В торговых автоматах Argenta найден баг безлимитных средств

В торговых автоматах Argenta найден баг безлимитных средств

Специалист в области безопасности обнаружил уязвимость в торговых автоматах, разрабатываемых популярным итальянским вендором Argenta. Устройства Argenta используются по всей стране для продажи разной продукции — от освежающих напитков до сигарет.

Уязвимые автоматы поддерживают технологии Bluetooth Low Energy (BLE) и Near Field Communication (NFC), которые позволяют подключаться к ним с помощью смартфона и оплачивать покупки, используя мобильное устройство.

В поисках бреши в безопасности эксперт Маттео Пизани, итальянский хакер и технический директор Remoria VR, декомпилировал мобильное приложение от Argenta. Именно это приложение позволяет смартфону подключиться к торговому автомату.

После анализа активности программы Пизани наткнулся на упоминания RushOrm, инструмента для Android, который маппингует классы Java в SQL-таблицах. Это значит, решил эксперт, что приложение работает с базами данных.

Исследователь вычислил, что приложение использует базу данных с именем «argenta.db». Пизани попробовал открыть БД на своем ноутбуке — она была защищена паролем. Изучив исходный код приложения, специалист обнаружил конфигурационный файл RushOrm.

Благодаря ему стало понятно — приложение использует IMEI телефона для ограничения доступа к базе данных. Сама БД содержала множество таблиц, но внимание Пизани привлекла «UserWallets», которая содержала изменяемое поле «walletCredit».

Значение этого поля определяет, сколько средств пользователь может потратить в автомате Argento. В итоге Пизани удалось увеличить сумму до 999 евро. Соответствующую картинку специалист прикрепил в качестве доказательства:

Более того, эксперт опубликовал видео, где подробно демонстрируется реализация атаки с использованием этой уязвимости:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Группировка APT31, атакующая госорганы, пришла в Россию

Специалисты Positive Technologies проанализировали деятельность одной из киберпреступных группировок, которая атакует преимущественно государственные органы по всему миру. По словам исследователей, активность APT31 впервые зафиксировали в России.

Деятельность группы в цифровом пространстве нашей страны выявил экспертный центр PT Expert Security Center, после чего эксперты Positive Technologies проанализировали используемые злоумышленниками инструменты.

Например, внимание специалистов привлёк вредонос, использующий функции удалённого доступа и открывающий оператору путь для контроля устройства или сети жертвы. Доставка этого зловреда начинается по классике — с фишинга.

Как отметили в Positive Technologies, с января по июль в мире были зафиксированы более десятка рассылок APT31. Причём активность злоумышленников наблюдалась даже в Белоруссии, Монголии, США и Канаде. И вот теперь дело дошло до России.

Вредоносные рассылки APT31 легко было узнать по отличительным особенностям, а также по конкретной вредоносной программе, упомянутой выше. Помимо этого, киберпреступников выдавала функциональность, техники и механизмы: внедрение вредоносного кода, логические блоки и структуры.

Об активности этой группировки, также известной под именами Hurricane Panda и Zirconium, эксперты говорят с 2016 года. Основная цель преступников заключается в сборе конфиденциальных данных и кибершпионаже. В качестве жертвы группа выбрала себе государственный сектор. Например, атакующие смогли добраться до правительства Финляндии, Норвегии и Германии.

В ходе анализа Positive Technologies обнаружила ссылку на фишинговый домен inst.rsnet-devel[.]com, выдающий себя за ресурс федеральных органов исполнительной власти и органов государственной власти субъектов РФ для сетевого сегмента. С помощью этого домена атакующие вводят в заблуждение не только самих госслужащих, но и компании, работающие с государственными структурами.

Вредоносная программа, участвующая в этих атаках, создаёт на заражённом компьютере зловредную библиотеку. Специалисты обнаружили разные версии дропперов, содержащих при этом одинаковый набор функций. Иногда такие дропперы даже были подписаны валидной цифровой подписью.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru