ATM ve POS Sistemlerindeki Güvenlik Açıklarının Neden Olduğu Tehditler

ATM’ler ve POS cihazları uzun yıllardır siber korsanların temel hedefleri arasında. Siber korsanlar bu cihazların güvenlik bariyerlerini aşmak için çeşitli yöntemler geliştirmiş olsa da sürücülerde (driver) yer alan zafiyetler çok daha kalıcı ve zarar verici saldırılara neden olabilir.

Güvenlik uzmanları, uygulamaların cihaz donanımları ile iletişim kurmasını ve fonksiyonlarını yerine getirmesini sağlayan sürücülerin güvenliğinde tehdit edici açıklar belirledi. ‘Screwed Drivers‘ adı verilen kapsamlı güvenlik analizleri, en az 20 donanım üreticisi tarafından sağlanan 40 farklı Windows sürücüsünde güvenlik zafiyeti ve tasarım hataları olduğunu tespit etti.

Windows akıllara geldiğinde birçok kişi sunucular, iş istasyonları ve dizüstü bilgisayarları düşünse de Microsoft’un işletim sistemini kullanan başka cihazlar da var. Zira Windows, ATM’ler ve POS cihazlarının yanı sıra günümüzde birçok medikal vb. cihazlarda kullanımda. ATM ve POS cihazlarının belli sanayi standartları altında ve belli alanlarda kullanılması, diğer cihazlara kıyasla güncellenmelerini daha zor hale getiriyor.

Öte yandan, ATM ve POS cihazlarının belli bir süre kullanılmaması iş süreçlerinin aksamasına ve mali zarara neden olacağı için yazılım güncellemelerinin aksatılmadan gerçekleştirilmesi gerekiyor.

Son yıllarda ATM’ler hem fiziksel hem de dijital saldırılara çok daha yoğun şekilde maruz kalıyor. Peki ATM’ler nasıl ele geçiriliyor?

Siber korsanlar bir ATM’nin kontrolünü ele geçirmek için başlıca üç yöntem kullanıyor: Cihaza bağlı banka ağına sızıyor, cihazın kart işlemcilerine olan bağlantısını ele geçiriyor veya cihazı açarak bilgisayar sistemine müdahale ediliyor. Siber saldırganlar kullandıkları söz konusu yöntemler de giderek geliştiriliyor. Bu noktadaki yeni yöntemlerden biri, güvenlik zafiyeti bulunan sürücüleri kullanmak.

ATM sürücüsündeki açık 

Yakın tarihli güvenlik analizlerinde, önde gelen bir şirket tarafından üretilen ATM modelinin sürücüsünde güvenlik zafiyeti tespit edildi. Sürücü, uygulamaların çeşitli x86 I/O portlarına erişimini sağlamak için kullanılıyor.

ATM’ler, kart okuyucu, PIN tuş takımı, ağ arayüzleri veya nakit yuvaları çeşitli eklentileri bulunan bir bilgisayarı temsil ediyor. Güvenlik zafiyeti bulunan sürücü aracılığıyla I/O portlarına erişim sağlanırsa, bir siber korsan ATM’nin merkezi bilgisayarı ile PCI-bağlantılı cihazlar arasındaki veri transferini görebiliyor.

Ayrıca güvenlik zafiyeti barındıran sürücü, BIOS güncellemesi yapmak için de kullanılabiliyor. BIOS, bilgisayar açıldığında işletim sistemi devreye girmeden önce donanım bileşenlerini harekete geçiren donanım yazılımı olarak özetlenebilir.

BIOS güncellemesi yapan bir siber korsan BIOS rootkit yükleyerek bilgisayarın işletim sistemi güncellense bile saldırı düzenleyebiliyor (BIOS rootkit bir sistemin bellek donanımında yer alan ve uzaktan erişimi mümkün kılan programlamayı temsil ediyor). Böylece kalıcı bir saldırı oluşturmuş oluyor.

Şu ana kadar tespit edilen güvenlik zafiyeti üzerinden bir saldırı yapılmamış durumda. Fakat aynı sürücünün diğer ATM modellerinin yanı sıra POS sistemlerinde de kullanıldığı biliniyor. Güvenlik zafiyeti konusunda uyarılan ATM üreticisi şirket, bu yıl içinde bir yama (patch) sundu.

Araştırmacılar ise söz konusu zafiyetin ‘buzdağının görünen ucu olduğu’ uyarısında bulunuyor. Geçmişteki araştırmalar, rastgele I/O erişiminin yanı sıra sürücüler üzerinden belleğe erişim sağlanabileceğini, rastgele PCI erişimi de sağlanabileceğini gösterdi. Bu tür işlemler, ATM ve POS cihazlarına ciddi saldırılar düzenlenmesine neden olabilir. Birçok ATM ve POS cihazındaki sürücünün analiz edilmemiş olması, bilinmeyen birçok güvenlik zafiyeti olduğuna da işaret edebilir.

Siber saldırganlar için yeni fırsat

Carbanak gibi direkt olarak finansal kurumlara saldırma ve ATM’leri ele geçirme gibi saldırı alanlarına odaklanmış siber suç örgütleri mevcut. Bu suç örgütlerinin en büyük özelliği, gelişmiş saldırı yöntemleri kullanmaları ve gerektiğinde aylarca pusuya yatabilmeleri. ATM’leri ele geçirdiklerinde ise ATM’lerdeki paraları “kuryeler” vasıtasıyla genellikle geceleri topluyorlar.

Carbanak ile bağlantısı olduğu bilinen FIN7 adlı bir diğer suç grubu ise POS sistemlerine girmek konusunda uzmanlaştığı gibi kredi kartı bilgileri çalmak için turizm ve perakende sektörünü hedef alıyor. FIN7, yakın geçmişte düzenlediği bir saldırıda  “hediye kuponu” görüntüsüyle birçok hedefe kargo paketi gönderdi. Kargonun içinde, kötü amaçlı yazılım yüklü USB’ler yer alıyordu.

Son zamanlarda fidye yazılım odaklı siber suç örgütleri de ATM ve POS sistemlerine ilgi göstermeye başladı. Sebebi ise açık; bu cihazları kilitleyerek şirketlerden fidye talep edebiliyorlar. Güvenlik analizleri, çarpıcı bir örnek olarak en etkin fidye yazılım örgütlerinden Sodinokibi’nin sızdığı ağlarda POS yazılım ve sistemlerini incelediğini ortaya koydu.

Diğer taraftan sürücülerde tespit edilen güvenlik zafiyetleri siber korsanlara sistemlere anında giriş imkânı vermiyor. Ancak bir diğer yöntem ile erişim sağladıkları zaman düzenleyecekleri saldırının şiddeti direkt olarak artıyor. Carbanak, FIN7 ve diğer suç örgütleri tarafından bugüne dek ortaya konduğu gibi sistemlere birçok şekilde ve kolaylıkla sızılabiliyor.

Güvenlik uzmanları, “ATM bilgisayarında bir zafiyet tespit edildikten sonra siber korsanların alt sistemlere de erişebildiğini ve kendilerine farklı türde siber saldırı düzenleme imkânları sağladıklarını” belirtiyor. Bir ATM bilgisayarı ele geçirildiğinde diğer cihazların donanımları ile bağlantı kurulabiliyor, böylece güvenlik bariyerleri adım adım ele geçiriliyor.

Gelişmiş saldırılar odaklı suç örgütleri, özellikle BIOS güncellemesi yoluyla bilgisayarlarda kalıcı olmayı tercih ediyor. Böylece aynı hedefe birçok kez saldırı düzenlenebiliyor.

Dahası, sürücü ele geçirildiğinde BIOS güncellemeleri siber korsan tarafından istendiği gibi yüklenebiliyor ve bu yolla sistemin yeniden başlatılması engellenebiliyor.

Geçmişte düzenlenen fidye saldırılarının mantığı buna dayanıyor. Bilgisayarların master boot record (MBR) bilgisini ele geçiriyor ve bilgisayarın tekrar yüklenmesine mâni olunuyordu. Kurbanlar fidyeyi ödeyene kadar da bilgisayar açılmıyordu. MBR, herhangi bir hard diskin ilk segmentinde yer alan ve işletim sisteminin nasıl ve nerede konumlandığını belirten bilgi. Bu sayede, bilgisayar sisteminin yeniden başlatılması (reboot) yapılabilir.

Donanım ve yazılım geliştiricilere büyük iş düşüyor

Söz konusu saldırılardan cihazları kurtarabilmek manuel müdahale gerektiriyor. ATM’lerin coğrafi olarak çok geniş alanlara yayıldığı düşünüldüğünde bu çözüm ciddi zaman kaybı anlamı taşıyor. Üstelik tek veya birden fazla mağazada ATM’ler aniden çökerse, bu sorun ciddi mali zarar oluşturabilir.

Bu aşamada 2012’de Saudi Aramco’ya 2012’de; Sony Pictures’a ise 2014’te düzenlenen saldırıları hatırlatmak gerekiyor. Her iki saldırıda amaç, iş faaliyetlerini sekteye uğratmaktı. Böylece şirketlerin mali zarara uğramasına neden olunduğu gibi hisse değerleri de düşüş yaşadı.

Sürücüler üzerindeki güvenlik analizi, kod hatalarından çok mimari tasarımda sorunlar olduğunu gösterdi. Analistlere göre bu sorunların ortaya çıkmasının sebebi uygulama-donanım ilişkisini olabildiğince güçlü tutmak isterken gerekli kontrolleri yapmamaktan kaynaklanıyor.

Uzmanlar, donanım ve yazılım geliştiricilerin üretim süreci sonucunda ortaya çıkabilecek zafiyetleri düşünmesi, aksi takdirde siber saldırılara kapı aralayabileceklerinin bilincinde olmaları gerektiğini belirtiyor.