Introduction

Ce fut une année difficile pour le secteur des services financiers et les fabricants de GAB avec un nombre croissant d’incidents et de variantes d’attaques de cash-out. Le jackpotting – également connu sous le nom d' »attaque de la boîte noire » – se réfère à des attaques dans lesquelles un GAB est manipulé pour distribuer tout son argent, comme une machine à sous après un jackpot dans un casino, serait en augmentation depuis le début de l’année. La semaine dernière, les autorités chargées de l’application de la loi ont informé les institutions de services financiers de la menace d’attaques logiques coordonnées contre des distributeurs automatiques de billets, connues sous le nom de « cashouts ». En outre, l’attaque récente de la banque Cosmos en Inde – attribuée au groupe nord-coréen Lazarus – bien qu’elle ne soit pas considérée comme une attaque typique par jackpot, révèle que l’infrastructure des DAB de certaines entités de services financiers est toujours vulnérable, notamment aux attaques logiques. Cette note d’information passe en revue les attaques par jackpot des GAB et les faiblesses que cela peut révéler de l’industrie des services financiers.

Informations contextuelles

Les GAB continuent d’être une cible rentable pour les criminels, qui utilisent diverses méthodes pour générer des revenus illégaux. Si certains s’appuient sur des méthodes de destruction physique par l’utilisation d’outils de découpe de métaux, d’autres choisissent des infections par des logiciels malveillants, leur permettant de manipuler les distributeurs de billets de l’intérieur.

Les criminels utilisent différents outils et techniques (physiques, logiques ou combinés) pour accéder à la « boîte noire » des DAB et contourner tous les contrôles de sécurité forçant le retrait de tout son argent. À quelques exceptions près, chaque DAB a la même fonctionnalité, un mécanisme de distribution d’argent contrôlé par un système d’exploitation utilisant un ordinateur personnel (PC) et, par conséquent, exposé au risque d’attaques logiques. Les attaques de logiciels malveillants, une sous-catégorie de ces attaques logiques, sont de plus en plus populaires parmi les cybercriminels.

Exemples d’outils utilisés dans les attaques de Jackpot

Endoscope – Dispositifs médicaux étroits, en forme de tube, avec des caméras aux extrémités, généralement utilisés pour voir à l’intérieur du corps humain. Utilisé par les fraudeurs pour voir à l’intérieur du DAB et localiser les points vulnérables.

Malware Tyupkin – Morceau de malware qui permet aux attaquants de vider les cassettes d’argent du DAB par manipulation directe. Identifié pour la première fois par des chercheurs en sécurité en 2013 sous le nom de Backdoor.MSIL.Tyupkin, affectant les DAB d’un grand fabricant fonctionnant sous Microsoft Windows 32 bits.

Malware Ploutus.D – Identifié par le nom de fichier de « AgilisConfigurationUtility.exe », est l’une des familles de malware DAB les plus avancées, découverte pour la première fois au Mexique en 2013. Ce malware une fois installé via un port USB, permet aux criminels de vider les ATM en utilisant soit un clavier externe attaché à la machine, soit un message SMS.

Cutlet Maker, c0decalc et Stimulator dans un kit d’outils malveillants – Kit de malware conçu à l’aide d’une API spécifique à un fournisseur d’ATM, ont rapporté les médias d’information. Pour mettre en œuvre une attaque à l’aide de ce kit, les criminels doivent avoir un accès direct à l’intérieur du DAB et atteindre l’un des ports USB, qui est utilisé pour télécharger le malware. Le c0decalc génère un mot de passe pour garantir le copyright de l’auteur du malware. Le Stimulateur récupère les informations sur l’état des cassettes d’argent liquide du GAB d’un fournisseur spécifique (comme la devise, la valeur et le montant des billets).

Exemples de techniques utilisées dans les attaques de Jackpotting :

Manipulation du disque dur du GAB :

  • Les fraudeurs déguisés en techniciens de GAB ou par l’intermédiaire d’une « mule » sur place remplacent le disque dur du GAB par un nouveau (éventuellement à l’aide d’une clé USB chargée d’un logiciel malveillant), afin de permettre des commandes de distribution non autorisées à l’unité de distribution d’argent.
  • Optionnellement, le disque dur de l’ATM peut être retiré, infecté par un malware et réinséré au lieu d’être remplacé par un disque dur fourni par l’attaquant.
  • En outre, les capteurs sont manipulés à l’aide d’un endoscope pour tromper le système d’authentification. De cette façon, les protocoles de communication cryptés sont contournés lors de l’attaque.

Ataque de la boîte noire:

  • Les fraudeurs déguisés en techniciens déconnectent le PC du guichet automatique ou « boîte noire » désactivant les mesures de sécurité logiques.
  • Un endoscope est utilisé pour regarder à l’intérieur du DAB et localiser la partie interne du distributeur de billets où un cordon peut être attaché, permettant la synchronisation entre l’ordinateur portable du criminel et l’ordinateur du DAB.
  • Le DAB est remis sous tension avec le logiciel malveillant déjà installé et fonctionnant en arrière-plan de la machine, attendant les instructions du clavier du DAB pour distribuer l’argent.

Man-in-the-Middle:

  • Les fraudeurs installent un dispositif altérant la ligne de communication entre le PC du DAB ou « boîte noire » et l’unité de distribution. Dans la plupart des cas, il s’agit d’une connexion série RS232 ou USB.
  • Le logiciel malveillant simule les réponses de l’hôte pour retirer de l’argent sans débiter le compte du fraudeur.

Ce qui rend ces attaques intéressantes pour certains criminels, c’est le peu de connaissances techniques nécessaires à leur exécution. Il existe de nombreux tutoriels et guides étape par étape disponibles sur le dark web pour leur faciliter la tâche. Néanmoins, ces attaques nécessitent un certain niveau d’accès physique au distributeur automatique de billets et l’exposition de l’identité du criminel pour les réaliser. Les criminels peuvent voler de l’argent dans les DAB en utilisant des méthodes moins compliquées que le jackpot. Il existe des attaques à distance qui ne reposent pas sur l’accès physique à l’intérieur du DAB, que le récent incident de la banque Cosmos est un bon exemple.

Les malwares injectés dans le réseau des DAB

Les attaquants infectent également les DAB avec des malwares à travers les réseaux des institutions financières. Une fois qu’un attaquant obtient l’accès au réseau d’une banque, il peut installer un malware à distance transformant le DAB en machine esclave. L’étape finale consisterait pour l’attaquant à envoyer des instructions directement au DAB, à lui ordonner de distribuer l’argent et à ordonner à une mule de le récupérer.

Cosmos Bank ATM Heist

Au début du mois, une attaque attribuée au Lazarus Group lié à la Corée du Nord a été responsable du vol de 13,5 millions de dollars américains à la Cosmos Bank indienne dans une attaque agressive qui a mis en évidence les limites des mesures utilisées par les banques pour se défendre contre les cybermenaces ciblées. On ne sait toujours pas comment les acteurs de la menace ont réussi à s’infiltrer dans le réseau de la banque. Selon une recherche de sécurité, basée sur la façon dont cet acteur de la menace opère généralement, les attaquants se sont introduits par le biais d’un courriel de spear-phishing et se sont ensuite déplacés latéralement, au sein du réseau de la banque, compromettant l’infrastructure ATM de l’institution.

Il ne s’agissait pas de la carte de base typique non présente (CNP) ou de l’attaque par jackpot. L’attaque était une opération plus avancée, bien planifiée et hautement coordonnée qui s’est concentrée sur l’infrastructure de la banque, en contournant efficacement les quatre principales couches de défense selon les conseils d’Europol sur l’atténuation des attaques de GAB. Après la compromission initiale, les attaquants ont très probablement utilisé le logiciel de test de l’ATM du fournisseur ou modifié le logiciel de commutation de paiement de l’ATM actuellement déployé pour créer un commutateur proxy malveillant (MPS). En conséquence, les détails envoyés par le commutateur de paiement pour autoriser la transaction n’ont jamais été transmis à la solution bancaire centrale (CBS), de sorte que les vérifications du numéro de carte, de l’état de la carte (froid, chaud, chaud), du code PIN, etc. n’ont jamais été effectuées. Au lieu de cela, la demande a été traitée par le MPS déployé par les attaquants, envoyant de fausses réponses autorisant les transactions.

Le FBI avertit les institutions financières sur un schéma global d’encaissement de GAB

Les médias d’information ont rapporté que, le Federal Bureau of Investigation (FBI) avertit les institutions financières que les cybercriminels se préparent à exécuter un schéma de fraude global très chorégraphié connu sous le nom de « ATM cash-out ». Le FBI a associé ce projet au piratage d’une banque ou d’un processeur de cartes de paiement et à l’utilisation de cartes clonées dans des distributeurs automatiques de billets du monde entier. Cette technique permettrait de retirer frauduleusement des millions de dollars en quelques heures seulement. L’avertissement a été émis quelques jours seulement avant le hold-up de la Cosmos Bank, mais les inquiétudes concernant les répliques sont toujours éminentes.

Recommandations

Recommandations pour les opérateurs de guichets automatiques et les institutions de services financiers

  • Mettre en œuvre les normes de sécurité EMV. EMV est une méthode de paiement basée sur une norme technique pour les cartes de paiement à puce (également appelées cartes à puce ou cartes IC) et pour les terminaux de paiement et les guichets automatiques qui peuvent les accepter.
  • Revoir la sécurité physique des GAB et envisager d’investir dans des solutions de sécurité physique de qualité et robustes et dans une alarme de sécurité pour GAB.
  • Sécuriser le compartiment supérieur (top box) d’un GAB qui contient le PC. Cette zone doit être sécurisée par une alerte anti-intrusion pour empêcher toute ouverture non autorisée, ou la serrure d’accès à la boîte supérieure doit être modifiée pour éviter l’utilisation des clés passe-partout par défaut fournies par le fabricant.
  • Mettre en œuvre des solutions de sécurité spéciales conçues pour les terminaux en libre-service. Des solutions qui maintiennent le logiciel des GAB à jour grâce à un programme intelligent de gestion de la sécurité des GAB. Envisagez d’inclure d’autres équipements connectés au GAB, tels que les dispositifs de réseau et les modems, dans le programme de gestion de la sécurité.
  • Rapports proactifs aux autorités chargées de l’application de la loi de tout retrait de montant inhabituel sur des unités spécifiques.
  • Utilisation d’un système de détection des fraudes en temps réel ou d’un logiciel d’intelligence artificielle pour repérer le vol de GAB, le blanchiment d’argent et d’autres crimes financiers.
  • Durcissement des politiques de sécurité du système d’exploitation du PC pour empêcher l’abus de privilèges, les comptes par défaut, l’installation de logiciels malveillants et l’accès non autorisé à des ressources comme les ports USB/CDs/DVDs/disques durs.
  • Régler le BIOS pour qu’il ne démarre qu’à partir du disque dur de l’ATM.
  • Désactiver le démarrage à partir de supports amovibles par défaut dans tout dispositif lié à l’ATM.
  • Bloquer l’utilisation de périphériques USB inconnus par défaut dans tout dispositif lié à l’ATM.
  • S’assurer que l’AUTORUN a été entièrement et efficacement désactivé dans tout dispositif lié à l’ATM.
  • Déployer le cryptage du disque dur pour empêcher les modifications non autorisées du contenu du disque dur.
  • Mettre en place des exigences de mot de passe fort et une authentification à deux facteurs utilisant un jeton physique ou numérique lorsque cela est possible pour les administrateurs locaux de l’ATM. Envisagez des politiques robustes de gestion des mots de passe. Les meilleures pratiques indiquent que ces mots de passe devraient être aussi complexes que le BIOS peut le supporter.
  • Limiter l’utilisation d’applications non approuvées pour bloquer l’exécution de logiciels malveillants.
  • Définir une politique établissant des mises à jour logicielles sécurisées et régulières pour tous les logiciels installés sur les appareils liés au GAB.
  • Surveiller le trafic crypté voyageant sur des ports non standard.
  • Surveiller le trafic réseau vers des régions où les connexions sortantes de l’institution financière ne se produisent pas normalement.
  • Configurer le système pour n’accepter que les communications initiales nécessitant une authentification au distributeur de billets. par exemple, par un accès physique au coffre. Cela peut empêcher les dispositifs non autorisés d’envoyer des commandes au distributeur de billets.
  • Définir des règles pour inhiber le contournement de la protection de la communication, par exemple en rétablissant le micrologiciel ou en rejouant les messages.
  • Établir un pare-feu pour restreindre toutes les communications entrantes vers l’ATM.
  • Appliquer des protections d’authentification et de cryptage de la communication à tout le trafic du réseau ATM. La recommandation est d’utiliser TLS 1.2 ou un VPN, et en mettant en œuvre le MACing pour fournir une authentification cryptographique des messages sensibles.

Recommandations pour les opérateurs de GAB sur site

  • S’assurer que le GAB est dans un environnement ouvert, bien éclairé et surveillé par des caméras de sécurité visibles. Le GAB doit être solidement fixé au sol à l’aide d’un dispositif anti-lasso qui dissuadera les criminels.
  • Vérifiez régulièrement le GAB pour détecter les signes de dispositifs tiers attachés (skimmers).
  • Soyez à l’affût des attaques d’ingénierie sociale par des criminels qui peuvent se faire passer pour des techniciens de GAB.
  • Mettez en place des alarmes d’intrusion et agissez en conséquence en notifiant les autorités chargées de l’application de la loi de toute violation potentielle.
  • Envisagez de remplir le GAB avec juste assez d’argent liquide pour une seule journée d’activité.

Marques de clôture

Le premier exploit de GAB connu publiquement a été présenté au monde lors de la conférence Black Hat 2010. Des années plus tard, les fraudeurs et leurs mules seraient devenus actifs dans les attaques de jackpot, encouragés par la lenteur de l’adoption de la technologie EMV par les opérateurs de DAB, le laxisme de la sécurité physique, la faiblesse de la surveillance et de la maintenance. Les informations décrivant les outils et les techniques nécessaires pour mener ces crimes sont également devenues largement disponibles sur le dark web. Tous ces facteurs ont créé un environnement idéal pour l’épanouissement de cette activité criminelle. Il n’en reste pas moins que les fraudeurs courent un certain risque, car il faut une présence physique pour mener l’attaque. Les attaques basées sur les réseaux de guichets automatiques constituent la prochaine meilleure technique pour les fraudeurs afin de retirer de l’argent de manière plus sûre et plus efficace. Le récent incident Cosmos démontre qu’il est possible pour les criminels de voler de grandes quantités d’argent dans les DAB en quelques heures seulement, sans laisser de trace.

Les TTP (tactiques/outils, techniques et procédures) utilisées par les criminels dans les attaques basées sur les réseaux de DAB sont très similaires à celles utilisées sur d’autres types de cibles dans une cyberattaque. En outre, les cybermenaces et les recommandations de sécurité qui s’appliquent généralement aux réseaux d’entreprise sont également valables pour les GAB.

Dans le cadre de ces récents incidents de sécurité, les responsables de la sécurité des institutions de services financiers devraient envisager d’étendre leurs mesures de sécurité des réseaux d’entreprise aux réseaux de GAB en priorité, en atténuant les risques d’exposition à ces attaques dévastatrices d’encaissement des GAB.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.