Уязвимости в банкоматах Diebold Opteva позволяют украсть деньги из устройств

Специалисты компании IOActive сообщили о двух уязвимостях в банкоматах производства компании Diebold  - физической и программной, совместная эксплуатация которых позволяет получить доступ к купюрам в сейфе устройства.

Проблемы затрагивают банкоматы серии Opteva на базе платформы AFD (Advanced Function Dispenser - диспенсер с расширенными функциями). В данных моделях хранилище и операционная система разделены физически и доступ к каждому компоненту требует отдельной авторизации.

Исследователям удалось получить физический доступ к внутреннему компьютеру устройства, просунув металлический прут через громкоговоритель на передней панели устройства и подняв пластину, запирающую банкомат. Таким образом они смогли получить доступ к AFD контроллеру, но чтобы вывести деньги, экспертам потребовалось проэксплуатировать вторую уязвимость.

Для этой цели они провели реверс-инжиниринг протокола связи и программной оболочки AFD. Как оказалось, AFD не производит проверку внешних подключенных устройств и не обменивается с ними зашифрованными ключами. В результате исследователям без авторизации удалось получить доступ к AFD и кассетам с банкнотами.

Специалисты проинформировали компанию Diebold о физической уязвимости еще в феврале 2016 года. Спустя год, в феврале 2017 года, производителю была предоставлена информация о программной уязвимости в защите устройств. Однако компания отреагировала только в марте нынешнего года заявив, что «использовавшаяся при тестировании система является устаревшей и имеющиеся в ней уязвимости не исправлены». Дальнейшие попытки специалистов связаться с представителями производителя оказались безуспешными.

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб"

Каков масштаб эпидемии WannaCry/Petya/NotPetya, зарегистрированный компанией с начала этого года? Какова статистика с точки зрения географии, отраслей, пострадавших компаний? Какие компании пострадали от вируса?

Это три совершенно не связанные между собой эпидемии. По времени Petya был первым, WannaCry – вторым, а NotPetya – последним из трех. Нужно отметить, что это – далеко не единственные шифровальщики (в день в базы антивирусных программ вносится информация о 10-20 новых энкодерах). Просто эти шифровальщики привлекли внимание СМИ. Причем отнюдь не из-за масштабности атак или технического совершенства троянцев. Скорее наоборот: эти три шифровальщика очень несовершенны. Это скорее не коммерческий продукт для заработка путем вымогательства, а концепт. В пользу этого говорит огромное число недоработок, возможность восстановить удаленные файлы, уязвимые реализации алгоритмов шифрования.

Petya привлек внимание СМИ тем, что атаковал загрузочные области жестких дисков. Это нехарактерный для шифровальщиков прием. WannaCry и NotPetya атаковали практически исключительно крупные компании. Число пострадавших предприятий мелкого и среднего бизнеса по сравнению с настоящими эпидемиями шифровальщиков крайне невелико. По отраслям у WannaCry и NotPetya разницы нет, атакам подвергались все крупные компании подряд. Единственное, из-за специфики способа заражения NotPetya атаковал организации, связанные с украинскими компаниями. Можно сказать, что WannaCry и NotPetya – рекламные шифровальщики. По большей части они имитировали настоящую атаку или отрабатывали ее. Пока трудно сказать, учения какого рода это были.

Масштабы эпидемии крайне невелики и ограничиваются несколькими тысячами зараженных объектов.

Каким образом вирус влияет на IT-инфраструктуру? – Сценарии от оптимистичного до Армагеддона.

Вредоносная программа может никак не повлиять – а может привести к полному уничтожению информации и внесению преднамеренных искажений, приводящих к нужным для злоумышленника последствиям. Под «никак» имеются в виду неработоспособные вредоносные программы, замусоривающие зараженные системы. Это, конечно, не совсем «никак», но максимально близко. Далее – рекламные троянцы. Показ нужной злоумышленникам информации. Близко находятся банковские троянцы, кейлоггеры и другие вредоносные программы (в том числе производства АНБ), модифицирующие или крадущие информацию. Более опасны троянцы, уничтожающие информацию или делающие ее недоступной. В частности, шифровальщики. Ну и, наконец, вершина – специальные программы, зачастую разработанные под конкретную атаку, вносящие запланированные изменения в работу программ.
При этом потенциально «армагеддон» может вызвать любая из вышеперечисленных вредоносных программ. Шифровальшик уничтожит все ПО, программа удаленного доступа откроет злоумышленнику путь в систему, а случайно установившаяся программа нарушит работоспособность системы управления химическим производством.

В защите нельзя концентрироваться только на одном типе вредоносного ПО. Шифровальщики привлекают внимание СМИ, но остальные угрозы не становятся менее опасными.

Каковы схемы/сценарии распространения вируса этого типа – по возможности подробно, поскольку это интересует целевую аудиторию?

Это три совершено разные вредоносные программы. Petya – классический шифровальщик. Такие программы, как правило, распространяются по почте или через сменные носители. WannaCry – червь, который распространялся через уязвимость: шло сканирование уязвимых компьютеров, при наличии «бреши» устанавливался троянец. NotPetya – целенаправленная атака: взлом компании, распространяющей некое ПО, и заражение этого ПО.

Каковы рекомендованные действия, если заражение все-таки произошло?

По возможности обесточить зараженные компьютеры, оборвать их связь с внешним миром. Не восстанавливать систему, так как это может уничтожить данные, необходимые для создания утилит расшифровки, обратиться в техническую поддержку антивирусной компании и получить необходимые инструкции.

Какие изменения в IT-инфраструктуре могут снизить вероятность поражения вирусами этого типа?

В случае с WannaCry – установка всех обновлений безопасности, отключение ненужных сервисов, удаление неиспользуемых программ, ограничение прав пользователей на запуск новых, неразрешенных программ, составление списка разрешенного ПО и ограничение для сотрудников доступа к Интернету. В случае с Petya – фильтрация всех входящих сообщений на наличие исполняемых файлов во вложениях, запрет за запуск неразрешенных приложений. В случае с NonPetya – разделение инфраструктуры локальной сети на несколько подсетей, запуск различных серверных приложений в изолированном окружении, отказ от работы администраторов с доменными паролями на локальных машинах.

И, естественно, везде, где только можно, необходим антивирус. Причем с запретом его отключения или внесения несанкционированных изменений в настройки со стороны пользователей. Тот же WannaCry успешно ловился Dr.Web – среди наших клиентов никто не пострадал.

И какие изменения в IT-инфраструктуре позволят снизить тяжесть последствий от возможного поражения вирусом? 

Все то же самое, что и в первом пункте, плюс резервное копирование и регулярное обучение пользователей на случай инцидентов безопасности.