Zagrożenie - bankomaty
2018.02.06

Atak ATM Jackpotting polega na zainfekowaniu bankomatu złośliwym robakiem, który pozwala złodziejom wypłacić dużą ilość gotówki.

Ten typ ataku znany jest od lat, odnotowany został po raz pierwszy w Meksyku w 2013 roku, atakowane też były bankomaty w Europie i Azji.

Kolej na USA

W tym roku przypadki jackpottingu zaobserwowano w Stanach. Już 18 stycznia Brian Krebs, dziennikarz amerykański specjalizujący się w bezpieczeństwie, pisał, że Amerykańskie służby bezpieczeństwa wydały ostrzeżenie dla instytucji finansowych o potencjalnych atakach na bankomaty.

Krebs pisze, że przestępcy użyli malware o nazwie Ploutus.D, zaawansowanego szczepu malware, jaki po raz pierwszy pojawił się w 2013 roku. Celem złodziei stały się bankomaty firmy Diebold Nixdorf. Wiele takich maszyn jest instalowanych jako wolnostojące w różnych punktach. W ten sposób stały się łatwym celem.

Według informatora Krebsa, Secret Service uważa, że celem są przede wszystkim maszyny ładowane od przodu, serii Opteva 500 i 700. Seria ataków była dobrze przygotowana pod kątem znajomości budowy i możliwości dostania się do twardego dysku. Problem polega również na tym, że ATMy pracują na Windows XP, co czyni je bardziej podatnymi na specyficzne ataki.

Nadzór zlekceważył sygnały

Aby przeprowadzić atak, złodzieje muszą mieć fizyczny dostęp do urządzenia. Np. wycinając w nim dziurę lub, bardziej subtelnie, dostając się z pomocą endoskopu, przez niewielki otwór. Udając techników, podłączali się do komputera ATM. Bankomat, na jakiś czas był odłączany od sieci, ale nadzorujące jego pracę systemy, nie traktowały tej sytuacji jako zagrożenia.

Po odpowiednim spreparowaniu twardego dysku, lub jego wymianie na inny, który odzwierciedlał oprogramowanie urządzenia, bankomat wracał do pracy. Dla zwyczajnych klientów jednak był “niedostępny”. Natomiast przestępcy, po zdalnym przejęciu kontroli, wysyłali do dalszej akcji kolejne osoby, które wypłacały całą gotówkę, jaka znajdowała się w urządzeniu. Po wyczyszczeniu zasobów, „technicy” z powrotem podłączali urządzenie prawidłowo.

Inni dostawcy też powinni się pilnować

Specjaliści firmy FireEye, który analizowali wcześniejsze wersje Ploutus uważają, że jest to jedna z bardziej zaawansowanych rodzin złośliwego oprogramowania dla bankomatów. Według nich, niewielkie zmiany wprowadzone w kodzie malware, mogą umożliwić jego użycie przeciwko 40 różnym dostawcom bankomatów w 80 krajach.

Wczoraj (5 lutego) Departament Sprawiedliwości US ogłosił, że aresztowano i postawiono w stan oskarżenia dwóch mężczyzn odpowiedzialnych za kradzieże. Za przestępstwo grozi nawet 30 lat więzienia.

Co ciekawe, już w 2010 na konferencji Black Hat w Las Vegas Barnaby Jack, nieżyjący już haker i programista, zademonstrował dwa sposoby na sforsowanie ATMów. Jeden zdalny a drugi poprzez fizyczne podłączenie się do urządzenia. Natomiast specjaliści Kaspersky Lab w kwietniu 2017 roku zidentyfikowali jeszcze inny malware, sprzedawany w DarkNecie, również służący do ataku ATMN Jackpotting. Ale o tym w następnym odcinku 😉

 

 

 

Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas