Introduktion

Det har varit ett utmanande år för finansbranschen och tillverkarna av uttagsautomater med ett ökande antal incidenter och varianter av uttagsautomatattacker. Jackpotting – även känt som ”black box attack” – avser attacker där en uttagsautomat manipuleras för att ge ut alla sina kontanter, likt en spelautomat efter en jackpot på ett kasino, rapporteras ha ökat sedan början av året. Förra veckan underrättade de brottsbekämpande myndigheterna finansinstitut om hotet från samordnade logiska attacker mot uttagsautomater, så kallade ”ATM cashouts”. Den senaste attacken mot Cosmos bank i Indien – som tillskrivs den nordkoreanska Lazarus-gruppen – även om den inte anses vara en typisk jackpottattack, visar att infrastrukturen för uttagsautomater i vissa finansinstitut fortfarande är sårbar, särskilt när det gäller logiska attacker. I detta informationsmeddelande granskas attacker mot uttagsautomater och de svagheter som detta kan avslöja från den finansiella tjänstesektorn.

Kontextuell information

Automater fortsätter att vara ett lönsamt mål för brottslingar, som använder sig av olika metoder för att generera olagliga intäkter. Medan vissa förlitar sig på fysiskt destruktiva metoder med hjälp av metallskärande verktyg, väljer andra infektioner med skadlig programvara som gör det möjligt för dem att manipulera uttagsautomater inifrån.

Kriminella använder olika verktyg och tekniker (fysiska, logiska eller kombinerade) för att få tillgång till uttagsautomaternas ”svarta låda” och kringgå alla säkerhetskontroller och tvinga uttagsautomaterna till att ta ut alla sina pengar. Med vissa undantag har alla uttagsautomater samma funktionalitet, en mekanism för utlämning av kontanter som styrs av ett operativsystem med hjälp av en persondator (PC) och som därför är utsatt för risken för logiska attacker. Malware-attacker, en underkategori av dessa logiska attacker, blir alltmer populära bland cyberkriminella.

Exempel på verktyg som används vid Jackpotting-attacker

Endoskop – Smala, rörliknande medicinska apparater med kameror i ändarna som vanligtvis används för att se inuti människokroppen. Används av bedragare för att se inuti bankomaten och lokalisera sårbara punkter.

Tyupkin malware – Del av malware som gör det möjligt för angripare att tömma bankomatens kassetter med kontanter genom direkt manipulation. Identifierades för första gången av säkerhetsforskare 2013 som Backdoor.MSIL.Tyupkin och påverkar bankomater från en stor tillverkare som kör Microsoft Windows 32-bit.

Ploutus.D malware – Identifieras av filnamnet ”AgilisConfigurationUtility.exe” och är en av de mest avancerade familjerna av skadlig programvara för bankomater, som upptäcktes för första gången i Mexiko 2013. När det skadliga programmet installeras via en USB-port kan brottslingar tömma uttagsautomater antingen med hjälp av ett externt tangentbord som är kopplat till maskinen eller via sms.

Cutlet Maker, c0decalc och Stimulator i en verktygslåda för skadlig kod – Skadlig kod som utformats med hjälp av ett API som är specifikt för en leverantör av uttagsautomater, rapporterade nyhetsmedierna. För att operationalisera en attack med hjälp av detta kit måste brottslingar få direkt tillgång till bankomatens insida och nå en av USB-portarna, som används för att ladda upp skadlig kod. c0decalc genererar ett lösenord för att garantera upphovsrätten för upphovsmannen till det skadliga programmet. Stimulatorn hämtar statusinformation om kassetter med kontanter i bankomater från specifika leverantörer (t.ex. valuta, värde och antal sedlar).

Exempel på tekniker som används vid Jackpotting-attacker:

Manipulering av bankomaternas hårddisk:

  • Brottslingar som är utklädda till tekniker för uttagsautomater eller genom en ”pengamula” på plats byter ut hårddisken i uttagsautomaten mot en ny (eventuellt med hjälp av en tumme med skadlig kod), för att möjliggöra obehöriga utdelningskommandon till uttagsautomaten.
  • Optionellt kan bankomatens hårddisk tas bort, infekteras med skadlig kod och sättas in igen i stället för att ersättas med en hårddisk som angriparen tillhandahåller.
  • Det går dessutom att manipulera sensorer med hjälp av ett endoskop för att lura autentiseringssystemet. På så sätt kringgås krypterade kommunikationsprotokoll i attacken.

Black Box Attack:

  • Bedragare utklädda till tekniker kopplar bort bankomatens dator eller ”svarta låda” och inaktiverar logiska säkerhetsåtgärder.
  • Ett endoskop används för att titta in i bankomaten och lokalisera den inre delen av bankomaten där en sladd kan fästas, vilket möjliggör synkronisering mellan brottslingens bärbara dator och bankomatens dator.
  • Automaten kopplas tillbaka till ON med skadlig kod som redan är installerad och körs i maskinens bakgrund och väntar på instruktioner från automatens tangentbord för att dela ut kontanter.

Man-in-the-Middle:

  • Brottslingar installerar en anordning som manipulerar kommunikationslinjen mellan automatdatorn eller den ”svarta lådan” och automatdispenseringsenheten. I de flesta fall är det en seriell RS232- eller USB-anslutning.
  • Den skadliga programvaran förfalskar svaren från värden för att ta ut pengar utan att debitera bedragarens konto.

Det som gör dessa attacker intressanta för vissa brottslingar är den låga tekniska kunskap som krävs för att utföra dem. Det finns gott om handledningar och steg-för-steg-guider på den mörka webben för att göra det lättare för dem. Ändå kräver dessa attacker en viss nivå av fysisk tillgång till bankomaten och kriminellas identitetsexponering för att genomföra dem. Kriminella kan stjäla pengar från bankomater med mindre komplicerade metoder än jackpotting. Det finns distansattacker som inte är beroende av fysisk tillgång till insidan av uttagsautomaten, att den nyligen inträffade incidenten med Cosmos bank är ett bra exempel.

Malware injiceras i uttagsautomatens nätverk

Attacker infekterar också uttagsautomater med skadlig kod via de finansiella institutens nätverk. När en angripare får tillgång till en banks nätverk kan de installera skadlig kod från en avlägsen plats och omvandla bankomaten till en slavmaskin. I slutskedet kan angriparen skicka instruktioner direkt till bankomaten, beordra den att dela ut pengarna och beordra en mulåsna att hämta dem.

Cosmos Bank ATM Heist

I början av månaden var en attack som tillskrivs den nordkoreanskt kopplade Lazarus Group ansvarig för att stjäla 13,5 miljoner US-dollar från den indiska banken Cosmos Bank i en aggressiv attack som avslöjat begränsningar i de åtgärder som bankerna använder för att försvara sig mot riktade cyberhot. Det är fortfarande oklart hur hotbildarna lyckades infiltrera bankens nätverk från början. Enligt en säkerhetsforskning, baserad på hur denna hotbildsaktör vanligtvis arbetar, bröt sig angriparna in via ett spear-phishing-e-postmeddelande och rörde sig sedan lateralt, inom bankens nätverk, och äventyrade institutionens infrastruktur för uttagsautomater.

Detta var inte den typiska grundläggande CNP-attacken (card-not-present) eller jackpotting-attacken. Attacken var en mer avancerad, välplanerad och mycket samordnad operation som fokuserade på bankens infrastruktur och effektivt kringgick de fyra huvudsakliga försvarsnivåerna enligt Europols riktlinjer för begränsning av ATM-attacker. Efter det första intrånget utnyttjade angriparna sannolikt antingen leverantörens testprogramvara för uttagsautomater eller gjorde ändringar i den befintliga programvaran för betalningsomkopplare för uttagsautomater för att skapa en skadlig proxyswitch (Malicious Proxy Switch, MPS). Detta ledde till att de uppgifter som skickades från betalningsomkopplaren för att godkänna transaktionen aldrig vidarebefordrades till Core Banking Solution (CBS), vilket innebar att kontrollerna av kortnummer, kortstatus (Cold, Warm, Hot), PIN-kod med mera aldrig utfördes. Istället hanterades begäran av den MPS som angriparna använde och som skickade falska svar som godkände transaktionerna.

FBI varnar finansinstitut för ett globalt system för uttag av bankomater

Nyhetsmedierna rapporterade att Federal Bureau of Investigation (FBI) varnar finansinstitut för att cyberkriminella förbereder sig för att genomföra ett mycket välkoreograferat, globalt bedrägerisystem som kallas för ”ATM cash-out”. FBI förknippade systemet med hackning av en bank eller en betalningskortsprocessor och användning av klonade kort vid bankomater runt om i världen. Denna teknik skulle göra det möjligt att på några få timmar ta ut miljontals dollar på ett bedrägligt sätt. Varningen utfärdades bara några dagar före rånet mot Cosmos Bank, men oron för kopior är fortfarande överhängande.

Rekommendationer

Rekommendationer till operatörer av uttagsautomater och finansinstitut

  • Införliva EMV-säkerhetsstandarderna. EMV är en betalningsmetod som bygger på en teknisk standard för smarta betalkort (även kallade chipkort eller IC-kort) och för betalterminaler och bankomater som kan ta emot dem.
  • Se över bankomaternas fysiska säkerhet och överväg att investera i högkvalitativa och robusta fysiska säkerhetslösningar och säkerhetslarm för bankomater.
  • Säkra bankomaternas översta fack (topplådan) där PC:n finns. Detta område bör säkras med ett inbrottslarm för att förhindra obehörig öppning, eller så bör tillträdeslåset till topplådan bytas ut för att undvika användning av de standardiserade huvudnycklar som tillhandahålls av tillverkaren.
  • Implementera särskilda säkerhetslösningar som är utformade för självbetjäningsterminaler. Lösningar som håller mjukvaran för uttagsautomater uppdaterad genom ett smart program för säkerhetshantering av uttagsautomater. Överväg att inkludera annan utrustning som är ansluten till uttagsautomaten, t.ex. nätverksenheter och modem, i säkerhetshanteringsprogrammet.
  • Rapportera proaktivt till brottsbekämpande myndigheter om uttag av ovanliga belopp på specifika enheter.
  • Användning av system för upptäckt av bedrägerier i realtid eller programvara med artificiell intelligens för att upptäcka stöld av uttagsautomater, penningtvätt och annan ekonomisk brottslighet.
  • Hårdare säkerhetsprinciper för PC-operativsystemet för att förhindra missbruk av privilegier, standardkonton, installation av skadlig programvara och obehörig åtkomst till resurser som USB-portar/CD:s/DVD:er/ hårddiskar.
  • Ställ in BIOS så att det endast startar från ATM:s hårddisk.
  • Blockera uppstart från flyttbara medier som standard i alla enheter med anknytning till ATM.
  • Blocka användningen av okända USB-enheter som standard i alla enheter med anknytning till ATM.
  • Säkerställ att AUTORUN har inaktiverats helt och hållet och effektivt i alla enheter med anknytning till ATM.
  • Använd hårddiskkryptering för att förhindra obehöriga ändringar av hårddiskens innehåll.
  • Inför starka lösenordskrav och tvåfaktorsautentisering med hjälp av en fysisk eller digital token när det är möjligt för lokala ATM-administratörer. Överväga en robust policy för lösenordshantering. Bästa praxis visar att dessa lösenord bör vara så komplexa som BIOS kan stödja.
  • Begränsar användningen av icke-godkända program för att blockera utförandet av skadlig kod.
  • Fastställ en policy som fastställer säkra och regelbundna mjukvaruuppdateringar för all mjukvara som installeras på enheter som är kopplade till uttagsautomaten.
  • Övervaka för krypterad trafik som går via icke-standardiserade portar.
  • Övervaka för nätverkstrafik till regioner där utgående anslutningar från finansinstitutet normalt inte förekommer.
  • Konfigurera systemet så att det endast accepterar inledande kommunikation som kräver autentisering vid kontantuttagsautomaten. t.ex. genom fysiskt tillträde till kassaskåpet. Detta kan förhindra att obehöriga enheter skickar kommandon till uttagsautomaten.
  • Förbered regler för att förhindra kringgående av kommunikationsskydd, t.ex. genom att återkalla inbyggd programvara eller genom att spela upp meddelanden.
  • Inrätta en brandvägg för att begränsa all inkommande kommunikation till uttagsautomaten.
  • Använd kommunikationsautentisering och krypteringsskydd på all nätverkstrafik från uttagsautomater. Rekommendationen är att använda TLS 1.2 eller en VPN, och genom att implementera MACing för att tillhandahålla kryptografisk autentisering av känsliga meddelanden.

Rekommendationer för operatörer av uttagsautomater på plats

  • Säkerställ att uttagsautomaten befinner sig i en öppen, väl upplyst miljö som övervakas av synliga säkerhetskameror. Uttagsautomaten bör vara ordentligt fastsatt i golvet med en anti-lassoanordning som avskräcker brottslingar.
  • Kontrollera regelbundet uttagsautomaten för att se om det finns tecken på anslutna anordningar från tredje part (skimmers).
  • Var på sin vakt för social ingenjörsattacker av brottslingar som kan utge sig för att vara uttagsautomatstekniker.
  • Installerar larm för inkräktare och agerar därefter genom att meddela brottsbekämpande myndigheter om eventuella intrång.
  • Överväg att fylla uttagsautomaten med bara tillräckligt med kontanter för en enda dags aktivitet.

Slutanmärkningar

Den första offentligt kända ATM-exploiten presenterades för världen vid Black Hat-konferensen 2010. Flera år senare blev bedragare och deras penningmugglare enligt uppgift aktiva i jackpotting-attacker, uppmuntrade av bankomatoperatörernas långsamma införande av EMV-teknik, slapp fysisk säkerhet, dålig övervakning och dåligt underhåll. Information som beskriver de verktyg och tekniker som krävs för att utföra dessa brott blev också allmänt tillgänglig på den mörka webben. Alla dessa faktorer skapade en idealisk miljö för att denna brottsliga verksamhet skulle blomstra. Det finns ändå en viss risknivå för bedragarna eftersom det krävs fysisk närvaro för att genomföra attacken. Nätverksbaserade attacker mot uttagsautomater är den näst bästa tekniken för bedragare att ta ut pengar på ett säkrare och effektivare sätt. Den nyligen inträffade Cosmos-incidenten visar att det är möjligt för brottslingar att stjäla stora mängder pengar från uttagsautomater på bara några timmar, utan att lämna några spår.

TTP:erna (taktik/verktyg, tekniker och förfaranden) som brottslingarna använder vid nätverksbaserade attacker mot uttagsautomater liknar i hög grad dem som används mot andra typer av mål i en cyberattack. Dessutom gäller de cyberhot och säkerhetsrekommendationer som vanligtvis gäller för företagsnätverk även för uttagsautomater.

Med tanke på dessa nyligen inträffade säkerhetsincidenter bör säkerhetsansvariga från finansinstitut överväga att prioritera att utvidga sina säkerhetsåtgärder för företagsnätverk till att även omfatta uttagsautomatnätverk, för att på så sätt minska riskerna för att utsättas för dessa förödande attacker mot uttagsautomater.

Lämna ett svar

Din e-postadress kommer inte publiceras.