Fileless malware на банкоматах

[duglass]

https://hi-tech.mail.ru/news/grabezh-ba ... frommail=2
Коментарии улыбают не меньше самой статьи.

[nonpar]

Об этой опасности несколько дней назад заявил представитель ЦБ, не раскрывая деталей. Но тогда говорилось, что в России вирус пока не зафиксирован, а инфа исходит из бюллетеня одной из западных спецконтор, специализирующихся на подобных вещах. Сейчас уже говорят, что появилось и в России.
Мы все знаем, что дыры есть. Но важны, как всегда, именно детали...

[Ex-OSB2006]

Ну а эта статья про что?

https://rns.online/finance/TSB-viyavil- ... 017-03-17/

Я только о бесконтактных картах подумал.

[Dan]

Я бы не сказал, что в татье полный бред.
Разве что только вот это, но и то теоретически возможно.

Спойлер

Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети

Из описания, могу предположить что вирус очень похож на вирус Tyupkin.
После успешной выдачи денег злоумышленнику, вирус автоуничтожается, удаляя все что с ним связано( файлы,реестр итд)

[booby]

Ну а эта статья про что?

Про это
http://bankomatchik.ru/forums/28/7536#p94001

[Venique]

Почитал комменты - будто гомна навернул.

[nonpar]

Читать комменты на сайтах СМИ/соцсетей - это, конечно, садомазо...
А вот оценить реальность и характер угрозы - стоит)

[syoss]

Коллеги, а есть ли какая-нибудь более подробная информация по этому поводу?
Смех - смехом, а вдруг?

[mikle]

Обобщенной инфы по сабжу нет. Но зря смеетесь господа.. Ищите в англо-язычной зоне инета отдельные части в этой области:
- fileless infector
- wireless skimmer
- ATM infector.
Дальше анализируйте инфу и делайте выводы...
10 лет назад скиммеры имели гигантские по сравнению с сегодняшними размеры. Прогресс идет, и в криминале он развивается в первую очередь.
Даже 5 лет назад я бы поржал сам над этой новостью - https://m.lenta.ru/news/2017/03/14/wewibe/
А сегодня работая в области IoT, "интернет вещей", совсем не удивляюсь этому

[nonpar]

В общем, как обычно, возможные меры противодействия сводятся к предотвращению физического доступа к компу АТМ (защита инженерной зоны и блокировка всех устройств ввода/вывода системника: CD, USB, клавиатура/мышь). Ну и, само собой, сетевая безопасность.
Надеюсь, ещё не придуман способ внедрения вредоносного кода при чтении чиповой карты в режиме обслуживания клиентов)

[FineSky]

Наверно они пытались вот эту статью переварить, но не получилось.

[nonpar]

В статье всё очень подробно и "важно" расписано, но где-то странице на третьей есть маленький абзац "получение доступа к банкоматам", откуда можно узнать, что они удаленно администрировались с помощью Remote Desktop. После чего всё предыдущее уже непринципиально)

[Venique]

nonpar, да абзац как бы не маленький, там просто всё по этапам расписывали и атака через RDP - один из, просто является одним из основополагающих. Нет RDP - нет инъекции, но только в том случае, если злоумышленники не смогут выявить другие активные каналы доставки данных до банкомата. Ну и в конце чёрным по белому написано, что даже банальное обновление ПО может защитить от эксплоитов на основе этого пакета для пин-тестов. Понятно, что это рекламный пост, но написано по делу, всяко лучше, чему наших журнализдов.

FineSky, спасибо за ссылку!

[nonpar]

выявить каналы доставки данных до банкомата

А чего их доставлять - их каждое NDC-сообщение с хоста доставляет. Важно запустить вредоносный код) Использовать на таких устройствах любые формы удаленного доступа к запуску кода, ЗНАЯ ОБ ЭТОМ - всё равно что уповать на совершенство замка, врезанного в стеклянную дверь)

[Gn00]

Если на морде банкомата не писать его номер, то можно существенно усложнить задачу мошенникам.

[central]

Gn00, у них доступ к мониторингу. Там адреса написаны.

[Venique]

nonpar, а как через NDC-сообщение батник передать?

[abcbanker]

Наверно они пытались вот эту статью переварить, но не получилось.

Вы ошибаетесь. Произошел испорченный телефон.
Исходная статья попала сначала на страницы зарубежных СМИ с "добавленными подробностями", откуда перекочевала в рассылке NCR

NCR is aware of the reported emergence of a new variation of ATM malware that has been reported by a security solution firm.

И уже оттуда потекло по рунету.

Добавлено спустя 6 минут 45 секунд:

ATM infector

Про это и в русскоязычном есть.

[FineSky]

Venique, это вопрос будущих технологий. Пока есть удаленный доступ к банкоматам, с возможность отправки исполняемых файлов, отправлять по NDC не требуется.
Проверка целостности ПО спасает от несанкционированного запуска «левых» программ. Но толку от этого мало, если есть функция удаленного отключения. От такого вида атак, спасет только полное отключение удаленного доступа. Имея более 1К банкоматов, удаленный доступ никто отключать не будет. Ноги отсохнут обновления ставить (или денег на бегунов не хватит). А если у банка около 10 банкоматов, то не особо интересно их ломать.
abcbanker
Возможно. Статьи на иностранных языках я не читаю, т.к. не владею ими. С момента атак прошло больше чем полгода. Понятно, что за это время появилось куча перепечаток. На хабре мне статья понравилась. Откровенной "лажи" в ней нет, а если есть какие-то неточности, то достоверную информации с полным описанием все равно никто не выложит в открытый доступ.

[booby]

Насчет бесфайловых вирусов - в Винде давно есть такая шняга, которая позволяет создавать на удаленном компьютере процесс без копирования исполняемого файла на его диск. Поэтому весь этот хайп имеет скорее маркетинговую природу.
А то, что кулхацкеры атакуют банкоматные сети - ну так если банкомат есть сетевой компьютер под Виндой, то почему бы его не атаковать. Тут и XFS к месту, так как упрощает разработку софта для управления аппаратными модулями банкоматов от различных производителей.