В наиболее популярных на российском рынке банкоматах производства американской компании NCR была выявлена серьезная уязвимость, позволяющая изымать наличные средства при помощи сейфовой части устройства. Производитель банкоматов NCR убрал данный дефект еще полгода назад, тем не менее российские банки обновления так и не получили.
Специалисты Positive Technologies заявили 9 августа на конференции по информационной безопасности Black Hat в Лас-Вегасе об обнаруженной компанией уязвимости банкоматов NCR. Эта проблема заключается в том, что хакер может установить на контроллер диспенсера (сейфовой области банкомата для выдачи банкнот) устаревшее и менее защищенное ПО с применением технологии Black Box. А конкретно: подключить одноплатный компьютер к диспенсеру, при этом используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных денег. Эти уязвимости вызваны недостаточной защитой механизма записи памяти в двух моделях диспенсеров — S1 и S2.
Как рассказал Роман Бажин директор исследовательского центра компании Digital Security, банкоматы NCR являются наиболее распространенными в России. Лишь на сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся свыше 40 тыс. банкоматов (по сведениям регулятора, общее число банкоматов разных производителей на 1 апреля составляло порядка 200 тыс. штук). Вместе с тем большая часть из них имеет диспенсер S1, банкоматы с диспенсером S2 распространены не так широко. По рассказам Бажина, обнаруженная уязвимость является весьма серьезной.
Также для ее исправления нужно вручную устанавливать обновление программного обеспечения на каждый отдельный банкомат. Эксперт подчеркнул, что обновление довольно сложное, необходимо подключаться к каждому конкретному устройству, а это достаточно проблематично, если учитывать большую территориальную распределенность банкоматов.
Специалисты Positive Technologies обнаружили уязвимость и сообщили о ней в головной офис NCR. NCR 6 февраля 2018 года на своем сайте www.ncr.com разместила пресс-релиз об устранении уязвимости, выпуске обновления и дала рекомендации по его установке. Тем не менее российские банки, использующие данные банкоматы, узнали об уязвимости от журналиста этого издания. Конечно же, они не получили и обновления программного обеспечения для ее устранения. Итог — огромный рост атак на банкоматы весной 2018 года. Лишь в апреле с применением технологии Black Box было атаковано десять таких устройств (если сравнить: за весь 2017 год — 21).
В череде атак хакеры применяли именно эту выявленную уязвимость. Впрочем, пока неизвестно, насколько успешными были отражения данных атак. Как считает Бажин, информация об успешных атаках тщательно скрывается банками, поскольку несет репутационные риски.
