Introduction

Het is een uitdagend jaar geweest voor de financiële dienstverleningssector en de fabrikanten van geldautomaten met een toenemend aantal incidenten en varianten van cash-out attacks. Jackpotting – ook bekend als “black box attack” – verwijst naar aanvallen waarbij een geldautomaat wordt gemanipuleerd om al zijn contanten uit te geven, vergelijkbaar met een gokautomaat na een jackpot in een casino, neemt naar verluidt toe sinds het begin van het jaar. Vorige week hebben rechtshandhavingsinstanties financiële dienstverlenende instellingen op de hoogte gebracht van de dreiging van gecoördineerde logische aanvallen op geldautomaten, bekend als “ATM cashouts”. Ook de recente aanval op de Cosmos bank in India – toegeschreven aan de Noord-Koreaanse Lazarus groep – wordt weliswaar niet als een typische jackpotaanval beschouwd, maar toont aan dat de ATM-infrastructuur van bepaalde financiële dienstverleners nog steeds kwetsbaar is, met name voor logische aanvallen. Deze Info Note bespreekt de cash-out-aanvallen op geldautomaten en de zwakke punten die dit aan het licht kan brengen van de financiële-dienstensector.

Contextuele informatie

ATM’s blijven een winstgevend doelwit voor criminelen, die verschillende methoden gebruiken om illegale inkomsten te genereren. Terwijl sommigen vertrouwen op fysiek destructieve methoden door het gebruik van metaalsnijgereedschap, kiezen anderen voor malware-infecties, waarmee ze geldautomaten van binnenuit kunnen manipuleren.

Criminelen gebruiken verschillende gereedschappen en technieken (fysiek, logisch of gecombineerd) om toegang te krijgen tot de “black box” van geldautomaten en alle beveiligingscontroles te omzeilen, zodat al het geld uit de geldautomaat wordt gehaald. Op enkele uitzonderingen na heeft elke geldautomaat dezelfde functionaliteit, namelijk een mechanisme voor de uitgifte van contant geld dat wordt gecontroleerd door een besturingssysteem dat gebruik maakt van een personal computer (PC) en derhalve blootstaat aan het risico van logische aanvallen. Malware-aanvallen, een subcategorie van deze logische aanvallen, worden steeds populairder onder cybercriminelen.

Voorbeelden van hulpmiddelen die bij jackpot-aanvallen worden gebruikt

Endoscoop – Smalle, buisvormige medische apparaten met camera’s aan de uiteinden, die meestal worden gebruikt om in het menselijk lichaam te kijken. Gebruikt door fraudeurs om in de geldautomaat te kijken en kwetsbare punten te lokaliseren.

Tyupkin-malware – Stuk malware waarmee aanvallers de geldcassettes van geldautomaten kunnen legen via directe manipulatie. Voor het eerst geïdentificeerd door beveiligingsonderzoekers in 2013 als Backdoor.MSIL.Tyupkin, waarbij geldautomaten van een grote fabrikant met Microsoft Windows 32-bit zijn aangetast.

Ploutus.D-malware – Geïdentificeerd door de bestandsnaam “AgilisConfigurationUtility.exe”, is een van de meest geavanceerde ATM-malware-families, voor het eerst ontdekt in Mexico in 2013. Deze malware, eenmaal geïnstalleerd via een USB-poort, stelt criminelen in staat geldautomaten te legen met behulp van een extern toetsenbord dat op de machine is aangesloten of via een sms-bericht.

Cutlet Maker, c0decalc en Stimulator in een malware tool kit – Malware kit ontworpen met behulp van een ATM-leverancier specifieke API, meldden de nieuwsmedia. Om een aanval met deze kit uit te voeren, moeten criminelen rechtstreeks toegang krijgen tot het binnenste van de geldautomaat en een van de USB-poorten bereiken, die wordt gebruikt om de malware te uploaden. De c0decalc genereert een wachtwoord om het copyright van de malware-auteur te garanderen. De Stimulator achterhaalt de statusinformatie van specifieke geldcassettes van geldautomaten (zoals valuta, waarde en het aantal biljetten).

Voorbeelden van technieken die bij Jackpotting-aanvallen worden gebruikt:

manipulatie van de harde schijf van een geldautomaat:

  • Fraudeurs verkleed als ATM-technici of via een onsite “geldezel” vervangen de harde schijf van de geldautomaat door een nieuwe (mogelijk met behulp van een met malware beladen thumb drive), om ongeoorloofde uitgifte commando’s naar de geldautomaat eenheid mogelijk te maken.
  • Opties: de harde schijf van de geldautomaat kan worden verwijderd, geïnfecteerd met malware, en opnieuw worden geplaatst in plaats van te worden vervangen door een door de aanvaller geleverde harde schijf.
  • Daarnaast worden sensoren gemanipuleerd met behulp van een endoscoop om het authenticatiesysteem om de tuin te leiden. Op deze manier worden versleutelde communicatieprotocollen omzeild bij de aanval.

Black Box aanval:

  • Fraudeurs verkleed als technici schakelen de ATM PC of “black box” uit waardoor logische beveiligingsmaatregelen worden uitgeschakeld.
  • Een endoscoop wordt gebruikt om in de geldautomaat te kijken en het interne gedeelte van de geldautomaat te vinden waar een snoer kan worden bevestigd, waardoor de synchronisatie tussen de laptop van de crimineel en de computer van de geldautomaat mogelijk wordt.
  • De geldautomaat wordt weer ingeschakeld met de malware al geïnstalleerd en draaiend op de achtergrond van de machine, wachtend op instructies van het toetsenbord van de geldautomaat om het geld uit te geven.

Man-in-the-Middle:

  • Fraudeurs installeren een apparaat dat de communicatielijn tussen de ATM PC of “black box” en de automaateenheid manipuleert. In de meeste gevallen gaat het om een seriële RS232- of USB-verbinding.
  • De malware vervalst de reacties van de host om geld op te nemen zonder de rekening van de fraudeur te debiteren.

Wat deze aanvallen voor bepaalde criminelen interessant maakt, is de geringe technische kennis die nodig is om ze uit te voeren. Er zijn tal van tutorials en stap-voor-stap gidsen beschikbaar op het dark web om het hen gemakkelijker te maken. Toch vereisen deze aanvallen een bepaalde mate van fysieke toegang tot de geldautomaat en blootstelling van de identiteit van de crimineel om het uit te voeren. Criminelen kunnen geld uit geldautomaten stelen met minder ingewikkelde methoden dan jackpotting. Er zijn aanvallen op afstand die geen fysieke toegang tot de binnenkant van de geldautomaat vereisen, waarvan het recente incident met de Cosmos-bank een goed voorbeeld is.

Malware die in het netwerk van geldautomaten wordt geïnjecteerd

Aanvallers besmetten geldautomaten ook met malware via de netwerken van financiële instellingen. Zodra een aanvaller toegang krijgt tot het netwerk van een bank, kan hij vanaf een externe locatie malware installeren om de geldautomaat in een slaafmachine te veranderen. De laatste stap zou zijn dat de aanvaller rechtstreeks instructies naar de geldautomaat stuurt, deze opdracht geeft het geld uit te geven en een muilezel opdracht geeft het geld op te halen.

Automatenroof bij Cosmos Bank

Een aanval die wordt toegeschreven aan de aan Noord-Korea gelinkte Lazarus Group was begin deze maand verantwoordelijk voor het stelen van US $ 13,5 miljoen van de Indiase Cosmos Bank in een agressieve aanval die beperkingen aan het licht heeft gebracht in de maatregelen die banken gebruiken om zich te verdedigen tegen gerichte cyberdreigingen. Het is nog onduidelijk hoe de dreigers er in eerste instantie in slaagden het netwerk van de bank te infiltreren. Volgens een beveiligingsonderzoek, gebaseerd op hoe deze dreigingsactor doorgaans te werk gaat, braken de aanvallers in via een spear-phishing e-mail en verplaatsten ze zich vervolgens lateraal, binnen het netwerk van de bank, en brachten ze de ATM-infrastructuur van de instelling in gevaar.

Dit was niet de typische basis card-not-present (CNP) of jackpotting-aanval. De aanval was een meer geavanceerde, goed geplande en zeer gecoördineerde operatie die zich richtte op de infrastructuur van de bank, waarbij de vier belangrijkste verdedigingslagen volgens de Europol-richtlijnen voor het beperken van ATM-aanvallen effectief werden omzeild. Na de eerste compromittering hebben aanvallers hoogstwaarschijnlijk gebruikgemaakt van de testsoftware van de leverancier voor geldautomaten of wijzigingen aangebracht in de momenteel gebruikte betaalschakelsoftware voor geldautomaten om een kwaadaardige proxyswitch (MPS) te maken. Als gevolg daarvan werden de gegevens die door de betalingsschakelaar werden verzonden om de transactie te autoriseren, nooit doorgestuurd naar de Core Banking Solution (CBS), zodat de controles van het kaartnummer, de kaartstatus (koud, warm, heet), de PIN-code, enzovoort nooit werden uitgevoerd. In plaats daarvan werd het verzoek afgehandeld door de MPS die door de aanvallers werd ingezet en valse antwoorden verstuurde waarmee transacties werden geautoriseerd.

FBI waarschuwt financiële instellingen voor een wereldwijd ATM cash-out schema

De nieuwsmedia meldden dat het Federal Bureau of Investigation (FBI) financiële instellingen waarschuwt dat cybercriminelen zich voorbereiden op het uitvoeren van een sterk gechoreografeerd, wereldwijd fraudeprogramma dat bekend staat als een “ATM cash-out”. De FBI brengt het plan in verband met het hacken van een bank of betaalkaartverwerker en het gebruik van gekloonde kaarten bij geldautomaten over de hele wereld. Met deze techniek zouden in slechts enkele uren miljoenen dollars op frauduleuze wijze kunnen worden opgenomen. De waarschuwing werd slechts enkele dagen voor de overval op de Cosmos Bank gegeven, maar de bezorgdheid over replica’s is nog steeds eminent.

Aanbevelingen

Aanbevelingen voor exploitanten van geldautomaten en financiële dienstverleners

  • Implementeer EMV-beveiligingsnormen. EMV is een betaalmethode die is gebaseerd op een technische standaard voor slimme betaalkaarten (ook chipkaarten of IC-kaarten genoemd) en voor betaalterminals en geldautomaten die deze kunnen accepteren.
  • Benieuwd naar de fysieke beveiliging van geldautomaten en overweeg te investeren in hoogwaardige en robuuste fysieke beveiligingsoplossingen en een alarm voor de beveiliging van geldautomaten.
  • Beveilig het bovenste compartiment (top box) van een geldautomaat waarin zich de PC bevindt. Deze ruimte moet worden beveiligd met een inbraakalarm om ongeoorloofde opening te voorkomen, of het toegangsslot tot de top box moet worden gewijzigd om het gebruik van standaard door de fabrikant verstrekte hoofdsleutels te voorkomen.
  • Installeer speciale beveiligingsoplossingen die zijn ontworpen voor zelfbedieningsterminals. Oplossingen die de software van geldautomaten up-to-date houden door middel van een slim ATM-beveiligingsbeheerprogramma. Overweeg andere apparatuur die is aangesloten op de geldautomaat, zoals netwerkapparaten en modems, op te nemen in het beveiligingsbeheerprogramma.
  • Proactief rapporteren aan rechtshandhavingsinstanties van ongebruikelijke opnamebedragen op specifieke eenheden.
  • Gebruik van real time fraude detectie systeem of kunstmatige intelligentie software om ATM diefstal, witwassen van geld en andere financiële misdrijven te spotten.
  • Harden van het PC besturingssysteem beveiligingsbeleid om misbruik van privileges, standaard accounts, installatie van kwaadaardige software, en ongeautoriseerde toegang tot middelen zoals USB-poorten/CD’s/DVD’s/hard disks te voorkomen.
  • Stel het BIOS zo in dat er alleen vanaf de ATM harde schijf wordt opgestart.
  • Blokkeer het opstarten vanaf verwisselbare media standaard in elk apparaat gerelateerd aan de ATM.
  • Blokkeer het gebruik van onbekende USB apparaten standaard in elk apparaat gerelateerd aan de ATM.
  • Zorg ervoor dat de AUTORUN volledig en effectief is uitgeschakeld in elk apparaat gerelateerd aan de ATM.
  • Voer versleuteling van de harde schijf in om ongeoorloofde wijzigingen van de inhoud van de harde schijf te voorkomen.
  • Verstrek strenge wachtwoordvereisten en twee-factor authenticatie met behulp van een fysiek of digitaal token wanneer dat mogelijk is voor lokale ATM-beheerders. Overweeg een robuust wachtwoordbeheerbeleid. Best practice geeft aan dat deze wachtwoorden zo complex moeten zijn als het BIOS kan ondersteunen.
  • Beperk het gebruik van niet-goedgekeurde toepassingen om de uitvoering van malware te blokkeren.
  • Stel een beleid op dat veilige en regelmatige software-updates vastlegt voor alle software die is geïnstalleerd op apparaten die verband houden met de geldautomaat.
  • Controleer op versleuteld verkeer dat over niet-standaard poorten gaat.
  • Controleer op netwerkverkeer naar regio’s waar uitgaande verbindingen van de financiële instelling normaal niet voorkomen.
  • Configureer het systeem zodanig dat het alleen initiële communicatie accepteert waarvoor authenticatie bij de geldautomaat vereist is. b.v. door fysieke toegang tot de kluis. Dit kan voorkomen dat onbevoegde apparaten opdrachten naar de geldautomaat sturen.
  • Stel regels op om het omzeilen van de communicatiebeveiliging te verhinderen, bijvoorbeeld door firmware terug te draaien of door berichten opnieuw af te spelen.
  • Stel een firewall op om alle inkomende communicatie naar de geldautomaat te beperken.
  • Toepassing van communicatieauthenticatie en encryptiebescherming op al het ATM-netwerkverkeer. De aanbeveling is om TLS 1.2 of een VPN te gebruiken, en door MACing te implementeren om cryptografische authenticatie van gevoelige berichten te bieden.

Aanbevelingen voor exploitanten van on-premise ATM

  • Zorg ervoor dat de ATM zich in een open, goed verlichte omgeving bevindt die wordt bewaakt door zichtbare beveiligingscamera’s. De geldautomaat moet stevig worden bevestigd aan de vloer met een anti-lasso apparaat dat criminelen zal afschrikken.
  • Controleer de geldautomaat regelmatig op tekenen van aangesloten apparaten van derden (skimmers).
  • Wees op de uitkijk voor social engineering-aanvallen door criminelen die zich kunnen voordoen als geldautomaat technici.
  • Installeer inbraakalarmen en handel dienovereenkomstig door de wetshandhavingsinstanties op de hoogte te stellen van elke potentiële inbreuk.
  • Overweeg de geldautomaat te vullen met net genoeg contant geld voor één dag activiteit.

Afsluitende opmerkingen

De eerste publiekelijk bekende ATM-exploit werd aan de wereld gepresenteerd op de Black Hat Conference van 2010. Jaren later werden fraudeurs en hun geldezels naar verluidt actief in jackpotaanvallen, aangemoedigd door de trage invoering van EMV-technologie door exploitanten van geldautomaten, lakse fysieke beveiliging, slechte bewaking en slecht onderhoud. Informatie over de instrumenten en technieken die nodig zijn om deze misdrijven uit te voeren, kwam ook op grote schaal beschikbaar op het dark web. Al deze factoren creëerden de ideale omgeving voor deze criminele activiteit om te floreren. Toch is er een zeker risico voor fraudeurs, aangezien er fysieke aanwezigheid nodig is om de aanval uit te voeren. Aanvallen via het netwerk van geldautomaten is de volgende beste techniek voor fraudeurs om veiliger en efficiënter uit te cashen. Het recente Cosmos-incident toont aan dat het voor criminelen mogelijk is om in slechts enkele uren grote hoeveelheden geld uit geldautomaten te stelen, zonder sporen na te laten.

De TTP (tactieken/tools, technieken en procedures) die criminelen bij netwerkgebaseerde aanvallen op geldautomaten gebruiken, lijken sterk op die welke bij een cyberaanval op andere soorten doelwitten worden toegepast. Bovendien gelden cyberdreigingen en beveiligingsaanbevelingen die typisch van toepassing zijn op bedrijfsnetwerken, ook voor geldautomaten.

In het licht van deze recente beveiligingsincidenten moeten beveiligingsmanagers van instellingen voor financiële dienstverlening overwegen hun beveiligingsmaatregelen voor bedrijfsnetwerken met voorrang uit te breiden tot geldautomaatnetwerken, zodat de risico’s van blootstelling aan deze verwoestende ATM-cash-out-aanvallen worden beperkt.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.