卡巴斯基实验室专家发现ATM听从黑客指令的原由

29.04.2016  15:46

  卡巴斯基实验室安全专家的研究发现,世界上几乎所有的ATM机都可能被非法访问和洗劫,不管是通过恶意软件还是利用其它手段,这一现象的主要原因是这些ATM机大量使用了过时的和不安全的软件,或者网络设置中存在问题,而且ATM机的关键部分缺乏物理安全防护。

  很多年依赖对AMT机的客户和拥有者来说,最大的威胁是盗刷器——一种特殊的附加在ATM机上的设备,用来从银行卡的磁条中盗取数据。但是随着恶意技术的不断演化,ATM机面临的风险更多。2014年,卡巴斯基实验室研究人员发现了Tyuplin恶意软件。这是第一个广为人知的针对ATM机的恶意软件。之后,我们又在2015年发现了Carbanak网络犯罪组织,该组织进行了很多攻击行动,并且能够通过入侵银行基础设施盗窃ATM机中的现金。上述两种攻击方式都可能成功,因为它们利用了ATM技术和基础设施中广泛存在的多种常见漏洞。事实上,这些攻击只是冰山一角。

  所有ATM机使用的计算机都运行着较早版本的操作系统,例如Windows XP。这些系统很容易遭受计算机恶意软件和漏洞利用程序的攻击和感染。大多数情况下,ATM计算机使用基于XFS标准的特殊软件,用来同银行基础设施和硬件进行通讯,处理现金和信用卡。这是一种较为古老的并且不安全的技术标准,其最初的开发目的就是为了让ATM软件标准化,所以这种软件能够在任何设备上运行,不管设备的生厂商是谁。问题是,XFS标准不要求对其处理的命令进行授权,这意味着任何在ATM上安装和启动的应用,都可以向所有的ATM硬件设备发送指令,包括读卡器和出钞器。如果恶意软件成功感染了ATM机,就可以不受限制地控制ATM机,将PIN键盘和读卡器变成一个“原生的”盗刷器,或者可以接收黑客发送的命令,将ATM机中的所有现金吐出来。

  卡巴斯基实验室的研究人员发现,很多情况下,网络罪犯并不需要使用恶意软件感染ATM机,也不需要入侵银行的网络就可以成功进行攻击。这是因为很多ATM机本身缺乏物理安全保护措施,而且这一问题非常普遍。很多情况下,ATM机的建造和安装并不合理,可以让第三方访问到ATM机内部的计算机,或者利用网线将设备连接到互联网。即使网络罪犯获取到部分ATM机的物理访问权限,就可能:

  在ATM机内部安装特殊的微型计算机(又被成为黑盒子),让攻击者可以远程访问ATM;

  将ATM机连接到假冒的银行处理中心。

  假冒的处理中心是一种处理支付数据的软件,同银行使用的软件一样,尽管事实上假冒的处理中心并不属于银行。一旦ATM连接到假冒的处理中心,攻击者就可以发送任何指令,ATM机都会执行。

  ATM机和处理中心之间的连接可以通过多种方式保护。例如,可以使用硬件或软件VPN、SSL/TLS加密、防火墙或MAC验证,部署xDC协议等。但是,这些措施并非总是被采用。就算部署了这些设施,也经常配置不当或包含漏洞,只有通过ATM安全评估才能够发现这些问题。所以,网络罪犯不需要对硬件下手,只需要利用ATM和银行基础设施之间的网络通讯安全漏洞就可以进行攻击。

  卡巴斯基实验室渗透测试部门安全专家Olga Kochetova表示:“我们的研究结果显示,尽管供应商正在开发安全强度更高的ATM系统。但是很多银行仍在使用旧的并且不安全的ATM机型号,所以他们对相应的网络犯罪挑战没有准备。正是这种现状,造成很多银行和银行客户遭遇巨额损失。从我们的角度来看,这一现象的原因是长期误解所导致的。银行认为网络罪犯只对攻击在线银行感兴趣。他们的确热衷进行这类攻击,但是网络罪犯逐渐意识到ATM机安全漏洞的价值,因为这种针对银行设备的直接攻击能够显著减少他们获取真金白银所需的路径。

  尽管上述的安全问题可能会影响世界上很多ATM机,但这并不表示这种情况不能得到改善。ATM机生产商可以采取以下措施,减少这些设备所面临的被攻击风险:

  · 首先,需要对XFS标准进行修订,以增强安全性,在设备和合法软件之间引入双因素验证。这样做,能够减小攻击者使用木马未授权提取现金和直接控制ATM设备的风险。

  · 其次,有必要采取“授权的现金吐出”机制,避免假冒的处理中心攻击。

  · 第三点,有必要对ATM机内部的计算机同其它硬件之间的数据通讯进行加密保护和完整性控制。