Wprowadzenie

To był trudny rok dla branży usług finansowych i producentów bankomatów z rosnącą liczbą incydentów i wariantów ataków typu cash-out. Jackpotting – znany również jako „atak czarnej skrzynki” – odnoszący się do ataków, w których bankomat jest manipulowany w celu wypłacenia całej gotówki, podobnie jak automat do gry po zdobyciu jackpota w kasynie, podobno nasila się od początku roku. W zeszłym tygodniu organy ścigania powiadomiły instytucje świadczące usługi finansowe o zagrożeniu skoordynowanymi logicznymi atakami na bankomaty, znanymi jako „ATM cashouts”. Ponadto, niedawny atak na bank Cosmos w Indiach – przypisywany północnokoreańskiej grupie Lazarus – choć nie jest uważany za typowy atak jackpotowy, ujawnia, że infrastruktura bankomatów niektórych podmiotów świadczących usługi finansowe jest nadal podatna na ataki, zwłaszcza logiczne. Niniejsza nota informacyjna zawiera przegląd ataków typu cash-out na bankomaty oraz słabości, jakie może to ujawnić w branży usług finansowych.

Informacje kontekstowe

ATM nadal stanowią dochodowy cel dla przestępców, którzy wykorzystują różne metody w celu generowania nielegalnych dochodów. Podczas gdy niektórzy polegają na metodach fizycznego niszczenia przy użyciu narzędzi do cięcia metalu, inni wybierają infekcje złośliwym oprogramowaniem, umożliwiającym im manipulowanie bankomatami od wewnątrz.

Przestępcy wykorzystują różne narzędzia i techniki (fizyczne, logiczne lub łączone), aby uzyskać dostęp do „czarnej skrzynki” bankomatów i ominąć wszystkie kontrole bezpieczeństwa, zmuszając do wypłacenia wszystkich pieniędzy. Z pewnymi wyjątkami, każdy bankomat ma tę samą funkcjonalność – mechanizm wydawania gotówki, który jest kontrolowany przez system operacyjny wykorzystujący komputer osobisty (PC), a zatem jest narażony na ryzyko ataków logicznych. Ataki malware, podkategoria tych ataków logicznych, stają się coraz bardziej popularne wśród cyberprzestępców.

Przykłady narzędzi używanych w atakach Jackpotting

Endoskop – Wąskie, przypominające rurkę urządzenia medyczne z kamerami na końcach, zwykle używane do zaglądania do wnętrza ludzkiego ciała. Wykorzystywane przez oszustów do obejrzenia wnętrza bankomatu i zlokalizowania wrażliwych punktów.

Tyupkin malware – Fragment złośliwego oprogramowania, który umożliwia atakującym opróżnianie kaset z pieniędzmi w bankomacie poprzez bezpośrednią manipulację. Po raz pierwszy zidentyfikowany przez badaczy bezpieczeństwa w 2013 roku jako Backdoor.MSIL.Tyupkin, wpływający na bankomaty jednego z głównych producentów z systemem Microsoft Windows 32-bit.

Ploutus.D malware – Identyfikowany przez nazwę pliku „AgilisConfigurationUtility.exe”, jest jedną z najbardziej zaawansowanych rodzin złośliwego oprogramowania dla bankomatów, odkrytą po raz pierwszy w Meksyku w 2013 roku. To złośliwe oprogramowanie po zainstalowaniu przez port USB umożliwia przestępcom opróżnianie bankomatów za pomocą zewnętrznej klawiatury podłączonej do maszyny lub za pośrednictwem wiadomości SMS.

Cutlet Maker, c0decalc i Stimulator w zestawie narzędzi do tworzenia złośliwego oprogramowania – Zestaw złośliwego oprogramowania zaprojektowany przy użyciu API specyficznego dla producenta bankomatów, podały media informacyjne. Aby przeprowadzić atak przy użyciu tego zestawu, przestępcy muszą uzyskać bezpośredni dostęp do wnętrza bankomatu i dotrzeć do jednego z portów USB, który jest wykorzystywany do wgrania złośliwego oprogramowania. c0decalc generuje hasło, które ma gwarantować prawa autorskie autora złośliwego oprogramowania. Stymulator pobiera informacje o stanie kaset bankomatowych określonych producentów (takie jak waluta, wartość i ilość banknotów).

Przykłady technik wykorzystywanych w atakach Jackpotting:

Amanipulacja dyskiem twardym bankomatu:

  • Oszuści przebrani za techników bankomatów lub za pośrednictwem działającego na miejscu „muła pieniężnego” wymieniają dysk twardy bankomatu na nowy (ewentualnie przy użyciu dysku kciukowego zawierającego złośliwe oprogramowanie), aby umożliwić nieautoryzowane wydawanie poleceń jednostce wydającej gotówkę.
  • Opcjonalnie, dysk twardy bankomatu może zostać wyjęty, zainfekowany złośliwym oprogramowaniem i ponownie włożony zamiast wymiany na dysk twardy dostarczony przez atakującego.
  • W dodatku, czujniki są manipulowane przy użyciu endoskopu, aby oszukać system uwierzytelniania. W ten sposób w ataku omijane są szyfrowane protokoły komunikacyjne.

Atak na czarną skrzynkę:

  • Oszuści przebrani za techników odłączają komputer ATM lub „czarną skrzynkę”, wyłączając logiczne środki bezpieczeństwa.
  • Do zajrzenia do wnętrza bankomatu używa się endoskopu i zlokalizowania wewnętrznej części bankomatu, do której można podłączyć przewód umożliwiający synchronizację między laptopem przestępcy a komputerem bankomatu.

Man-in-the-Middle:

  • Oszuści instalują urządzenie ingerujące w linię komunikacyjną między komputerem lub „czarną skrzynką” bankomatu a jednostką wydającą. W większości przypadków jest to połączenie szeregowe RS232 lub USB.
  • Złośliwe oprogramowanie fałszuje odpowiedzi hosta, aby wypłacić pieniądze bez obciążania konta oszusta.

To, co czyni te ataki interesującymi dla niektórych przestępców, to niewielka wiedza techniczna wymagana do ich przeprowadzenia. W Internecie można znaleźć mnóstwo samouczków i przewodników krok po kroku, które ułatwią im zadanie. Mimo to ataki te wymagają pewnego poziomu fizycznego dostępu do bankomatu oraz ujawnienia tożsamości przestępcy, aby je przeprowadzić. Przestępcy mogą kraść pieniądze z bankomatów przy użyciu mniej skomplikowanych metod niż jackpotting. Istnieją zdalne ataki, które nie polegają na fizycznym dostępie do wnętrza bankomatu, czego dobrym przykładem jest ostatni incydent banku Cosmos.

Malware wstrzyknięty do sieci bankomatów

Atakujący infekują również bankomaty złośliwym oprogramowaniem poprzez sieci instytucji finansowych. Gdy atakujący uzyska dostęp do sieci banku, może zainstalować złośliwe oprogramowanie z odległej lokalizacji, przekształcając bankomat w maszynę podrzędną. Ostatnim etapem byłoby wysłanie przez atakującego instrukcji bezpośrednio do bankomatu, nakazanie mu wydania pieniędzy i zamówienie muła, aby je odebrał.

Cosmos Bank ATM Heist

Na początku tego miesiąca, atak przypisywany powiązanej z Koreą Północną Lazarus Group był odpowiedzialny za kradzież 13,5 miliona dolarów z indyjskiego Cosmos Bank w agresywnym ataku, który obnażył ograniczenia w środkach stosowanych przez banki w celu obrony przed ukierunkowanymi zagrożeniami cybernetycznymi. Wciąż nie jest jasne, w jaki sposób zagrożonym podmiotom udało się początkowo przeniknąć do sieci banku. Według badań bezpieczeństwa, opartych na typowym sposobie działania tego aktora, napastnicy włamali się za pośrednictwem wiadomości e-mail typu spear-phishing, a następnie przemieścili się w obrębie sieci banku, naruszając infrastrukturę bankomatów instytucji.

Nie był to typowy podstawowy atak typu card-not-present (CNP) lub jackpotting. Atak był bardziej zaawansowaną, dobrze zaplanowaną i wysoce skoordynowaną operacją, która skupiła się na infrastrukturze banku, skutecznie omijając cztery główne warstwy obrony zgodnie z wytycznymi Europolu dotyczącymi łagodzenia skutków ataków na bankomaty. Po początkowym ataku napastnicy najprawdopodobniej wykorzystali oprogramowanie testowe ATM dostawcy lub wprowadzili zmiany w obecnie wdrożonym oprogramowaniu przełącznika płatności ATM, aby stworzyć złośliwy przełącznik proxy (MPS). W rezultacie, dane wysyłane z przełącznika płatności w celu autoryzacji transakcji nigdy nie były przekazywane do systemu Core Banking Solution (CBS), więc sprawdzenie numeru karty, statusu karty (Cold, Warm, Hot), kodu PIN i innych informacji nie było wykonywane. Zamiast tego, żądanie zostało obsłużone przez MPS wdrożony przez napastników wysyłających fałszywe odpowiedzi autoryzujące transakcje.

FBI ostrzega instytucje finansowe o globalnym schemacie ATM cash-out

Media informacyjne donoszą, że Federalne Biuro Śledcze (FBI) ostrzega instytucje finansowe, że cyberprzestępcy przygotowują się do przeprowadzenia wysoce zaplanowanego, globalnego schematu oszustwa znanego jako „ATM cash-out”. FBI powiązało ten schemat z włamaniem do banku lub procesora kart płatniczych i wykorzystaniem sklonowanych kart w bankomatach na całym świecie. Technika ta pozwoliłaby na wyłudzenie milionów dolarów w ciągu zaledwie kilku godzin. Ostrzeżenie zostało wydane zaledwie kilka dni przed napadem na Cosmos Bank, ale obawy związane z replikami są nadal aktualne.

Zalecenia

Zalecenia dla operatorów bankomatów i instytucji usług finansowych

  • Wdrożenie standardów bezpieczeństwa EMV. EMV to metoda płatności oparta na standardzie technicznym dla inteligentnych kart płatniczych (zwanych również kartami chipowymi lub kartami IC) oraz dla terminali płatniczych i bankomatów, które mogą je akceptować.
  • Przegląd zabezpieczeń fizycznych bankomatów i rozważenie inwestycji w wysokiej jakości i solidne rozwiązania bezpieczeństwa fizycznego oraz alarm bezpieczeństwa bankomatów.
  • Zabezpiecz górną komorę (top box) bankomatu, w której znajduje się komputer. Obszar ten powinien być zabezpieczony alarmem intruza, aby zapobiec nieuprawnionemu otwarciu, lub należy zmienić zamek dostępu do górnej skrzynki, aby uniknąć korzystania z domyślnych kluczy głównych dostarczonych przez producenta.
  • Wdrażaj specjalne rozwiązania bezpieczeństwa przeznaczone dla terminali samoobsługowych. Rozwiązania pozwalające na aktualizację oprogramowania bankomatów poprzez program inteligentnego zarządzania bezpieczeństwem bankomatów. Rozważ włączenie innych urządzeń podłączonych do bankomatu, takich jak urządzenia sieciowe i modemy, do programu zarządzania bezpieczeństwem.
  • Proaktywnie zgłaszaj organom ścigania wszelkie nietypowe wypłaty kwot na określonych jednostkach.
  • Użycie systemu wykrywania oszustw w czasie rzeczywistym lub oprogramowania sztucznej inteligencji w celu wykrycia kradzieży bankomatów, prania brudnych pieniędzy i innych przestępstw finansowych.
  • Zaostrzone zasady bezpieczeństwa systemu operacyjnego komputera, aby zapobiec nadużywaniu uprawnień, kont domyślnych, instalacji złośliwego oprogramowania i nieautoryzowanego dostępu do zasobów, takich jak porty USB/CD/DVD/dysk twardy.
  • Ustawienie w systemie BIOS rozruchu tylko z dysku twardego ATM.
  • Wyłączenie domyślnie rozruchu z nośników wymiennych w każdym urządzeniu związanym z ATM.
  • Zablokowanie domyślnie korzystania z nieznanych urządzeń USB w każdym urządzeniu związanym z ATM.
  • Upewnienie się, że AUTORUN został w pełni i skutecznie wyłączony w każdym urządzeniu związanym z ATM.
  • Wdrożenie szyfrowania dysku twardego, aby zapobiec nieautoryzowanym zmianom zawartości dysku twardego.
  • Wdrożenie wymagań dotyczących silnych haseł i dwuskładnikowego uwierzytelniania przy użyciu fizycznego lub cyfrowego tokena, gdy jest to możliwe dla lokalnych administratorów bankomatów. Należy rozważyć wprowadzenie solidnych zasad zarządzania hasłami. Najlepsze praktyki wskazują, że hasła te powinny być tak złożone, jak tylko BIOS jest w stanie je obsłużyć.
  • Ograniczyć korzystanie z niezatwierdzonych aplikacji w celu zablokowania wykonywania złośliwego oprogramowania.
  • Zdefiniować politykę ustanawiającą bezpieczne i regularne aktualizacje oprogramowania dla wszystkich programów zainstalowanych na urządzeniach związanych z bankomatem.
  • Monitorowanie ruchu szyfrowanego przesyłanego przez niestandardowe porty.
  • Monitorowanie ruchu sieciowego do regionów, w których normalnie nie występują połączenia wychodzące z instytucji finansowej.
  • Skonfigurowanie systemu w taki sposób, aby akceptował tylko wstępną komunikację wymagającą uwierzytelnienia w bankomacie, np. poprzez fizyczny dostęp do sejfu. Może to zapobiec wysyłaniu poleceń do bankomatu przez nieautoryzowane urządzenia.
  • Zdefiniuj zasady uniemożliwiające obejście zabezpieczeń komunikacji, np. poprzez wycofanie oprogramowania układowego lub odtwarzanie komunikatów.
  • Zastosuj zaporę sieciową w celu ograniczenia wszelkiej komunikacji przychodzącej do bankomatu.
  • Zastosuj zabezpieczenia uwierzytelniania i szyfrowania komunikacji do całego ruchu sieciowego bankomatu. Zaleca się stosowanie protokołu TLS 1.2 lub VPN, a także wdrożenie MACing w celu zapewnienia kryptograficznego uwierzytelniania poufnych wiadomości.

Zalecenia dla operatorów bankomatów stacjonarnych

  • Upewnij się, że bankomat znajduje się w otwartym, dobrze oświetlonym środowisku, które jest monitorowane przez widoczne kamery bezpieczeństwa. Bankomat powinien być bezpiecznie przymocowany do podłogi za pomocą urządzenia anty-lasso, które odstraszy przestępców.
  • Regularnie sprawdzaj bankomat pod kątem śladów podłączonych urządzeń innych firm (skimmerów).
  • Uważaj na ataki socjotechniczne ze strony przestępców, którzy mogą podszywać się pod techników ATM.
  • Wdrażaj alarmy intruzów i podejmuj odpowiednie działania, powiadamiając organy ścigania o każdym potencjalnym naruszeniu.
  • Rozważ napełnienie bankomatu gotówką wystarczającą na jeden dzień pracy.

Uwagi końcowe

Pierwszy publicznie znany exploit do bankomatu został zaprezentowany światu na konferencji Black Hat w 2010 roku. Lata później oszuści i ich muły pieniężne zaczęli podobno aktywnie uczestniczyć w atakach typu „jackpot”, zachęceni powolnym wdrażaniem technologii EMV przez operatorów bankomatów, niedbałymi zabezpieczeniami fizycznymi, słabym monitorowaniem i konserwacją. Informacje opisujące narzędzia i techniki niezbędne do popełnienia tych przestępstw stały się również szeroko dostępne w ciemnej sieci. Wszystkie te czynniki stworzyły idealne środowisko dla rozkwitu tej działalności przestępczej. Wciąż jednak istnieje pewien poziom ryzyka dla oszustów, ponieważ do przeprowadzenia ataku potrzebna jest fizyczna obecność. Ataki oparte na sieci bankomatów to kolejna najlepsza technika pozwalająca oszustom na bezpieczniejsze i skuteczniejsze wypłacanie gotówki. Niedawny incydent Cosmos pokazuje, że przestępcy mogą ukraść duże ilości pieniędzy z bankomatów w ciągu zaledwie kilku godzin, bez pozostawiania śladów.

TTP (taktyki/narzędzia, techniki i procedury) wykorzystywane przez przestępców w atakach opartych na sieci bankomatów są bardzo podobne do tych, które są stosowane na inne rodzaje celów w cyberataku. Co więcej, zagrożenia cybernetyczne i zalecenia dotyczące bezpieczeństwa, które zazwyczaj odnoszą się do sieci korporacyjnych, obowiązują również w przypadku bankomatów.

W związku z tymi ostatnimi incydentami bezpieczeństwa, menedżerowie ds. bezpieczeństwa z instytucji świadczących usługi finansowe powinni rozważyć rozszerzenie środków bezpieczeństwa sieci korporacyjnych na sieci bankomatów jako kwestię priorytetową, ograniczając ryzyko narażenia się na te niszczycielskie ataki ATM cash-out.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.