دستگاه‌های خودپرداز (ATM) و کارت‌خوان (POS) در سال‌های اخیر توسط گروه‌های زیادی از مجرمین سایبری مورد حمله واقع شده‌اند و برخی از این حملات منجر به سرقت‌های مالی بزرگی شده‌اند. مهاجمین راه‌های مختلفی برای نفوذ به این دستگاه‌ها دارند اما اکنون پژوهشگران هشدار می‌دهند که آسیب‌پذیری‌های موجود در درایورهای این تجهیزات می‌تواند امکان حملات پایدارتر و خطرناک‌تری را فراهم کند.

محققان Eclypsium، شرکتی که در امنیت تجهیزات تخصص دارد، امنیت برخی از این درایورها را در قالب پروژه‌ای به نام Screwed Drivers بررسی کرده‌اند. آن‌ها طی یک سال گذشته آسیب‌پذیری‌هایی در 40 درایور تحت ویندوز که محصول 20 تولیدکننده سخت‌افزار هستند، آسیب‌پذیری‌هایی را پیدا کرده‌اند. سیستم‌عامل ویندوز علاوه بر سرورها و کامپیوترهای شخصی در دستگاه‌های ATM، POS و سایر تجهیزات خاص منظوره نیز به کار می‌رود. به‌روزرسانی این تجهیزات سخت‌تر است، زیرا آن‌ها در صنایعی استفاده می‌شوند که قوانین خاصی بر آن‌ها حاکم است و به‌روزرسانی تجهیزات نیازمند آزمایش‌های سختگیرانه است.

حملات روی دستگاه‌های خودپرداز می‌تواند اشکال متنوعی داشته باشد. طبق گزارش Eclypsium «مهاجمان با نفوذ به شبکه بانکی متصل به دستگاه [خودپرداز مورد هدف]، با نفوذ به اتصالات بین دستگاه و پردازنده‌های کارت یا با دسترسی به کامپیوتر داخلی ATM می‌توانند بدافزار را به دستگاه وارد کنند. سپس مثل حملات سنتی، مهاجمین یا بدافزار نیاز دارند که دسترسی خود به تجهیز قربانی را ارتقاء دهند تا دسترسی عمیق‌تری به سیستم پیدا کنند. اینجا است که درایورهای بدخواه یا آسیب‌پذیر به کار می‌آیند. با بهره‌گیری از قابلیت‌های درایورهای ناامن، مهاجمان یا بدافزار آن‌ها می‌توانند دسترسی جدید پیدا کنند، به اطلاعات دست یابند و در نهایت پول یا داده مشتریان را سرقت کنند.»

آسیب‌پذیری در درایورهای خودپرداز Diebold Nixdorf

Diebold Nixdorf یکی از بزرگ‌ترین تولیدکنندگان دستگاه‌های بانکی و فروشگاهی است. محققان Eclypsium طی تحقیقات خود، یک آسیب‌پذیری‌ در درایور مورد استفاده یکی از مدل‌های ATM این شرکت کشف کرده‌اند. این درایور به اپلیکیشن‌ها اجازه دسترسی به پورت‌های ورودی/خروجی مختلف x86 را می‌دهد. خودپردازها کامپیوترهایی با دستگاه‌های جانبی (peripheral) مثل کارت‌خوان، صفحه کلید، رابط شبکه یا کاست پول هستند و از طریق پورت‌های ارتباطی مختلف به این دستگاه‌های جانبی متصل می‌شوند. مهاجم از طریق درایور آسیب‌پذیر با دسترسی به پورت‌های ورودی/خروجی می‌تواند داده‌های رد و بدل شده بین کامپیوتر مرکزی ATM و دستگاه‌های متصل شده از طریق PCI را بخواند.

علاوه بر آن، این درایور می‌تواند برای به‌روزرسانی بایاس (BIOS) نیز به کار رود، بایاس، ثابت‌افزار سطح پایین کامپیوتر است که قبل از سیستم‌عامل بارگذاری شده و اجزاء سخت‌افزاری را آماده می‌کند. با سوءاستفاده از این قابلیت، مهاجم می‌تواند یک روت کیت بایاس را نصب کند که پس از نصب مجدد سیستم‌عامل هم باقی بماند و امکان حملات پایدار را فراهم کند. البته Diebold با همکاری این محققان یک وصله برای این آسیب‌پذیری منتشر کرده است.

هم خودپردازها و هم دستگاه‌های کارت‌خوان هدف حملات سایبری قرار گرفته‌اند. گروه‌های مجرمانه‌ای مثل Carbank وجود دارند که به مؤسسات مالی مثل بانک‌ها نفوذ می‌کنند و به آرامی راه خود را به شبکه ATM پیدا می‌کنند. چنین گروه‌هایی با برنامه و صبورانه عمل می‌کنند و ممکن است ماه‌ها داخل شبکه مخفی بمانند تا جریان‌های کاری قربانی و نحوه کار سیستم‌هایش را کشف کنند. در نهایت وقتی تصمیم به سرقت پول می‌گیرند، معمولاً شب هنگام افراد فریب خورده (money mules) را به دستگاه خودپرداز هک شده می‌فرستند تا پول را برداشت کنند.

تحقیق Eclypsium نشان دهنده کمبود امنیت مبتنی بر طراحی (security by design) است. زیرا اکثر اشکالات یافت شده بیشتر مربوط به معماری هستند تا آسیب‌پذیری‌های درون کد. به عقیده جس مایکل (Jesse Michael) محقق ارشد Eclypsium، این مشکلات اغلب نتیجه تلاش توسعه‌دهندگان برای رفع یک نیاز تجاری است (مثل نیاز یک اپلیکیشن به برقراری با ارتباط با یک قطعه سخت‌افزاری)، بدون استفاده از کنترل‌های لازم. «اکثر این موارد [اشکالات امنیتی] مثال‌هایی هستند از اینکه یک نفر واقعاً به تبعات سوءاستفاده از یک قابلیت فکر نکرده است. این قابلیت برای کار خاص مد نظر آن‌ها مناسب است، اما آن‌ها فکر نکرده‌اند که آیا افراد دیگر می‌توانند از این قابلیت برای مقاصد بد یا سایر کارها استفاده کنند یا خیر.»