Taggat med: darknet

Så hackas en bankomat

De senaste åren har antalet attacker mot bankomater ute i samhället ökat här i Sverige. Attackerna började för nästan tio år sedan och då främst i andra länder där bankomaterna inte varit lika fysiskt skyddade. Förutom att ge sig på bankomaten fysiskt så kan även skimming-attacker förekomma där kort och kod läses av, men det är utanför detta blogginlägg.

Black Box-attack är en del av den typen av attacker som generellt kallas för jack-potting där en angripare kan göra så att bankomaten ”sprutar ut sedlar”. Och eftersom hanteringen av sedlar minskar i samhället så blir bankomater således ett större intresse för kriminella.

Att det kallas för black box är för att angriparen lyckas koppla in någon form av enhet till bankomaten, dvs en svart låda. Vad denna svarta låda innehåller kan exempelvis vara en Raspberry Pi eller laptop som innehåller en specialskriven mjukvara för att prata med sedelutmataren.

Två exempel på sådana mjukvaror är Cutlet Maker eller KoffeyMaker och finns att köpa på svarta marknaden/darknet för runt 30000 SEK.

Skärmdump från sajt som säljer Cutlet Maker:

Troligtvis är dessa mjukvaror en modifierad version av KDIAG som tillverkas av Diebold Nixdorf (tidigare Wincor Nixdorf). De kriminella lurar även varandra och det finns en keygen till Cutlet Maker som går under namnet c0decalc. Ytterligare så nyttjar dom en mjukvara vid namn Stimulator application som kan läsa information om valörer och liknande från sedelkassetten.

Denna skärmdump hittade jag i ett förundersökningsprotokoll från polisen där en black-box attack genomförts via en laptop som fjärrstyrs av TeamViewer:

Wincor Noxdorf KDIAG 2.6 Setup

Således så kombinerar de kriminella ett fysiskt inbrott på bankomaten med mjukvara som fjärrstyr sedelutmataren.

Enligt Wikipedia så finns det cirka 2500 bankomater (uttagsautomater) i Sverige och många av dessa står på ett sådant sätt att kriminella kan angripa dem nattetid. Vi kan hoppas att företagen som tillverkar dessa maskiner lär sig om vilka metoder de kriminella använder och täpper till hålen skyndsamt.

Om för mycket våld används mot automaten så kommer sedlarna att bli färgade och därför antar jag att mjukvaruattacker mot bankomater nyttjas i större och större utsträckning.

Många av dessa attacker förevisades bl.a. år 2010 på Blackhat-konferensen av cybersäkerhetsforskaren Barnaby Jack och som tyvärr dog några år senare.

Några kommentarer om intrånget mot Gunnebo

Uppdatering 1: Se längre ner.

Uppdatering 2: Brian Krebs gick redan ut i Feb/Mars och kontaktade Gunnebo efter att en server som tillhör dem stod exponerad ut mot internet med RDP-öppet. RDP är ett protokoll som möjliggör fjärradministration, och enligt Brian så var lösenordet password01. Dock är det oklart om det var via denna RDP-exponering som angriparna tog sig in.

Jag tänkte kommentera några saker gällande intrånget hos säkerhetsföretaget Gunnebo och hur denna typ av grupperingar arbetar.

Först och främst så är det enbart en sak som gäller för dessa antagonister: Pengar. De gör detta enbart för ekonomisk vinning, men Sverige som land drabbas på många olika sätt. Ritningar och information om känsliga system hos myndigheter såsom Försvarsmakten, FRA och Riksbanken kan i detta fall ha läckt ut. Det är rätt av Gunnebo att inte betala lösensumma till utpressarna, jag rekommenderar att aldrig göda denna typ av illegal verksamhet. Gunnebo kan själva också drabbas så klart, på flertalet sätt såsom mindre orderingång, prestigeförlust, negativ aktiekurs osv.

För organisationer som jobbar med leverantörer och underleverantörer såsom Gunnebo gäller det att dela med sig av minimalt med information. Efter uppdraget är slut eller upphandlingen är avklarad är det viktigt att gallra och radera information. Det gäller även eventuella backuper, mail-lådor osv där känslig information också kan sparas under en längre tid.

Intrånget genomfördes mest troligt på följande sätt:

En eller flertalet anställda får riktad E-post under längre tid där budskapet finjusteras till just att träffa deras organisation.

Mailet innehåller en bifogad fil alternativt en länk till en bifogad fil där mottagaren uppmanas att öppna filen. Denna fil innehåller någon typ av RAT (Remote Access Trojan) som inte upptäcks av antivirus-program.

Angriparen får nu ett initialt fotfäste inom Gunnebo och kan börja utforska system och behörigheter. När angriparen är väl innanför det yttre perimieterskyddet så har de flesta organisationer ett något sämre skydd och separation.

Detta är en kritisk punkt: Om organisationen har väl fungerande sensor-system så fångar dessa upp avvikande aktivitet hos användaren eller systemet. En SOC (Security Operations Center) kan fånga upp händelser när angriparen försöker eskalera rättigheter och genomföra lateral movements (sidorörelse?). Organisationen måste då snabbt isolera systemet och genomföra IT-forensik och Threat Hunting med ett EDR-system (Endpoint detection and response). Även kan kommando-kanalen (C&C) fångas upp med ett system som tittar och analyserar nätverkstrafiken, samt själva exfiltrationen som i detta fall handlade om 7.6TB som skickats ut ur nätverket.

Desto längre tid angriparen kan vara i nätverket och utforska desto mer system kan de erhålla tillgång till och sno information från.

Du bör även testa denna förmåga med återkommande annonserade och oannonserade tester. Hela flödet samt inviduella tester såsom phishing-tester mot personal, som förhoppningsvis utbildas löpande i detta.

Utpressarna har troligtvis krypterat delar eller stora mängder med information hos Gunnebo. Därför är det också viktigt att ha backup och testa dessa rutiner kontinuerligt.

Mount Locker som ligger bakom attacken mot Gunnebo arbetar troligtvis med flertalet andra hacker-grupper som tillgodoser den initiala intrångsvektorn. De ger sig på större organisationer såsom börsbolag som har möjlighet att pynta upp över 10 miljoner SEK i lösensumma.

Cybersäkerhet är inte lätt och måste få kosta tid, pengar och resurser

Ledningen måste vara med på tåget och tillgodose att detta finns avsatt och prioritera just detta. Distansarbete i samband med COVID-19 gör också att hotbilden förändras och VPN används i större utsträckning, jag återkommer med ett separat blogginlägg om detta.

Här är en lista med 861 andra organisationer som blivit utsatta av ransomware av 18 olika ransomware-grupperingar:

Uppdatering:

En annan aspekt i det hela att Gunnebo även utvecklar mjukvara till deras fysiska säkerhetssystem. En väl placerad bakdörr i denna mjukvara gör att en angripare kan ta sig förbi det fysiska skyddet.

Från darknet (Tor .onion) så kan man se följande skärmdumpar (källa)

Och den som vill djupdyka närmare när det gäller den typ av skadlig kod som troligtvis riktats eller använts mot Gunnebo kan se mer på Google-ägda VirusTotal.

Mer än 110 Tor-noder övervakar trafik i smyg

Ny forskning visar på att över 110 st Tor-noder övervakar trafiken i smyg. Det är så kallade Hidden Services Directories (HSDirs)-noder som innehåller listor med noder som troligtvis inte vill bli identifierade. Metoden för att identifiera dessa illasinnade noder genomförs med hjälp av en typ av honeypot vid namn HOnions.

Att namnge ”gömda noder” på darknets såsom Tor för Hidden Services har länge ansetts felaktigt och ett nytt namn kommer troligtvis snart att användas.

Tor HSDir

Även visar forskningen på att den förfrågan som skickas till HOnions-noderna varierar med allt från vanliga HTTP-förfrågningar samt mer avancerade SQL-injektionsförsök och:

One of the snooping HSDirs (5.*.*.*:9011) was actively querying the server every 1 hour asking for a server-status page of Apache. It is part of the functionality provided by mod status in Apache, which provides information on server activity and performance.

Forskningen kommer från Northeastern University och kan laddas hem här som PDF:

Vad är darknets bra för?

Det diskuteras mycket just nu om darknets och att detta skyddar mot myndigheters övervakning samt tillhandahåller anonymitet. Även så framgår det att mycket illegal verksamhet bedrivs på dessa (djupwebbar?) darknets såsom Tor och I2P.

Men är det verkligen annorlunda brottslighet som inte förekommer utanför darknets? För jag tror att många av dom sajterna som återfinnes i darknets även finnes på vanliga internet.

Det finns trots allt människor som sätter i pengar på de här sajterna. I och med att det finns pengar i potten så är jag säker på att det någonstans attraherar någon att förr eller senare genomföra dåden, varnar Stefan S, spaningsledare hos Malmöpolisen och en av de få som arbetar med Darknetbrottslighet.

Myndigheter kan med tillräckligt med resurser ändå avanonymisera sajter som använder sig av exempelvis .onion vilket hände för Silk Road eller som forskarna vid CERT förevisade. Eller klienter som när FBI nyttjade en sårbarhet i Firefox som var några veckor gammal.

Anonymiseringsnät fyller även en viktig funktion i diktaturer där befolkningen ej kan uttrycka sina åsikter utan påföljder. Det jag tror att vi ser är bara en naturlig vidareutveckling av internet som stärker nätet successivt.

För det är så att vi människor kommer alltid ha ett behov av att kommunicera anonymt, vare sig det är papper vi använder eller darknets. Det som händer nu är att kostnaden för att utbyta information anonymt går ner men priset för att avslöja den som utbyter information anonymt går upp.

TV4 Kalla Fakta sänder ikväll ett reportage om när dom granskar det mörka nätet som dom kallar det. Intressant också att myndigheten Sida stöttar Tor med bl.a.. finansiella medel.