Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Atak na bankomaty

Recommended Posts

W krajach Europy Wschodniej zaatakowano 20 bankomatów z systemem Windows XP. Firma TrustWave uważa, że to tylko test i wkrótce można spodziewać się dużej fali ataków w USA i na zachodzie Europy.

Zaatakowane maszyny zostały zarażone szkodliwym kodem, który przechwytuje dane z kart bankomatowych oraz numery PIN. Kod zawiera również własny interfejs użytkownika, który pozwala cyberprzestępcy na odczytanie ukradzionych danych za pomocą specjalnej karty. Analizy wykazały, że szkodliwy kod najprawdopodobniej nie ma możliwości wysyłania ukradzionych danych przez Sieć, ale pozwala na ich zapisanie na magnetycznym nośniku włożonym do bankomatowego czytnika karta. Okazało się również, że przestępcy wyposażyli swój program w funkcję, dzięki której możliwe jest wyjęcie z bankomatu kasetki z pieniędzmi.

To oprogramowanie jest niepodobne do żadnego innego. Daje atakującemu całkowitą kontrolę nad bankomatem, pozwala zdobyć wszystkie dane, numery PIN i pieniądze z każdej maszyny. Sądzimy, że to dopiero początek, a przyszłe wersje szkodliwego kodu zostaną wyposażone w nowe funkcje, takie jak np. zarażanie kolejnych bankomatów przez Sieć. Jeśli przestępca uzyska dostęp do jednej maszyny, szkodliwy kod będzie ewoluował i automatycznie rozprzestrzeniał się na inne systemy - napisali specjaliści z TrustWave.

Infekcja jest przeprowadzana za pomocą pliku isadmin.exe, który stanowi część oprogramowania Borland Delphi Rapid Application Development. Po jego uruchomieniu właściwy szkodliwy kod jest istalowany w pliku lsass.exe w katalogu głównym systemu Windows. Następnie dochodzi do manipulacji usługę Protected Storage, wskutek czego fałszywy lsass.exe jest uznawany za prawdziwy, w miejsce autentycznego pliku znajdującego się w podkatalogu system32.

Szkodliwe pliki wyposażono też w mechanizm autostartu na wypadek awarii, dzięki czemu zawsze pozostają aktywne.

Share this post


Link to post
Share on other sites

co za debil uzywa biurowego system operacyjnego (a zwlaszcza z pod znaku MS) w bankomatach ???

Share this post


Link to post
Share on other sites

co za debil uzywa biurowego system operacyjnego (a zwlaszcza z pod znaku MS) w bankomatach ???

 

To chyba dość powszechne. Niedaleko miejsca gdzie mieszkam widziałem kiedyś (coś pewnie się w konfiguracji potentegowało), pasek menu Windy.

Za sensownością takiego rozwiązania przemawiają chyba tylko koszty. Znacznie łatwiej integrować setki czy tysiące bankomatów z serwerami i desktopami, które muszą mieć do nich dostęp.

Share this post


Link to post
Share on other sites

Podobnym przykładem może być sieć automatów biletowych obsługujących KKM (Krakowską Kartę Miejską) - wszystkie są wyposażone w WinXP Prof. Miałem okazję przyglądnąć się, jak serwisanci otwierali automat, podpinali regularną mysz i klawiaturę po czym startowali aplikacje.

 

Sądzę, że MS daje potężne upusty firmom, które zechciałyby użyć WinXP w swoich urządzeniach. Patrząc z drugiej strony - dlaczego nikt nie pomyślał o linuxie? O_o

Share this post


Link to post
Share on other sites

Nie sądzę, by Linux był bezpieczniejszy w tych zastosowaniach. Ryzyko pewnie byłoby takie samo.

Windows może być tu tańszy w TCO. Bankomaty obsługują pewnikiem najzwyklejsi technicy/ludzie po krótkim przeszkoleniu, a więc muszą mieć narzędzie, z ktorym spotykają się na codzień. Może stąd taki wybór? Trzebaby zapytać kogoś, kto się zna na bankomatach i systemach bankowych.

Share this post


Link to post
Share on other sites

co za debil uzywa biurowego system operacyjnego (a zwlaszcza z pod znaku MS) w bankomatach ???

Co za debil używa biurowego systemu w armii USA.

Sądzę, że MS daje potężne upusty firmom, które zechciałyby użyć WinXP w swoich urządzeniach. Patrząc z drugiej strony - dlaczego nikt nie pomyślał o linuxie? O_o

A może to łatwość obsługi takich systemów przeważa na ich korzyść, a nie kolejna teoria spiskowa jak to MS musi dawać komuś w łapę, bo inaczej nikt by ich systemów nie używał ?

Share this post


Link to post
Share on other sites

Co do bankomatów to pracują pod rożnymi systemami ale dla takich rozwiązań odpowiedniejszym jest Windows xp embended to najczęściej nie jest Xpoek jakiego znamy. Tutaj chodzi raczej o to ze to jest system rodziny Xp a nie  Xp profesional.

Tego o integrowaniu bankomatu z desktopami to chyba nie rozumie to jest zupełnie oddzielna siec. Nie ma to nic wspólnego z desktopami no chyba  tylko to ze serwer obsługujący transakcje może stać koło serwera nierytualizującego desktopy pracowników. 

 

Z armia USA to tez jest problem bo dopiero co Microsoftowi we współpracy z nsa udało się spłodzić w miarę bezpiecznego Xpka dla USAF o ile pamietam. Używają tego systemu bo po pierwsze jest po drugie jest to jakaś ciągłość po trzecie wymiana tego wszystkiego na linuxy/unixy kosztowała by dużo na raz a lepiej płacić po troszku. Linuxy tez sa używane i wspierane przez NSA.

 

Share this post


Link to post
Share on other sites

Dokładnie tak. Rozsądny człowiek/firma/organizacja nie przejmuje się tym, czy to Win czy Lin, a po prostu szuka najlepszego rozwiązania do danych zastosowań po najlepszej cenie.

Share this post


Link to post
Share on other sites

Nie sądzę, by Linux był bezpieczniejszy w tych zastosowaniach. Ryzyko pewnie byłoby takie samo.

Czy ryzyko było by takie samo to zależy tylko od konfiguracji, w linuxie są większe możliwości dostosowania do specyficznych potrzeb przez co można także bardziej zminimalizować ryzyko.

 

Bankomaty działały (i działają) na systemach Windows chyba od zawsze. Podyktowane jest to pewnie uniwersalnością - wszędzie ten sam system, można używać tego samego oprogramowania. W przypadku linuxa nie było by to tak oczywiste - możliwości kustomizacji pewnie by ktoś wykorzystał i było by wiele różnych dystrybucji nie w pełni ze sobą kompatybilnych. Czy sam Microsoft maczał palce w tym aby jego system był w bankomatach... myślę że na pewno nie był obojętny.

 

Co do samego problemu ciekawe w jaki sposób złośliwe oprogramowanie się dostaje do bankomatu... jest on podłączony tylko do sieci bankowej i odcięty od internetu.

Share this post


Link to post
Share on other sites

Co do samego problemu ciekawe w jaki sposób złośliwe oprogramowanie się dostaje do bankomatu... jest on podłączony tylko do sieci bankowej i odcięty od internetu.

Może tędy:

ale pozwala na ich zapisanie na magnetycznym nośniku włożonym do bankomatowego czytnika karta

Share this post


Link to post
Share on other sites

ihmo to nie jest kwestia prostoty użytkowania bo programiści znajda się i na XP i na linuxa. A oprogramowanie jakie stworzą to juz zależy od nich nie platformy.

Pewnie prostsze jest zrobienie z "klocków" programu pod winXP niż pod linuxa.

 

Nie zmienia to faktu, że ktoś jakoś wpuścił ten kod i na pewno znał program bankomatowy skoro udało mu się wstrzyknąć kod i na dodatek wykorzystać lukę w programie jak i badziewny system ochrony w windowsie.

Share this post


Link to post
Share on other sites

Z tego co mi mówił kolega, który pracuje w firmie zajmującej się systemami wbudowanymi, to wybór padł na rozwiązanie Microsoftu ze względu na szerokie wsparcie, którego Linux nie mógł im zapewnić.

Share this post


Link to post
Share on other sites

Jeżeli mój PESEL wyciekł do sieci to czy jest prawna możliwość nadania nowego?

Share this post


Link to post
Share on other sites

Co do zmiany PESELU jest możliwa ale nie w przypadku takiej "popierdółki" jak to że wyciekł do sieci. PESELE są zwyczajnie podawane w internecie w przypadku osób

piastujących funkcje urzedowe vide. księgowi.

Co do:

Używają tego systemu bo po pierwsze jest po drugie jest to jakaś ciągłość po trzecie wymiana tego wszystkiego na linuxy/unix

A po czwarte i najważniejsze w żaden znaczący sposób by to nie zwiększyło poziomu bezpieczeństwa. Większość incydentów z bezpieczeństwem prowokują ludzie i wymiana sprzętu czy też oprogramowania nic nie pomoże.

Wolałbym mieć dobrego pracownika na beznadziejnym systemie niż przeciętnego na najlepiej zabezpieczonym. Tutaj odsyłam do artykułu na KW gdzie ludzie za czekoladę podawali swoje hasła. I co wobec takiego poziomu może pomóc Linux? Nic.

Share this post


Link to post
Share on other sites

Linux nie będzie bezpieczniejszy w takich zastosowaniach ze względu na specyfikę przeprowadzania ataku. Pamiętajcie, że takiego ataku nie przygotowuje się tak, jak typowego ataku w Sieci. Nie wysyłamy na ślepo wirusa, który znajdzie ofiary wśród sierot, co to systemu nie aktualizują, klikają na wszystkie linki jakie w poczcie dostaną itp. itd. Tutaj atak kierowany jest na konkretny sprzęt i konkretne oprogramowanie. A że w każdym oprogramowaniu aż roi się od poważnych dziur, to nie ma zmiłu... żaden system w przyadku takiego ataku nie będzie bezpieczny.

 

PS. Mignęło mi gdzieś w sieci trochę szczegółów na temat tego ataku na bankomaty. Atakujący dostali się do samych bankomatów i podłączyli się do komputerów. To oznacza, że bardzo dobrze wiedzieli, co robią, czego szukają i jak to znaleźć. Na moje oko to pomagał im ktoś, kto na codzień bankomaty obsługuje.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Cyberprzestępcy zaatakowali i okradli kancelarię prawną obsługującą m.in. Lady Gagę, Drake'a czy Madonnę. Teraz szantażują ofiarę ujawnieniem 756 gigabajtów ukradzionych danych. Mają wśród nich znajdować się kontrakty, korespondencja prywatna czy umowy poufności.
      Nowojorska kancelaria Grubman Shire Meiselas & Sacks oferuje swoje usługi przemysłowi rozrywkowemu i mediom. Jak poinformowali badacze z firmy Emsisoft, kancelaria została zaatakowana za pomocą ransomware REvil (Sodinokibi). Przestępcy ukradli m.in. numery telefonów klientów kancelarii, adresy e-mail, ich prywatną korespondencję, umowy podpisane z agencjami reklamowymi i inne dokumenty związane z pracą słynnych osób.
      Niewielką część tych danych umieszczono w internecie. Są tam zrzuty ekranowe kilku umów czy dane folderów, do których cyberprzestępcy uzyskali dostęp. Grupa twierdzi, że ukradła 756 gigabajtów danych, które opublikuje, jeśli kancelaria im nie zapłaci, mówi Brett Callow, analityk z Emsisoft.
      Grubman Shire Meiselas & Sacks obsługuje najsławniejszych ze sławnych. Jej klientami są Elton John i Rod Stewart, Lil Nas X i U2 czy tacy giganci jak Facebook, Sony oraz HBO.
      Możemy potwierdzić, że padliśmy ofiarą cyberataku. Poinformowaliśmy naszych klientów i pracowników. Zatrudniliśmy światowej klasy ekspertów, którzy specjalizują się w takich sprawach i pracujemy nad rozwiązaniem problemu, oświadczyli przedstawiciele firmy.
      Nie wiadomo, jakiej kwoty domagają się szantażyści. Jednak na poparcie swoich gróźb opublikowali dokumenty, wśród których jest prawdopodobnie kontrakt podpisany w 2019 roku przez agenta Madonny w związku z organizacją jej trasy World Tour 2019-2020 czy inny dokument podpisany przez Christinę Aguilerę. Ujawnienie ukradzionych informacji może prowadzić do kradzieży tożsamości, podszywania się pod kogoś, ataków phishingowych i innych rodzajów oszustw. Niewykluczone też, że przestępcy mogą próbować kontaktować się bezpośrednio z ludźmi, których dane ukradli i żądać od nich pieniędzy, mówi Callow.
      Ataki z użyciem REvil nie są niczym nowym. W bieżącym roku zaatakowano w ten sposób kilkanaście celów. Przestępcy m.in. ukradli i ujawnili dane z National Eating Disorders Association, organizacji zajmującej się pomocom osobom z zaburzeniami odżywiania. Okradli też giełdę wymiany walut Travelex i wymusili na niej zapłatę ponad 2 milionów dolarów okupu.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Specjaliści z google'owskiego Project Zero poinformowali o znalezieniu licznych złośliwych witryn, które atakują użytkowników iPhone'ów wykorzystując w tym celu nieznane wcześniej dziury. Wiadomo, że witryny te działają od co najmniej 2 lat i każdego tygodnia są odwiedzane tysiące razy. Wystarczy wizyta na takiej witrynie, by doszło do ataku i instalacji oprogramowania szpiegującego, stwierdzają specjaliści.
      Przeprowadzona analiza wykazała, że ataki przeprowadzane są na 5 różnych sposobów, a przestępcy wykorzystują 12 różnych dziur, z czego 7 znajduje się w przeglądarce Safari. Każdy z ataków pozwala na uzyskanie uprawnień roota na iPhone, dzięki czemu może np. niezauważenie zainstalować dowolne oprogramowanie. Przedstawiciele Google'a zauważyli, że ataki służyły głównie do kradzieży zdjęć i informacji, śledzenia lokalizacji urządzenia oraz kradzież haseł do banku. Wykorzystywane przez przestępców błędy występują w iOS od 10 do 12.
      Google poinformowało Apple'a o problemie już w lutym. Firmie z Cupertino dano jedynie tydzień na poprawienie błędów. Tak krótki czas – zwykle odkrywcy dziur dają twórcom oprogramowania 90 dni na przygotowanie poprawek – pokazuje jak poważne były to błędy. Apple zdążyło i sześć dni później udostępniło iOS 12.1.4 dla iPhone'a 5S oraz iPad Air.
      AKTUALIZACJA:
      Z medialnych doniesień wynika, że za atakiem stoją chińskie władze, a ich celem była głównie mniejszość ujgurska. W ramach tej samej kampanii atakowano też urządzenia z systemem Android i Windows, jednak przedstawiciele Project Zero poinformowali jedynie o atakach na iOS-a. Google nie odniósł się do najnowszych rewelacji. Microsoft oświadczył, że bada doniesienia o ewentualnych dziurach.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W grudniu ubiegłego roku Stany Zjednoczone oficjalnie ujawniły, że wpadły na trop dużej operacji hakerskiej prowadzonej przez rząd Chin. Celem operacji była kradzież własności intelektualnej zachodnich przedsiębiorstw. Amerykańskie władze nie zdradziły nazw zaatakowanych firm, ale dziennikarze dowiedzieli się, że chodziło m.in. o IBM- i Hewlett Packarda.
      Teraz reporterzy Reutersa odkryli, że co najmniej sześć innych firm również padło ofiarą hakerów pracujących dla chińskiego rządu. Są to Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation i DXC Technology. Okazało się również, że wśród ofiar hakerów są też klienci wcześniej wymienionych firm, a wśród nich szwedzki Ericsson, system rezerwacji podróży Sabre czy amerykańska stocznia Huntington Ingalls Industries, która buduje okręty na zlecenie US Navy.
      Większość z wymienionych powyżej przedsiębiorstw albo odmawia komentarza, albo zapewnia, że jej infrastruktura jest dobrze zabezpieczona. Przedstawiciele Sabre poinformowali, że w 2015 roku doszło do incydentu z zakresu cyberbezpieczeństwa, ale żadne dane podróżnych nie zostały ukradzione. Z kolei rzecznik prasowa Huntington Ingalls stwierdziła, że jej firma jest pewna, iż nie utraciła żadnych danych za pośrednictwem HPE czy DXC.
      Rząd w Pekinie oczywiście również wszystkiemu zaprzecza. Rząd Chin nigdy w żaden sposób nie brał udziału, ani nie wspierał żadnej osoby parającej się kradzieżą tajemnic handlowych, oświadczyło chińskie MSZ.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Amerykańska NSA (Narodowa Agencja Bezpieczeństwa) dołączyła do Microsoftu zachęcając użytkowników systemu Windows, by pilnie zaktualizowali swój system operacyjny. W Remote Desktop Services for Windows odkryto bowiem dziurę, która podobna jest do luki, którą w 2017 roku wykorzystało ransomware WannaCry, powodując wielomiliardowe straty na całym świecie.
      Dziura, nazwana „BlueKeep”, może też istnieć w starszych systemach operacyjnych z rodziny Windows, jak Windows 7, Windows XP, Windows Server 2003 oraz Server 2008. Stanowi ona poważne zagrożenie, gdyż szkodliwy kod może rozprzestrzeniać się i zarażać bez interakcji ze strony użytkownika.
      Microsoft poinformował o istnieniu dziury wraz z publikacją w ubiegłym miesiącu odpowiedniej poprawki. Wówczas firma nie zdradziła zbyt wielu informacji. Poinformowano jedynie, że na atak może być narażonych około 7 milionów urządzeń na całym świecie. Później dokładniej przyjrzano się zagrożeniu i liczbę narażonych urządzeń zmniejszono do 1 miliona.
      „BlueKeep”, oficjalnie skatalogowana jako CVE-2017-0708, to krytyczna luka pozwalająca napastnikowi na uruchomienie dowolnego kodu, który kradnie dane i szpieguje użytkowników. Na blogu NSA czytamy: to typ luki, jaką cyberprzestępcy często wykorzystują. Można jej użyć na przykład do przeprowadzenia ataku DoS. Ukazanie się i rozpowszechnienie szkodliwego kodu atakującą tę lukę jest prawdopodobnie kwestią czasu.
      Niektóre firmy zajmujące się cyberbezpieczeństwem już stworzyły prototypowy szkodliwy kod, by móc na tej podstawie stworzyć mechanizmy zabezpieczające. Microsoft i NSA wzywają do pilnego zainstalowania opublikowanej łaty.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gang cyberprzestępców, który stworzył listę 50 000 menedżerów, za pomocą której usiłuje wyłudzać pieniądze, zmienił taktykę na bardziej niebezpieczną dla potencjalnych ofiar.
      Istnienie grupy nazwanej London Blue jako pierwsi zauważyli specjaliści z firmy Agari. Grupa stworzyła listę 50 000 menedżerów i początkowo rozsyłała fałszywe informacje, podpisane nazwiskami z tej listy, próbując przekonać pracowników firm do przelania firmowych pieniędzy na wskazane konto. Przestępcy działają w Nigerii, Wielkiej Brytanii i innych krajach. Teraz specjaliści donoszą o zmianie taktyki.
      Dotychczas oszuści używali tymczasowych adresów e-mail z bezpłatnych serwisów pocztowych i do potencjalnych ofiar wysyłali listy podpisane nazwiskiem znanego im meneżera. Teraz ich e-maile już nie tylko są podpisane nazwiskiem menedżera, ale w ich nagłówkach znajdują się podrobione adresy e-mail wyglądające jak adresy używane przez firmę będącą celem ataku.
      Przestępcy początkowo prowadzili korespondencję z ofiarą, by zdobyć jej zaufanie, a następnie domagali się pieniędzy. Teraz informują potencjalne ofiary, że ich firma przejmuje inne przedsiębiorstwo lub z innym przedsiębiorstwem się łączy i w związku tym musi z góry przelać na wskazane konto 30% zaplanowanej transakcji. Zwykle chcą, by przelano 80 000 dolarów.
      Celem przestępców stał się też szef Agari. Ściśle ich monitorujemy. Wiedzieliśmy, że przygotowują kolejne ataki, że ich celem jest m.in. nasz dyrektor oraz inni menedżerowie z Kalifornii. Byliśmy więc w stanie śledzić cały przebieg ataku. Od etapu jego przygotowywania do wykonania. Obserwowaliśmy, jak testują skrzynkę, którą chcieli wykorzystać podczas ataku i dwie i pół godziny po testach e-mail od nich dotarł do naszego szefa, mówią eksperci z Agari.
      Pierwsza runda ataków London Blue była skierowana przeciwko firmom w Europie Zachodniej i USA. Teraz przestępcy atakują przede wszystkim przedsiębiorstwa w Azji Południowo-Wschodniej i Australii.
      London Blue to grupa nigeryjska, ale jej członkowie mieszkają m.in. w Wielkiej Brytanii, Turcji, Egipcie i Kanadzie. Dla niektórych z nich to zawód. Możemy obserwować, jak dzielą się zadaniami. Wielu z nich trafia do grupy w bardzo młodym wieku i początkowo są praktykantami. Zaczynają od bardzo prostych zadań, później działają samodzielnie, w końcu mogą nadzorować innych. To fascynująca struktura, stwierdzają eksperci.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...