В рамках конференции по информационной безопасности Black Hat в Лас-Вегасе эксперты компании Positive Technologies рассказали о найденной ими уязвимости в наиболее популярных в России банкоматах производства американской компании NCR.
Как пишет газета "Коммерсант", ее суть заключается в том, что злоумышленники могут установить на контроллер диспенсера (сейфовая часть банкомата для выдачи купюр) устаревшее ПО с использованием технологии Black Box. Подключив к диспенсеру одноплатный компьютер и используя недостатки защиты сервисной зоны банкомата, хакеры могут отправить на устройство команду снять наличные. Эта уязвимость присутствует в банкоматах с диспенсерами моделей S1 и S2.
Как сообщил директор исследовательского центра компании Digital Security Роман Бажин, банкоматы NCR являются одними из самых распространенных в России, а подавляющее большинство из них оснащено диспенсером S1. Описанную уязвимость Бажин назвал очень серьезной, отметив, что для ее исправления нужно вручную установить новый софт на каждый банкомат.
По данным издания, уязвимость была выявлена еще несколько месяцев назад и тогда же в Positive Technologies передали информацию о ней в NCR. В феврале сообщение о проблеме было опубликовано на сайте производителя банкоматов, в котором банкам рекомендовалось установить на банкоматы специально выпущенное обновление ПО. Однако представители российских банков, использующих банкоматы NCR, узнали о проблеме только от обратившегося к ним журналиста "Коммерсанта". В то же время хакеры узнали о найденной лазейке довольно быстро – весной этого года в России был зафиксирован всплеск атак на банкоматы с использованием технологии Black Box.
"В апреле-мае мы зафиксировали несколько попыток атак на наши банкоматы с использованием техники Black Box. Скорее всего, данная уязвимость использовалась в этих атаках, рассказал директор департамента информационной безопасности МКБ Вячеслав Касимов.
По словам Касимова, атаки на банкоматы NCR с использованием Black Box наблюдаются c 2015 года, а политика подготовки исправлений у NCR не всегда позволяла эффективно справляться с угрозой. Весной банку удалось защититься от атак при помощи сторонних аппаратных средств защиты от Black Box, а также за счет круглосуточного мониторинга и оперативного реагирования.
Представители NCR не ответили на запрос издания, почему кредитные организации вовремя не получили обновление. По мнению глава адвокатского бюро "Старинский, Корчаго и партнеры" Евгения Корчаго, банки, пострадавшие от атак с использованием этой уязвимости теоретически могут предъявить иск к NCR по компенсации убытков.
"Если у банка есть соглашение на обслуживание банкоматов, то в случае успешно проведенной атаки против них он может предъявить исковые требования по компенсации убытков к производителю, если соглашение заключено с ним, или к сервисным центрам, оказывающим услуги по их обслуживанию", – сказал юрист, уточнив, что банкам тогда придется раскрыть сведения об успешных атаках, которые они предпочитают не афишировать для поддержания хорошей репутации.