На Black Hat исследователь прилюдно опустошил банкоматы

На Black Hat исследователь прилюдно опустошил банкоматы

 

Барнаби Джек, руководитель отдела тестирования систем безопасности в компании IOActive, прибыл на конференцию Black Hat с двумя ATM-терминалами от известных производителей для того, чтобы продемонстрировать присутствующим воплощенную в реальность мечту любого малолетнего хакера. Парой нажатий на кнопки исследователь заставил оба банкомата извергнуть содержимое встроенных сейфов прямо на сцену конференц-зала.

«Я надеюсь, что мой доклад изменит представление людей об устройствах, которые на первый взгляд кажутся совершенно неприступными», – объяснил Барнаби Джек, уроженец Новой Зеландии, в настоящее время проживающий в калифорнийском городе Сан-Хосе. Для того чтобы сделать свое выступление более наглядным и зрелищным, исследователь подготовил пару впечатляющих трюков. К примеру, одна из обнаруженных уязвимостей позволяет хакеру подключиться к банкомату через телефонный модем и, не зная пароля, в считанные секунды избавить машину от денежных запасов.

Для проведения исследований Джек приобрел через Интернет пару ATM-терминалов от таких производителей, как Tranax Technologies и Triton. Эксперт сообщает, что на поиски уязвимостей и ошибок в программном коде им было потрачено несколько лет. Результаты исследования оказались впечатляющими. В каждом изученном терминале была обнаружена как минимум одна критическая уязвимость, позволяющая злоумышленнику получить доступ к сейфу с наличностью.

К счастью, процедура дистанционного взлома банкоматов пока еще является слишком сложной для современных преступников. Гораздо чаще злоумышленники просто похищают терминал и вскрывают сейф с использованием специальных инструментов или взрывчатки. Однако, технологически продвинутые мошенники постепенно осваивают и более тонкие манипуляции. К примеру, после взаимодействия с малоизвестным меню настроек терминал начинает выдавать купюры достоинством в 20 долларов, принимая их за долларовые банкноты.

Фактически, Барнаби Джек стал первым из исследователей, чьи открытия базируются на углубленном анализе встроенного программного кода. Многие из ATM-машин созданы на базе процессоров ARM, работают под управлением операционной системы Windows CE и способны подключаться к Интернету. Эксперт использовал стандартные отладочные методики для прерывания нормального процесса загрузки системы и получения доступа к файловой системе. Таким образом, он смог скопировать нужные файлы для последующего углубленного анализа. Позже Джек написал две небольшие утилиты, предельно упрощающие процесс взлома. Одна из этих утилит под названием Dillinger, названная в честь известного грабителя банков, может использоваться для проведения дистанционной атаки на ATM. Другое приложение – Scrooge, представляет собой руткит, который открывает черный ход для вредоносных программ и без труда скрывается от обнаружения.

По словам Барнаби Джека, оба производителя были поставлены в известность о наличии проблем с защитой и уже выпустили патчи для ликвидации уязвимостей. Однако, если клиент, установивший банкомат в торговом центре или ресторане, не воспользуется патчем, банкомат останется уязвимым.

Напомним, что исследователь планировал выступить с сенсационным докладом еще на прошлогодней Black Hat, однако ему пришлось отказаться от изначальных замыслов под давлением со стороны своего тогдашнего работодателя – компании Juniper Networks.

 Источник

Solar inRights начнёт блокировать учётки, чьи пароли утекли в даркнет

ГК «Солар» выпустила Solar inRights 3.11 — новую версию системы управления доступом, которая умеет автоматически реагировать на утечки корпоративных логинов и паролей. Система интегрирована с сервисом мониторинга внешних угроз Solar AURA.

Он ищет учётные данные сотрудников в открытых источниках и даркнете, после чего Solar inRights проверяет, действуют ли они во внутренних системах компании.

Если найденная связка совпадает с актуальной корпоративной учётной записью, доступ блокируется, а служба ИБ получает уведомление.

Сценарий вполне жизненный: сотрудник использовал рабочую почту и знакомый пароль на стороннем сайте, база утекла, а злоумышленник решил проверить, не подойдёт ли эта комбинация к корпоративной системе. Если пароль повторяется, вход может выглядеть совершенно легитимно.

По данным исследования «Солара», у одной крупной российской компании в открытых и теневых источниках в среднем обнаруживается более 600 уникальных корпоративных учётных записей. При этом только около 4% записей напрямую указывают на компрометацию инфраструктуры. Остальные тоже нельзя считать безобидными: старый добрый повтор пароля способен быстро превратить внешнюю утечку во внутренний инцидент.

Yandex Cloud ранее сообщал, что в первом полугодии 2025 года использование действительных учётных записей встречалось в 54% из более чем 25 тыс. попыток атак на облачные и гибридные инфраструктуры.

Раньше между обнаружением пароля в даркнете и блокировкой учётки могло пройти немало времени — особенно если данные сверяли вручную. Теперь этот промежуток пытаются сократить до минимума.

В версии 3.11 также обновили поиск, фильтры заявок и шаблоны интеграции с Active Directory, Exchange и 1С. Но главное здесь всё же другое: пароль ещё не успели использовать, а дверь перед ним уже захлопнулась.

RSS: Новости на портале Anti-Malware.ru