekaj teh bankomatov...
Ima še kdo kje kakšno delujočo floppy enoto? Ker smo pri nas že imeli veselico na ta račun... 8-)
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

antonija ::

Jaz imam dva tamala floppyja nekje, sam ne vem ce se delujeta :)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

xxx ::

Ma spet smo pametni. Ni problem sploh v windowsih, tole bi delovalo kjerkoli, če je bios boot iz usbja nastavljen, gre lahko MBR malware prijazno preusmeri bios interupte (keyboard je bil ce se prav spomnih 9h) nase in potem ima kontrolo nas računalnikom, vse kar mu ostane je da pozene MBR na boot disku (ali ga celo povozi s svojim, orginalnega pa premakne na nek neuporabljen sektor, tipicno se ga je markiralo za bad) in to je to. Stare (res stare) fore iz casov boot sector virusov, v novi preobleki. Ni zaščite pred tem (razen izklop bootanja preko USBja ali signed MBRja, kjer bios preveri podpis), malware je zagnan pred OSom in lahko ob poznavanju OSa (natancne verzije) ki tece popatcha tudi kernel. Windows, Linux ali pa OSx.
Pa pa...

Zgodovina sprememb…

  • spremenilo: xxx ()

xangxang ::

ta "druga koda" oz. kvazi "dual factor authentication" je verjetno tam za to, da se USB ključki nebi kopirali prosto po prešernu ;)

mtosev ::

lol a se še win xp uporablja? sn že mislo, da smo že v letu 2014
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • predlagalo izbris: black ice ()

mtosev ::

btw nekateri ATMji uporabljajo še os/2
a so tile bankomati varni pred tem hackom? just wondering

os/2 usb support yes/no?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

darkolord ::

Problem je, da Windowsi avtomatsko "mountajo".
Seveda se da to izklopiti...

FireSnake ::

WarpedGone je izjavil:

A nimajo povsod kamer nad bankomati?

Varnostna lekcija številka 1: kamera je vredna točno tolk, kot je ljudi ki tisti posnetek tudi gleda.
En človek je sposoben spremljat in dojemat posnetke morda 9 kamer - če seveda ravno takrat ne gleda TV, bere knjige/časopisa, sedi na WC, je na obhodu, ...

Glede na število nadzornih kamer bi moral biti poklic 'opazovalec videoposnetkov' najbol množičen poklic.
A poznaš kazga kolega ki celo službo samo gleda posnetke? Js tut ne.

Pod črto: kamera je pesek v oči 'naivnežem'. Je tam, da daje videz nadzora. Če se jih ne ustrašiš, maš dobre šanse da ne bo posledic.



Se še kako strinjam.

Res primitivno od banke.
Prvič XPji, drugič pa USB vhodi na način, da se to sploh da naredit (ali ga je tako težko zapečatit/odstranit?).

Ne morem verjet ....

crniangeo je izjavil:

Kako pa vejo kje je škatla , kje je režica za usb itd it ? ker sam nimam ideje ker tudi bankomata nisem vidu od notri :)


Tudi to, banda mora vedet, kjer vrtat, da dobijo (fizični) dostop.

technolog je izjavil:

Ukraden denar bi blo treba odbit z bančnega računa titemu bedaku...

..., ki je mislil, da je imet Windows na bankomatu pametna ideja.


Hehe, dobra ideja ;)
Poglej in se nasmej: vicmaher.si

Zgodovina sprememb…

  • spremenilo: FireSnake ()

s1m0n ::

Čisto vseeno je kak sistem je gor nima Windows tu nobene veze!
Čudno je le to, da se da tako preprosto prit do prisotnega USB vhoda na računalniku v bankomatu.

Kar se pa Win tiče še nisem priletel na bankomat, ki zaradi tega ker je windows gor ne bi delal, če že ni je bila pa tehnična napaka (okvara kakšne komponente računalnika, povezave... ne pa napaka na OSu).

s1m0n ::

Bankomat je tak varen kot je varno njegovo ohišje (ali kjer koli se pač nahaja), lažje je verjetno celotnega odnest, kot pa se ubadat kateri operacijski sistem teče na njem, do katerega tak nimaš dostopa ne preko omrežja (no verjetno, če bi kako imel fizičen dostop do omrežja banke) in preko USB kar težko verjamem, da ne bi že bil pri denarju,ko bi prišel do USB porta. Če je pa res na tako slabo varovanem ali pa sploh prisoten (zaradi modifikacij samega UIja bankomata) pa je napaka tistega, ki ga je zasnoval in ne samega OSa.

EDIT: To kar je pa v članku omenjen ta napad preko USBja pa so morali prste meti zraven tudi kakšni, ki delajo s temi sistemi na bankah.

Zgodovina sprememb…

  • spremenil: s1m0n ()

darkolord ::

lažje je verjetno celotnega odnest
Ne, to pa ni.

mihec87 ::

darkolord je izjavil:

lažje je verjetno celotnega odnest
Ne, to pa ni.


Ene parim je sicer uspelo-z težjo mašinerijo verjetno..

_commandos_ ::

najlažje ga je odpret:
z plazmo


in z plinom

Zgodovina sprememb…

MrStein ::

m0LN4r je izjavil:

Jaz ne zastopim, kako lahko vdirajo v te bankomate na tak primitiven način. Sem spadajo tudi tisti z fake paneli, kot je bil tut v slo v mb oz. mogoče še kje.
Banka pa posluje z miljardami, zaščita pa očitno na zadnjem mestu.

Koliko jih stane boljša varnost?
Koliko tvegajo da izgubijo brez povečane varnosti?
x > y ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SaXsIm ::

So najbrž tudi kaj zavarovani, dvomim pa da tukaj na slo-techu nekaj entuziastov z nekimi špekulativnimi podatki poda boljša mnenja o tem, kaj se bankam bolj splača, kot pa ljudje, ki so tam zaposleni in je risk-assessment njihov job tudi nasploh.
SaXsIm

MrStein ::

fosil je izjavil:

No saj pri tovrstnem napadu, ti tudi najnovejši OS ne bo nič pomagal.

Pač pa firmware.

A te naprave sploh kaj preverjajo? Mislim uradni organi.
Primerjava s tehtnico branjevke pade na pamet (iz zgodbe o elektronskih volitvah).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

LightBit je izjavil:

hojnikb je izjavil:

LightBit je izjavil:

Samo autorun mora biti izklopljen, kar je privzeto pri Visti in novejših Windowsih.

Nope

No ja, ampak to je veliko težje. Problem je, da Windowsi avtomatsko "mountajo".

Vse našteto nima veze, ker se napad zgodi izven Window.
RTFA.
Enako bi bilo z QNX, VxWorks, FreeBSD, OSX, Linux...

mtosev je izjavil:

lol a se še win xp uporablja? sn že mislo, da smo že v letu 2014

Nič, kaka slaba milijarda ljudi. Zanemarljivo. ;)

FireSnake je izjavil:


Res primitivno od banke.

Misliš "od proizvajalca bankomata" ?
Kaj je že bila tista afera z Diebold? Ali je tisto bilo z volilnimi avtomati?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Glede "sefa" in to, poglejte tiste prosto stoječe bankomate v Europarku, Maribor.
Ali kje izven EU.
To je navaden PC "iz comtron-a", priključen na ekran, tipkovnico in delilec bankovcev. Vsi kabli vidni in dostopni.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Yacked2 ::

izklopijo naj autorun v Win, onemogočijo bootanje z USBja/CDja, ter zaklenejo BIOS pa smo rešeni
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

LightBit ::

MrStein je izjavil:

LightBit je izjavil:

hojnikb je izjavil:

LightBit je izjavil:

Samo autorun mora biti izklopljen, kar je privzeto pri Visti in novejših Windowsih.

Nope

No ja, ampak to je veliko težje. Problem je, da Windowsi avtomatsko "mountajo".

Vse našteto nima veze, ker se napad zgodi izven Window.
RTFA.
Enako bi bilo z QNX, VxWorks, FreeBSD, OSX, Linux...

Če imaš fizični dostop lahko vedno vse narediš. Samo, če pa imaš autorun vklopljen je pa to veliko bolj enostavno.
Nisem rekel, da je Windows izjema (čeprav ne vem za noben QNX,VxWorks, FreeBSD, OS X, Linux ... exploit), samo link govori o Windows exploitu.

MrStein ::

Ne, govori o bootanju z USB ključka, ki potem svojo aplikacijo namesti.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

LightBit ::

"it was certainly tempting to be able to simply insert a USB stick, have it automatically mounted by the operating system and immediately compromise it by triggering a vulnerability in ntfs.sys. We had some promising results during the process, one being an interesting bug (though not quite dangerous) that we managed to analyze and exploit into a local elevation of privileges. In today’s post, we are providing some specifics regarding the nature of the vulnerability, and how it can be taken advantage of to acquire system privileges on the Microsoft Windows 7 64-bit platform"

http://j00ru.vexillium.org/?p=1272

Zgodovina sprememb…

  • spremenil: LightBit ()

MrStein ::

Nisi opazil, da je to ločena novica?

Evo citat iz "prave" novice:
Če je bankomat nastavljen tako, da se zažene z USB-ključa, bo ta ob ponovnem zagonu na disk namestil malware in nato nadaljeval zagon običajnega operacijskega sistema in vmesnika.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

LightBit ::

Nisi opazil, da sem odgovarjal na "napačno"?

Glede te novice sem pa že rekel: izklopiš autorun (tudi v BIOS-u).

Zgodovina sprememb…

  • spremenil: LightBit ()

antonija ::

SaXsIm je izjavil:

So najbrž tudi kaj zavarovani, dvomim pa da tukaj na slo-techu nekaj entuziastov z nekimi špekulativnimi podatki poda boljša mnenja o tem, kaj se bankam bolj splača, kot pa ljudje, ki so tam zaposleni in je risk-assessment njihov job tudi nasploh.
Se povsem strinjam da je za pricakovati, da v tako velikih podjetjih, kot so banke, kjer je informacijska varnost tako zelo pomembna zaradi pretakanja podatkov o premoznjeu, da bojo imlei vrhunske strokovnjake na vseh podrocjih. Imajo pa heroji nekaj milijardno luknjo, pa zelo verjetno to ni edina luknja ki jo imajo. ;)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

xxx ::

Pa se malo... "Larimer explains how attackers can abuse these features to gain access to a live system by using a USB flash drive. He also shows how USB as an exploitation platform can allow for easy bypass of protection mechanisms like ASLR and how these attacks can provide a level of access that other physical attack methods do not."

http://www.net-security.org/secworld.ph...
Pa pa...

Zgodovina sprememb…

  • spremenilo: xxx ()

LightBit ::

Bravo, zgrešil si bistvo. Zdej lahko pričakujem še QNX, VxWorks, FreeBSD, OS X ... ? Ali pa morda še DOS?
Nisem rekel, da, če bi uporabljali Linux tega problema ne bi bilo.

Zgodovina sprememb…

  • spremenil: LightBit ()

technolog ::

Ne gre se samo za konkretno ta primer, ampak nasploh. Ker bedak se je spomnu met najbolj nevaren in slabo zasnovan OS na faking bankomatu?

Boh ne daj, da lavfa to sranje na kakšnih mission critical medicinskih pripomočkih (enkrat je bla na to temo tud neka novica na slo-tech).

Malajlo ::

Jžš, sej je samo bankomat. Sej ne usmerja medcelinskih raket.
XPji so čisto ok za talanje denarja. Najbrž bi DOS zadostoval, pa se nobenmu ni dalo jajcat s prenašanjem podatkov po čem drugem kot ... Klinc, kaj se je že uporabljalo pred 20 leti, ko internetov še ni bilo?
Fantje so samo malo manjšo luknjo naredili, da so do denarja prišli.

MrStein ::

- Internet dela čist OK na DOS. ;)
- bankomati se ne krmilijo preko Interneta ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

fantasycamp ::

kok pa nosi en bankomat keša ko je poln?

crniangeo ::

vse lepo in prav, vendar je treba samo nekaj vedeti pri vsem tem. Nadgradnja na windows 7/8 je čisto nepotrebna in res ogromen strošek za licence. da o softwaru ne govorimo. Kdo bi plačal vse te nadgradnje ? Načeloma velja staro pravilo pri vsem tem: nč pipat če vse dela kot mora :)
Convictions are more dangerous foes of truth than lies.

norcuron ::

V Zagrebu so policisti še lepo zaprli promet, da so ga bad guys naložili sred dneva na kamion in odpelali hehe
Great are mysteries of the mind ... or not?

black ice ::

fantasycamp je izjavil:

kok pa nosi en bankomat keša ko je poln?

Okrog 20k.
(podatek sem pred davnimi časi zasledil na STju)

rdecaluc ::

V bankomat na bencinski kjer delam dajo okoli 3kEUR. Ni več nekih hudih vsot v bankomatih.

ps. Pač pridejo večkrat napolnit.
Est modus in rebus. ,typos

Zgodovina sprememb…

  • spremenil: rdecaluc ()

antonija ::

Zdej nej se en vprasa kolk je kazen ce te dobijo, potem pa manjka samo se risk assesment in bussiness case za ropanje bankomatov 8-)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bankomati ostajajo na Windows XP. Microsoft bo služil.

Oddelek: Loža
494821 (3465) Malajlo
»

V Južni Afriki obsežen napad na elektronske blagajne

Oddelek: Novice / Varnost
1810181 (7980) McMallar
»

Hekerski napadi na bankomate

Oddelek: Novice / Varnost
289792 (8034) poweroff

Več podobnih tem