Jak przestępcy czyszczą bankomaty z całej zawartości kasetek

dodał 5 lutego 2018 o 08:34 w kategorii Wpadki, Złośniki  z tagami:
Jak przestępcy czyszczą bankomaty z całej zawartości kasetek

W ostatnich dniach stycznia służby specjalne Stanów Zjednoczonych wydały ostrzeżenie dla instytucji finansowych przed planowanymi cyberatakami na terminale płatnicze ATM (bankomaty). Nie bez powodu.

Celowość komunikatu znalazła swoje potwierdzenie w wydarzeniach kolejnych dni. W Stanach Zjednoczonych odnotowano liczne skuteczne ataki zwane ATM Jackpotting, za sprawą których opróżniono wiele bankomatów.

Malware atakuje

Przed pięcioma laty po raz pierwszy zarejestrowano malware Ploutus, którym zainfekowane były bankomaty w Meksyku. Pozwalał on cyberprzestępcom na opróżnienie kaset z pieniędzy. Początkowo na ataki podatne były tylko wybrane modele urządzeń firmy NCR, jednakże w ostatnim czasie możliwości złośliwego oprogramowania uległy znacznemu rozszerzeniu i obecna jego wersja – Ploutus.D – jest w stanie atakować urządzenia różnych producentów.

Malware nie wykorzystuje podatności oprogramowania. Jest to atak logiczny, który wykorzystuje wewnętrzne protokoły urządzenia, oprogramowanie niskiego poziomu (firmware, middleware) oraz komunikację wewnętrzną sprzętu. Stopień złożoności malware wskazuje, iż cyberprzestępcy doskonale operują na bardzo niskim poziomie budowy urządzeń ATM.

źródło: https://www.symantec.com/connect/blogs/criminals-hit-atm-jackpot

W atakach logicznych na bankomaty wykorzystuje się urządzenie zewnętrzne (laptopy lub same klawiatury) oraz specjalnie przygotowane oprogramowanie (Ploutus.D). Użyte narzędzia pozwalają przestępcom na przejęcie kontroli nad dyspenserem (modułem odpowiedzialnym za pobieranie gotówki z kaset i przekazywanie wypłacającemu) i dokonanie wypłaty dowolnej kwoty. Nazwa „jackpotting” nawiązuje do wygranej w kasynie, kiedy po wylosowaniu odpowiedniej kombinacji symboli, maszyna zaczyna wypłacać całą swoją zawartość.  Podobnie bankomat po wpisaniu odpowiedniego kodu lub wysłaniu sygnału sterującego na poziomie elektronicznym, wydaje całą gotówkę, będącą w jego dyspozycji.

Jak zainfekować bankomat

Jak podaje Brian Krebs, realizowane scenariusze ataków różnią się nieco w szczegółach. Po przygotowaniu malware najtrudniejszym etapem jest uzyskanie dostępu do wnętrza urządzenia oraz podpięcie do złącza, które pozwoli na zainfekowanie oprogramowania. W tym zakresie pomysłowość przestępców przerosła przewidywania konstruktorów bankomatów. Przez niewielki otwór wprowadzali do bankomatu endoskop (przyłączoną do telefonu kamerę inspekcyjną wraz z własnym źródłem światła), podłączali złącze laptopa bezpośrednio do komputera bankomatu i synchronizowali dane na dyskach. W dalszej kolejności przestępcy wyłączali program antywirusowy, instalowali malware, odłączali interfejs sieciowy, po czym restartowali system operacyjny. Po uruchomieniu bankomat był gotowy do wypłaty całości posiadanych środków. Cała instalacja trwała maksymalnie 30 minut. Po tym czasie następowało wydanie gotówki, które mogłoby nie wzbudzać podejrzeń, gdyby nie fakt, że bankomat wypłacał w kilku seriach całą swoją zawartość. Mimo że centrale zarządzania siecią bankomatów rejestrowały anomalię (odłączenie od sieci),  to jednak dotychczas nie uznawano tego faktu za zdarzenie mające wpływ na cyberbezpieczeństwo. Przestępcy doskonale rozpoznali budowę i słabe punkty bankomatu, wybrali modele podatne na ataki oraz najsłabsze miejsce w którym można sforsować obudowę.

źródło: https://krebsonsecurity.com/2018/01/first-jackpotting-attacks-hit-u-s-atms

Do bankomatów przestępcy dostawali się również w mniej subtelny sposób. W obudowie bankomatu wycinano otwór, który pozwalał na wymontowanie dysku twardego. Dysk, poza bankomatem, był infekowany i wmontowany w swoje pierwotne miejsce. Dalsza część ataku wyglądała podobnie: restart systemu i wypłata gotówki.

W tego typu ataku przestępcy zorganizowali się i podzielili zadaniami. Osobne grupy w sposób fizyczny dostawały się do bankomatów i infekowały urządzenia, inne zdalnie kontrolowały sprzęt, jeszcze inne wypłacały pieniądze.

 Czy można się obronić

ATM Jackpotting nie jest wymierzony bezpośrednio w klientów banków, a wprost we właścicieli bankomatów. Producent urządzeń, firma Diebold Nixdorf, wydała pilną rekomendację:

  1. Ograniczyć i kontrolować fizyczny dostęp do urządzenia (użycie zamków uniemożliwiających siłowe otwarcie, kontrola dostępu przez personel, weryfikacja osób serwisujących, implementacja dodatkowych składników uwierzytelniania).
  2. Włączyć zalecane mechanizmy ochronne w modułach wypłacających (zaktualizować firmware ostatnią wydaną poprawką bezpieczeństwa, zastosować bezpieczniejszą konfigurację włączając szyfrowanie wewnętrznej komunikacji i fizyczne uwierzytelnianie).
  3. Wdrożyć dodatkowe mechanizmy kontrolne (kontrola otwarcia obudowy, monitorowanie zdarzeń bezpieczeństwa w czasie rzeczywistym, szyfrowanie dysków, sprawdzanie integralności transakcji oraz ciągłości komunikacji z komponentami wewnętrznymi, utrzymanie aktualnego systemu operacyjnego oraz oprogramowania).

Co dalej

Analiza próbek Ploutus.D wykazała, że malware atakuje urządzenia firmy Diebold. Jednak niewielkie zmiany w złośliwym kodzie pozwalają na przeprowadzenie ataku na 40 różnego typu urządzeń stosowanych w 80 krajach. Dodatkowo należy zauważyć, że terminale ATM wciąż pracują na systemach Windows XP, a ograniczenie tego typu ataków wiąże się aktualizacją wersji do Windows 7.

Również poznanie szczegółowego działania bankomatu nie wydaje się trudne. W Internecie można znaleźć techniczną dokumentację wielu modeli urządzeń, a na popularnych portalach aukcyjnych w Polsce i za granicą dostępne były podajniki banknotów, a nawet całe terminale ATM.

Informacje przekazane przez amerykańskie służby potwierdziły się i odnotowano wiele ataków ATM Jackpotting. Wszystkie instytucje finansowe poważnie potraktowały to ostrzeżenie. W oparciu o zalecenia producenta urządzeń wprowadzane są dodatkowe zabezpieczenia utrudniające lub uniemożliwiające okradanie bankomatów. Prace te dotyczą także sieci polskich bankomatów, w których nadal funkcjonuje bardzo dużo urządzeń Diebold. Analitycy prognozują, że tego typu ataki przeniosą się na obszar Europy.