Caixas eletrônicos e terminais de ponto de venda (PoS) têm sido alvos de vários grupos de criminosos cibernéticos nos últimos anos e já resultaram em algumas das maiores violações de cartões e roubos de dinheiro da história. Embora os invasores tenham várias maneiras de invadir essas máquinas, pesquisadores de segurança alertam especificamente para vulnerabilidades nos drivers que elas contêm e que podem permitir ataques persistentes.
Pesquisadores da Eclypsium, uma empresa especializada em segurança de dispositivos, avaliaram a segurança dos drivers de dispositivos, programas que permitem que os aplicativos “conversem” com os componentes de hardware de um sistema e alavanquem seus recursos. No ano passado, o projeto de pesquisa da empresa, chamado de Screwed Drivers, identificou vulnerabilidades e falhas de design em 40 drivers do Windows de pelo menos 20 fornecedores de hardware diferentes, destacando problemas comuns nessa superfície de ataque.
A maioria das pessoas pensa no Windows no contexto de servidores, estações de trabalho e laptops, mas esses não são os únicos tipos de dispositivos que executam o sistema operacional da Microsoft. O Windows também é difundido no mundo dos caixas eletrônicos, terminais PoS, quiosques de autoatendimento, sistemas médicos e outros tipos de equipamentos especializados. Esses dispositivos geralmente são mais difíceis de atualizar porque são usados em indústrias e ambientes regulamentados. Portanto, as atualizações precisam passar por rigorosos testes e certificação. Colocá-los offline por longos períodos pode levar à interrupção dos negócios e perda financeira.
Os ataques contra caixas eletrônicos podem assumir várias formas, dizem os pesquisadores da Eclypsium em um novo relatório. “Os invasores podem entregar malware comprometendo a rede bancária conectada ao dispositivo, capturar a conexão do dispositivo com os processadores de cartão ou obter acesso ao computador interno do caixa eletrônico.
Veja isso
Malware pode descarregar dinheiro de ATMs
Fraude já atinge caixas eletrônicos cardless
Assim como ocorre nos ataques tradicionais, os invasores precisam aumentar os privilégios no dispositivo da vítima para obter acesso mais profundo ao sistema. É aqui que o uso de drivers mal-intencionados ou vulneráveis entra em ação. Aproveitando a funcionalidade de drivers inseguros, invasores podem obter novos privilégios, acessar informações e, finalmente, roubar dinheiro ou dados do cliente, diz o relatório da empresa.
Vulnerabilidade no ATM Diebold Nixdorf
Como parte do projeto de pesquisa, os pesquisadores da Eclypsium encontraram uma vulnerabilidade em um driver usado em um modelo de caixa eletrônico da Diebold Nixdorf, uma das maiores fabricantes de dispositivos para os setores bancário e de varejo. O driver permite que os aplicativos acessem as várias portas de E/S x86 desse sistema.
Os caixas eletrônicos são essencialmente computadores com periféricos especializados, como leitor de cartão, teclado PIN, interfaces de rede e dispensadores de dinheiro que são conectados através de várias portas de comunicação. Ao obter acesso às portas de E/S por meio do driver vulnerável um invasor pode potencialmente ler os dados trocados entre o computador central do ATM e os dispositivos conectados ao componente periférico de interconexão (PCI).
Até o momento, de acordo com os pesquisadores, a vulnerabilidade não foi explorada em nenhum ataque, mas, com base nas discussões com a Diebold, eles acreditam que o mesmo driver é usado em outros modelos de caixas eletrônicos e sistemas de PoS. A Diebold trabalhou com os pesquisadores da Eclypsium e lançou patches no início deste ano.
“Esta é apenas a ponta do iceberg em termos do que os drivers maliciosos são capazes”, disseram os pesquisadores. “Nossa pesquisa anterior identificou drivers que, além do acesso arbitrário de E/S, também tinham a capacidade de ler/gravar na memória, atuar como registradores de depuração e controle, além de ter acesso arbitrário ao PCI. Esses recursos em um driver vulnerável pode ter um impacto devastador nos dispositivos ATM ou PoS. Como muitos dos drivers desses dispositivos não foram analisados de perto, é provável que contenham vulnerabilidades não descobertas”.
Elevado potencial de abuso
Existem grupos de criminosos cibernéticos, como o Carbanak, especializados em invadir instituições financeiras e lentamente entrar nas redes de caixas eletrônicos. Esses grupos são metódicos e pacientes e podem passar meses dentro das redes até aprenderem os fluxos de trabalho da vítima e como seus sistemas funcionam. Quando eles decidem finalmente fazer o assalto, enviam “mulas” para coletar dinheiro em caixas eletrônicos invadidos, geralmente à noite.
Outro grupo conhecido como FIN7, que é relacionado à Carbanak, é especializado em invadir sistemas de PoS e tem como alvo empresas dos setores de hospitalidade e varejo para roubar dados de cartões de pagamento. Recentemente, o grupo foi observado enviando hardware USB malicioso para seus alvos via correio normal, sob o disfarce de um vale-presente da Best Buy.
Até as gangues de ransomware se interessaram por esses sistemas porque trancá-los poderia fornecer um incentivo maior para as organizações afetadas pagarem resgate. Na semana passada, a Symantec informou que o Sodinokibi, um dos grupos de ransomware mais sofisticados atualmente em operação, começou a procurar por softwares e sistemas PoS nos ambientes aos quais eles têm acesso.
Vulnerabilidades em drivers como o encontrado pelo Eclypsium não fornecem aos hackers o acesso inicial a um sistema, mas podem ser usados para aumentar seus privilégios quando eles obtiverem o apoio inicial por meio de outro método. Como demonstrado repetidamente por Carbanak, FIN7 e outros grupos de crimes cibernéticos, obter acesso a redes e sistemas não é necessariamente difícil e pode ser feito de várias maneiras.