Úvod

Pro odvětví finančních služeb a výrobce bankomatů to byl náročný rok s rostoucím počtem incidentů a variant cash-out útoků. Útoky typu Jackpotting – známé také jako „útok na černou skříňku“ – označují útoky, při nichž je bankomat zmanipulován tak, aby vydal veškerou hotovost, podobně jako výherní automat po jackpotu v kasinu, se údajně od začátku roku množí. Minulý týden orgány činné v trestním řízení informovaly instituce poskytující finanční služby o hrozbě koordinovaných logických útoků na bankomaty známých jako „ATM cashouts“. Kromě toho nedávný útok na banku Cosmos v Indii – připisovaný severokorejské skupině Lazarus – sice není považován za typický jackpotový útok, ale ukazuje, že infrastruktura bankomatů některých subjektů finančních služeb je stále zranitelná, zejména vůči logickým útokům. Tato informační poznámka se zabývá útoky na bankomaty a slabinami, které mohou odhalit z odvětví finančních služeb.

Kontextuální informace

ATM jsou i nadále výnosným cílem zločinců, kteří využívají různé metody k získání nelegálních příjmů. Zatímco někteří spoléhají na fyzicky destruktivní metody pomocí nástrojů na řezání kovů, jiní volí infikování malwarem, který jim umožňuje manipulovat s bankomaty zevnitř.

Zločinci používají různé nástroje a techniky (fyzické, logické nebo kombinované), aby získali přístup k „černé skříňce“ bankomatu a obešli všechny bezpečnostní kontroly, čímž si vynutí výběr všech peněz. Až na výjimky má každý bankomat stejnou funkci, mechanismus pro výdej hotovosti, který je řízen operačním systémem pomocí osobního počítače (PC), a proto je vystaven riziku logických útoků. Útoky malwarem, podkategorie těchto logických útoků, jsou mezi kybernetickými zločinci stále oblíbenější.

Příklady nástrojů používaných při útocích jackpotem

Endoskop – úzký lékařský přístroj ve tvaru trubice s kamerami na koncích, který se obvykle používá k nahlížení do lidského těla. Používají ho podvodníci, aby viděli dovnitř bankomatu a našli zranitelná místa.

Tyupkin malware – Část malwaru, která útočníkům umožňuje vyprázdnit pokladny bankomatu přímou manipulací. Poprvé identifikován bezpečnostními výzkumníky v roce 2013 jako Backdoor.MSIL.Tyupkin, napadá bankomaty významného výrobce s 32bitovým systémem Microsoft Windows.

Malware Ploutus.D – Identifikován podle názvu souboru „AgilisConfigurationUtility.exe“, je jednou z nejpokročilejších rodin malwaru pro bankomaty, poprvé objeven v Mexiku v roce 2013. Tento malware po instalaci přes port USB umožňuje zločincům vyprazdňovat bankomaty buď pomocí externí klávesnice připojené k přístroji, nebo prostřednictvím zprávy SMS.

Cutlet Maker, c0decalc a Stimulator v sadě nástrojů malwaru – Sada malwaru navržená s pomocí rozhraní API specifického pro dodavatele bankomatů, informovala zpravodajská média. K operačnímu provedení útoku pomocí této sady potřebují zločinci získat přímý přístup do útrob bankomatu a dostat se k jednomu z portů USB, který slouží k nahrání malwaru. Nástroj c0decalc generuje heslo, které zaručuje autorská práva autora malwaru. Stimulátor načítá informace o stavu hotovostních kazet konkrétního dodavatele bankomatu (například měnu, hodnotu a množství bankovek).

Příklady technik používaných při útocích Jackpotting:

Manipulace s pevným diskem bankomatu:

  • Podvodníci převlečení za techniky bankomatu nebo prostřednictvím „peněžní muly“ na místě vymění pevný disk bankomatu za nový (případně použijí flash disk s malwarem), aby umožnili neoprávněný výdej příkazů do jednotky pro výdej hotovosti.
  • Případně lze pevný disk bankomatu vyjmout, infikovat malwarem a místo výměny za pevný disk dodaný útočníkem jej znovu vložit.
  • Kromě toho se pomocí endoskopu manipuluje se senzory, aby se oklamal systém ověřování. Tímto způsobem jsou při útoku obcházeny šifrované komunikační protokoly.

Útok na černou skříňku:

  • Podvodníci převlečení za techniky odpojí počítač bankomatu nebo „černou skříňku“ vyřadí logická bezpečnostní opatření.
  • Pomocí endoskopu nahlédnou dovnitř bankomatu a najdou vnitřní část bankomatu, kam lze připojit kabel, který umožní synchronizaci mezi notebookem zločince a počítačem bankomatu.
  • Baterie je opět zapnuta s již nainstalovaným malwarem, který běží na pozadí bankomatu a čeká na pokyny z klávesnice bankomatu k výdeji hotovosti.

Man-in-the-Middle:

  • Podvodníci nainstalují zařízení narušující komunikační linku mezi počítačem bankomatu nebo „černou skříňkou“ a výdejní jednotkou. Ve většině případů se jedná o sériové připojení RS232 nebo USB.
  • Škodlivý software falšuje reakce hostitelského počítače, aby došlo k výběru peněz bez odepsání peněz z účtu podvodníka.

Pro některé zločince jsou tyto útoky zajímavé tím, že k jejich provedení jsou zapotřebí nízké technické znalosti. Na temném webu je k dispozici spousta návodů a průvodců krok za krokem, které jim vše usnadní. Přesto tyto útoky vyžadují určitou úroveň fyzického přístupu k bankomatu a odhalení identity zločince, aby je mohl provést. Zločinci mohou peníze z bankomatů ukrást i méně komplikovanými metodami, než je jackpotting. Existují útoky na dálku, které se nespoléhají na fyzický přístup do vnitřku bankomatu, toho je dobrým příkladem nedávný incident s bankou Cosmos.

Malware injektovaný do sítě bankomatů

Útočníci infikují bankomaty malwarem také prostřednictvím sítí finančních institucí. Jakmile útočník získá přístup do sítě banky, může ze vzdáleného místa nainstalovat malware, který bankomat přemění na podřízený stroj. V konečné fázi pak útočník odešle instrukce přímo do bankomatu, přikáže mu vydat peníze a nařídí mule, aby je vyzvedla.

Přepadení bankomatu banky Cosmos

Začátkem tohoto měsíce byl útok připisovaný skupině Lazarus Group napojené na Severní Koreu zodpovědný za krádež 13,5 milionu amerických dolarů z indické banky Cosmos v rámci agresivního útoku, který odhalil omezení v opatřeních, jež banky používají na obranu proti cíleným kybernetickým hrozbám. Zatím není jasné, jak se aktérům hrozby podařilo zpočátku proniknout do sítě banky. Podle bezpečnostního výzkumu, který vychází z toho, jak tento aktér hrozeb obvykle operuje, útočníci pronikli do banky prostřednictvím spear-phishingového e-mailu a poté se pohybovali bočně, v rámci sítě banky, a kompromitovali infrastrukturu bankomatů instituce.

Nešlo o typický základní útok typu CNP (card-not-present) nebo jackpotting. Jednalo se o pokročilejší, dobře naplánovanou a vysoce koordinovanou operaci, která se zaměřila na infrastrukturu banky a účinně obešla čtyři hlavní vrstvy obrany podle pokynů Europolu pro zmírnění útoků na bankomaty. Po počáteční kompromitaci útočníci s největší pravděpodobností buď využili testovací software dodavatele bankomatů, nebo provedli změny v aktuálně nasazeném softwaru platebního přepínače bankomatů a vytvořili škodlivý proxy přepínač (MPS). V důsledku toho nebyly údaje odeslané z platebního přepínače k autorizaci transakce nikdy předány do základního bankovního řešení (CBS), takže nikdy nebyly provedeny kontroly čísla karty, stavu karty (Cold, Warm, Hot), kódu PIN a další. Místo toho byl požadavek zpracován MPS nasazeným útočníky, kteří odeslali falešné odpovědi autorizující transakce.

FBI varuje finanční instituce před globálním schématem vybírání peněz z bankomatů

Zpravodajská média informovala, že Federální úřad pro vyšetřování (FBI) varuje finanční instituce, že kyberzločinci se připravují na provedení vysoce propracovaného, globálního podvodného schématu známého jako „ATM cash-out“. FBI spojuje toto schéma s hackerským útokem na banku nebo zpracovatele platebních karet a s použitím klonovaných karet v bankomatech po celém světě. Tato technika by umožnila podvodný výběr milionů dolarů během několika hodin. Varování bylo vydáno jen několik dní před loupeží v Cosmos Bank, ale obavy z replik jsou stále eminentní.

Doporučení

Doporučení pro provozovatele bankomatů a finanční instituce

  • Zavést bezpečnostní standardy EMV. EMV je platební metoda založená na technickém standardu pro čipové platební karty (nazývané také čipové karty nebo IC karty) a pro platební terminály a bankomaty, které je mohou přijímat.
  • Přehodnoťte fyzické zabezpečení bankomatů a zvažte investice do kvalitních a robustních řešení fyzického zabezpečení a bezpečnostního alarmu bankomatu.
  • Zabezpečte horní prostor (top box) bankomatu, který obsahuje počítač. Tento prostor by měl být zabezpečen výstražným zařízením proti neoprávněnému otevření nebo by měl být změněn přístupový zámek horního boxu, aby se zabránilo používání výchozích generálních klíčů poskytovaných výrobcem.
  • Zavedení speciálních bezpečnostních řešení určených pro samoobslužné terminály. Řešení, která udržují software bankomatů v aktuálním stavu prostřednictvím inteligentního programu správy zabezpečení bankomatů. Zvažte zahrnutí dalších zařízení připojených k bankomatu, jako jsou síťová zařízení a modemy, do programu správy zabezpečení.
  • Proaktivně oznamujte orgánům činným v trestním řízení všechny neobvyklé výběry částek na konkrétních jednotkách.
  • Využití systému detekce podvodů v reálném čase nebo softwaru umělé inteligence k odhalování krádeží v bankomatech, praní špinavých peněz a dalších finančních trestných činů.
  • Zpřísnění bezpečnostních zásad operačního systému počítače, aby se zabránilo zneužívání oprávnění, výchozích účtů, instalaci škodlivého softwaru a neoprávněnému přístupu ke zdrojům, jako jsou porty USB/CD/DVD/pevné disky.
  • Nastavte systém BIOS tak, aby se počítač spouštěl pouze z pevného disku ATM.
  • Zakázat spouštění z vyměnitelných médií ve výchozím nastavení v jakémkoli zařízení souvisejícím s ATM.
  • Zablokovat používání neznámých zařízení USB ve výchozím nastavení v jakémkoli zařízení souvisejícím s ATM.
  • Ujistit se, že funkce AUTORUN byla zcela a účinně zakázána v jakémkoli zařízení souvisejícím s ATM.
  • Zavedení šifrování pevného disku, aby se zabránilo neoprávněným změnám obsahu pevného disku.
  • Zavedení požadavků na silné heslo a dvoufaktorového ověřování pomocí fyzického nebo digitálního tokenu, pokud je to možné, pro místní správce bankomatu. Zvažte důkladné zásady správy hesel. Podle osvědčených postupů by tato hesla měla být tak složitá, jak jen to systém BIOS umožňuje.
  • Omezte používání neschválených aplikací, abyste zablokovali spouštění škodlivého softwaru.
  • Vymezte zásady zavádějící bezpečné a pravidelné aktualizace softwaru pro veškerý software instalovaný na zařízeních souvisejících s bankomatem.
  • Sledujte, zda šifrovaný provoz necestuje přes nestandardní porty.
  • Sledujte síťový provoz do oblastí, kde se běžně nevyskytují odchozí spojení z finanční instituce.
  • Nakonfigurujte systém tak, aby přijímal pouze počáteční komunikaci vyžadující ověření u bankomatu. např. fyzickým přístupem k trezoru. To může zabránit neoprávněným zařízením v odesílání příkazů do bankomatu.
  • Definujte pravidla bránící obcházení ochrany komunikace, např. vrácením firmwaru nebo přehráním zpráv.
  • Zavedením brány firewall omezte veškerou příchozí komunikaci do bankomatu.
  • Použijte ochranu autentizace a šifrování komunikace na veškerý síťový provoz bankomatu. Doporučuje se používat protokol TLS 1.2 nebo VPN a zavedením MACingu zajistit kryptografické ověřování citlivých zpráv.

Doporučení pro provozovatele lokálních bankomatů

  • Zajistěte, aby se bankomat nacházel v otevřeném, dobře osvětleném prostředí, které je monitorováno viditelnými bezpečnostními kamerami. Bankomat by měl být bezpečně připevněn k podlaze pomocí zařízení proti smyku, které odradí pachatele trestné činnosti.
  • Pravidelně kontrolujte bankomat, zda na něm nejsou stopy po připojených zařízeních třetích stran (skimmerech).
  • Dávejte pozor na útoky sociálního inženýrství ze strany pachatelů, kteří se mohou vydávat za techniky bankomatů.
  • Zavedení poplašných zařízení proti narušitelům a patřičná opatření: oznamte případné narušení orgánům činným v trestním řízení.
  • Zvažte naplnění bankomatu pouze dostatečnou hotovostí na jeden den činnosti.

Závěrečné poznámky

První veřejně známé zneužití bankomatu bylo světu představeno na konferenci Black Hat 2010. O několik let později se podvodníci a jejich peněžní muly údajně aktivně zapojili do útoků na jackpot, k čemuž je povzbudilo pomalé zavádění technologie EMV ze strany provozovatelů bankomatů, nedostatečné fyzické zabezpečení, špatné monitorování a údržba. Informace popisující nástroje a techniky potřebné k provádění těchto zločinů se také staly široce dostupnými na dark webu. Všechny tyto faktory vytvořily ideální prostředí pro rozkvět této trestné činnosti. Přesto existuje určitá míra rizika pro podvodníky, protože k provedení útoku je nutná fyzická přítomnost. Útoky založené na síti bankomatů jsou pro podvodníky další nejlepší technikou, jak bezpečněji a efektivněji vybírat peníze. Nedávný incident Cosmos ukazuje, že je možné, aby zločinci ukradli velké množství peněz z bankomatů během několika hodin, aniž by zanechali stopy.

TTP (taktiky/nástroje, techniky a postupy) používané zločinci při síťových útocích na bankomaty jsou velmi podobné těm, které se používají na jiné typy cílů kybernetických útoků. Kybernetické hrozby a bezpečnostní doporučení, která se obvykle vztahují na podnikové sítě, navíc platí i pro bankomaty.

V souvislosti s těmito nedávnými bezpečnostními incidenty by bezpečnostní manažeři z institucí poskytujících finanční služby měli prioritně zvážit rozšíření bezpečnostních opatření podnikových sítí na sítě bankomatů a zmírnit tak rizika vystavení se těmto ničivým útokům na výběr hotovosti z bankomatů.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.