Introduktion

Det har været et udfordrende år for finanssektoren og ATM-producenterne med et stigende antal hændelser og varianter af cash-out attacks. Jackpotting – også kendt som “black box attack” – refererer til angreb, hvor en pengeautomat manipuleres til at udbetale alle sine kontanter, svarende til en spilleautomat efter en jackpot i et kasino, er angiveligt stigende siden begyndelsen af året. I sidste uge underrettede de retshåndhævende myndigheder de finansielle serviceinstitutioner om truslen om koordinerede logiske angreb på pengeautomater, kendt som “ATM cashouts”. Desuden viser det nylige angreb på Cosmos-banken i Indien – der tilskrives den nordkoreanske Lazarus-gruppe – selv om det ikke betragtes som et typisk jackpotting-angreb, at ATM-infrastrukturen i visse finansielle serviceenheder stadig er sårbar, især over for logiske angreb. Denne info-note gennemgår ATM cash-out-angreb og de svagheder, som dette kan afsløre fra sektoren for finansielle tjenesteydelser.

Kontekstinformation

ATM’er er fortsat et indbringende mål for kriminelle, som anvender forskellige metoder til at generere ulovlige indtægter. Mens nogle benytter sig af fysisk destruktive metoder ved hjælp af metalskæreværktøj, vælger andre malware-infektioner, der gør det muligt for dem at manipulere pengeautomaterne indefra.

Kriminelle bruger forskellige værktøjer og teknikker (fysiske, logiske eller kombinerede) til at få adgang til pengeautomaternes “sorte boks” og omgå alle sikkerhedskontroller og tvinge dem til at udbetale alle deres penge. Med nogle undtagelser har alle pengeautomater den samme funktionalitet, nemlig en pengeudleveringsmekanisme, der styres af et operativsystem ved hjælp af en pc og derfor er udsat for risikoen for logiske angreb. Malware-angreb, en underkategori af disse logiske angreb, bliver stadig mere populære blandt cyberkriminelle.

Eksempler på værktøjer, der anvendes i Jackpotting-angreb

Endoskop – Smalt, rørlignende medicinsk udstyr med kameraer i enderne, der typisk bruges til at se ind i menneskekroppen. Bruges af svindlere til at se ind i pengeautomaten og lokalisere sårbare punkter.

Tyupkin-malware – Stykke malware, der gør det muligt for angribere at tømme pengekassetterne i pengeautomater via direkte manipulation. Identificeret første gang af sikkerhedsforskere i 2013 som Backdoor.MSIL.Tyupkin, der påvirker pengeautomater fra en større producent, der kører Microsoft Windows 32-bit.

Ploutus.D-malware – Identificeret ved filnavnet “AgilisConfigurationUtility.exe”, er en af de mest avancerede malware-familier til pengeautomater, der blev opdaget for første gang i Mexico i 2013. Når denne malware er installeret via en USB-port, gør den det muligt for kriminelle at tømme pengeautomater ved hjælp af enten et eksternt tastatur, der er knyttet til maskinen, eller via en sms-besked.

Cutlet Maker, c0decalc og Stimulator i et malware-værktøjssæt – Malwaresæt designet ved hjælp af et API, der er specifikt for en ATM-leverandør, rapporterede nyhedsmedierne. For at operationalisere et angreb ved hjælp af dette kit skal de kriminelle få direkte adgang til pengeautomatens indre og nå en af USB-portene, som bruges til at uploade malware. c0decalc genererer en adgangskode for at garantere ophavsretten til malware-forfatteren. Stimulatoren henter statusoplysningerne for pengekassetterne i pengeautomater fra bestemte leverandører (såsom valuta, værdi og mængden af sedler).

Eksempler på teknikker, der anvendes i Jackpotting-angreb:

Manipulation af pengeautomatens harddisk:

  • Svindlere, der er klædt ud som pengeautomatteknikere eller via en “pengesælger” på stedet, udskifter pengeautomatens harddisk med en ny (eventuelt ved hjælp af et malware-belastet tommelfingerdrev) for at muliggøre uautoriserede udbetalingsordrer til pengeautomaten.
  • Optionelt kan hæveautomatens harddisk fjernes, inficeres med malware og genindsættes i stedet for at blive erstattet med en harddisk leveret af angriberen.
  • Dertil kommer, at sensorer manipuleres ved hjælp af et endoskop for at narre autentificeringssystemet. På denne måde omgås krypterede kommunikationsprotokoller i angrebet.

Black Box-angreb:

  • Svindlere, der er klædt ud som teknikere, afbryder ATM-pc’en eller “black boxen” og deaktiverer de logiske sikkerhedsforanstaltninger.
  • Et endoskop bruges til at kigge ind i pengeautomaten og lokalisere den indvendige del af pengeautomaten, hvor en ledning kan tilsluttes, hvilket muliggør synkronisering mellem den kriminelles bærbare computer og pengeautomatens computer.
  • Automaten tændes igen med malware allerede installeret og kørende på maskinens baggrund og venter på instruktioner fra automattastaturet om at udbetale kontanterne.

Man-in-the-Middle:

  • Svindlere installerer en anordning, der manipulerer kommunikationslinjen mellem automat-pc’en eller “black boxen” og automatenheden. I de fleste tilfælde er der tale om en seriel RS232- eller USB-forbindelse.
  • Malwaren forfalsker værtens svar for at hæve penge uden at debitere svindlerens konto.

Det, der gør disse angreb interessante for visse kriminelle, er den lave tekniske viden, der kræves for at udføre dem. Der er masser af tutorials og trin-for-trin-vejledninger tilgængelige på det mørke net for at gøre tingene lettere for dem. Alligevel kræver disse angreb en vis grad af fysisk adgang til hæveautomaten og kriminelles identitetsafsløring for at gennemføre dem. Kriminelle kan stjæle penge fra hæveautomater ved hjælp af mindre komplicerede metoder end jackpotting. Der findes fjernangreb, der ikke er afhængige af fysisk adgang til pengeautomatens indre, som den nylige Cosmos-bankhændelse er et godt eksempel på.

Malware injiceret i pengeautomatenetværket

Angrebsmænd inficerer også pengeautomater med malware via de finansielle institutioners netværk. Når en angriber får adgang til en banks netværk, kan han installere malware fra et fjernt sted og omdanne pengeautomaten til en slavemaskine. Den sidste fase vil være, at angriberen sender instruktioner direkte til pengeautomaten, beordrer den til at udlevere pengene og beordrer et muldyr til at hente dem.

Cosmos Bank ATM Heist

I begyndelsen af denne måned var et angreb, der tilskrives den nordkoreansk forbundne Lazarus Group, ansvarlig for at stjæle 13,5 millioner amerikanske dollars fra den indiske Cosmos Bank i et aggressivt angreb, der har afsløret begrænsninger i de foranstaltninger, bankerne bruger til at forsvare sig mod målrettede cybertrusler. Det er stadig uklart, hvordan det lykkedes trusselsaktørerne at infiltrere bankens netværk i første omgang. Ifølge en sikkerhedsundersøgelse, der er baseret på, hvordan denne trusselsaktør typisk opererer, brød angriberne ind via en spear-phishing-e-mail og bevægede sig derefter sidelæns inden for bankens netværk og kompromitterede institutionens ATM-infrastruktur.

Dette var ikke det typiske grundlæggende CNP- (card-not-present) eller jackpotting-angreb. Angrebet var en mere avanceret, velplanlagt og meget koordineret operation, der fokuserede på bankens infrastruktur og effektivt omgik de fire vigtigste forsvarslag i henhold til Europols retningslinjer for afbødning af ATM-angreb. Efter den oprindelige kompromittering har angriberne højst sandsynligt enten udnyttet leverandørens ATM-testsoftware eller foretaget ændringer i den nuværende ATM-betalingsswitch-software for at skabe en ondsindet proxyswitch (MPS). Som følge heraf blev de oplysninger, der blev sendt fra betalingsswitchen for at godkende transaktionen, aldrig videresendt til Core Banking Solution (CBS), så kontrollen af kortnummer, kortstatus (kold, varm, varm), PIN-kode m.m. blev aldrig udført. I stedet blev anmodningen håndteret af den MPS, som angriberne anvendte, og som sendte falske svar, der godkendte transaktionerne.

FBI advarer finansielle institutioner om en global ATM cash-out-ordning

Nyhedsmedierne rapporterede, at Federal Bureau of Investigation (FBI) advarer finansielle institutioner om, at cyberkriminelle forbereder sig på at gennemføre en meget koreograferet, global svindelordning, der er kendt som en “ATM cash-out”. FBI forbandt ordningen med hacking af en bank eller en betalingskortprocessor og brug af klonede kort i pengeautomater over hele verden. Denne teknik ville gøre det muligt at hæve millioner af dollars i løbet af få timer. Advarslen blev udsendt få dage før røveriet i Cosmos Bank, men bekymringen over kopier er stadig overhængende.

Anbefalinger

Anbefalinger til operatører af pengeautomater og finansielle serviceinstitutter

  • Indføre EMV-sikkerhedsstandarder. EMV er en betalingsmetode baseret på en teknisk standard for smarte betalingskort (også kaldet chipkort eller IC-kort) og for betalingsterminaler og pengeautomater, der kan acceptere dem.
  • Gennemgå pengeautomaternes fysiske sikkerhed og overvej at investere i robuste fysiske sikkerhedsløsninger af høj kvalitet og i sikkerhedsalarmer til pengeautomater.
  • Sikre det øverste rum (topboks) i en pengeautomat, som indeholder pc’en. Dette område bør sikres med en tyverialarm for at forhindre uautoriseret åbning, eller adgangslåsen til topboksen bør ændres for at undgå brug af de standardhovednøgler, der leveres af producenten.
  • Implementere særlige sikkerhedsløsninger, der er udviklet til selvbetjeningsterminaler. Løsninger, der holder pengeautomaternes software opdateret gennem et smart ATM-sikkerhedsstyringsprogram. Overvej at medtage andet udstyr, der er tilsluttet pengeautomaten, såsom netværksenheder og modemmer, i sikkerhedsstyringsprogrammet.
  • Indberet proaktivt til de retshåndhævende myndigheder om eventuelle udbetalinger af usædvanlige beløb på bestemte enheder.
  • Anvendelse af et realtidssystem til afsløring af svig eller software med kunstig intelligens til at opdage ATM-tyveri, hvidvaskning af penge og andre finansielle forbrydelser.
  • Hærdede sikkerhedspolitikker for pc-operativsystemet for at forhindre misbrug af privilegier, standardkonti, installation af skadelig software og uautoriseret adgang til ressourcer som USB-porte/CD’er/DVD’er/harddiske.
  • Sæt BIOS til kun at starte op fra ATM-harddisken.
  • Disabler som standard opstart fra flytbare medier i enhver enhed, der er forbundet med ATM.
  • Blokér som standard brugen af ukendte USB-enheder i enhver enhed, der er forbundet med ATM.
  • Sørg for, at AUTORUN er blevet fuldstændig og effektivt deaktiveret i enhver enhed, der er forbundet med ATM.
  • Indsæt harddisk-kryptering for at forhindre uautoriserede ændringer af harddiskens indhold.
  • Indsæt krav om stærke adgangskoder og to-faktor-autentifikation ved hjælp af en fysisk eller digital token, når det er muligt for lokale ATM-administratorer. Overvej robuste politikker for adgangskodeadministration. Bedste praksis viser, at disse adgangskoder bør være så komplekse, som BIOS’en kan understøtte.
  • Begræns brugen af ikke-godkendte programmer for at blokere for udførelsen af malware.
  • Fastlæg en politik, der fastlægger sikre og regelmæssige softwareopdateringer for al software, der er installeret på enheder, der er forbundet med pengeautomaten.
  • Overvågning af krypteret trafik, der bevæger sig over ikke-standardiserede porte.
  • Overvågning af netværkstrafik til regioner, hvor udgående forbindelser fra pengeinstituttet normalt ikke forekommer.
  • Konfigurer systemet til kun at acceptere indledende kommunikation, der kræver autentificering ved pengeautomaten. f.eks. ved fysisk adgang til pengeskabet. Dette kan forhindre uautoriserede enheder i at sende kommandoer til pengeautomaten.
  • Definer regler, der forhindrer omgåelse af kommunikationsbeskyttelse, f.eks. ved at rulle firmware tilbage eller ved at afspille meddelelser.
  • Etabler en firewall for at begrænse al indgående kommunikation til pengeautomaten.
  • Anvend kommunikationsgodkendelse og krypteringsbeskyttelse på al netværkstrafik i pengeautomaten. Anbefalingen er at anvende TLS 1.2 eller en VPN og ved at implementere MACing for at sikre kryptografisk autentifikation af følsomme meddelelser.

Anbefalinger til ATM-operatører på stedet

  • Sørg for, at ATM’en befinder sig i et åbent, veloplyst miljø, der overvåges af synlige sikkerhedskameraer. Pengeautomaten bør være forsvarligt fastgjort til gulvet med en anti-lassoanordning, der afskrækker kriminelle.
  • Kontroller regelmæssigt pengeautomaten for tegn på tilknyttede tredjepartsenheder (skimmers).
  • Vær på vagt over for social engineering-angreb fra kriminelle, der kan udgive sig for at være pengeautomatteknikere.
  • Indfør alarmer mod ubudne gæster og handl derefter ved at underrette de retshåndhævende myndigheder om ethvert potentielt brud.
  • Overvej at fylde pengeautomaten med lige nok kontanter til en enkelt dags aktivitet.

Sluttende bemærkninger

Den første offentligt kendte ATM-exploit blev præsenteret for verden på Black Hat-konferencen i 2010. År senere blev svindlere og deres money mules angiveligt aktive i jackpotting-angreb, tilskyndet af ATM-operatørernes langsomme indførelse af EMV-teknologi, slap fysisk sikkerhed, dårlig overvågning og vedligeholdelse. Oplysninger, der beskriver de værktøjer og teknikker, der er nødvendige for at udføre disse forbrydelser, blev også bredt tilgængelige på det mørke net. Alle disse faktorer skabte et ideelt miljø for, at denne kriminelle aktivitet kunne blomstre. Der er dog stadig en vis risiko for svindlere, da det kræver fysisk tilstedeværelse at udføre angrebet. Netværksbaserede angreb på pengeautomater er den næstbedste teknik for svindlere til at udbetale penge mere sikkert og effektivt. Den nylige Cosmos-hændelse viser, at det er muligt for kriminelle at stjæle store mængder penge fra pengeautomater på få timer uden at efterlade spor.

TTP’erne (taktik/værktøjer, teknikker og procedurer), som kriminelle anvender ved netværksbaserede angreb på pengeautomater, ligner meget dem, der anvendes på andre typer mål i et cyberangreb. Desuden gælder de cybertrusler og sikkerhedsanbefalinger, der typisk gælder for virksomhedsnetværk, også for hæveautomater.

I forbindelse med disse nylige sikkerhedshændelser bør sikkerhedsansvarlige fra finansielle serviceinstitutioner overveje at udvide deres sikkerhedsforanstaltninger for virksomhedsnetværk til at omfatte hæveautomatnetværk som en prioritet for at mindske risikoen for at blive udsat for disse ødelæggende ATM cash-out-angreb.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.