Az ATM “jackpotting” – egy kifinomult bűncselekmény, amelyben a tolvajok rosszindulatú szoftvert és/vagy hardvert telepítenek az ATM-ekbe, ami arra kényszeríti a gépeket, hogy kérésre hatalmas mennyiségű készpénzt köpjenek ki – már régóta fenyegetést jelent az európai és ázsiai bankok számára, de ezek a támadások valahogy elkerülték az amerikai ATM-üzemeltetőket. Mindez azonban a héten megváltozott, miután az amerikai titkosszolgálat csendben elkezdte figyelmeztetni a pénzintézeteket, hogy a jackpotting-támadásokat most már itt az Egyesült Államokban is észlelték a pénzkiadó automaták ellen.

A jackpotting-támadás végrehajtásához a tolvajoknak először fizikai hozzáférést kell szerezniük a pénzkiadó automatához. Onnan rosszindulatú szoftverekkel vagy speciális elektronikával – gyakran a kettő kombinációjával – irányíthatják az ATM működését.

A KrebsOnSecurity 2018. január 21-én kezdett hallani az amerikai ATM-üzemeltetőket sújtó jackpot-támadásokról, más néven “logikai támadásokról”. Gyorsan megkerestem az ATM óriás NCR Corp. vállalatot, hogy megtudjam, hallottak-e valamit. Az NCR akkor azt mondta, hogy nem megerősített jelentéseket kapott, de még semmi kézzelfoghatót.

Január 26-án az NCR tanácsot küldött ügyfeleinek, amelyben közölte, hogy a titkosszolgálattól és más forrásokból is kapott jelentéseket az Egyesült Államokban működő ATM-ek elleni jackpot-támadásokról.

“Bár jelenleg úgy tűnik, hogy ezek nem NCR ATM-ekre összpontosulnak, a logikai támadások az egész iparágat érintik” – áll az NCR figyelmeztetésében. “Ez az első megerősített eset a logikai támadások miatti veszteségekről az Egyesült Államokban. Ezt felhívásként kell kezelni, hogy tegyék meg a megfelelő lépéseket ATM-jeik védelmére a támadások ezen formái ellen, és enyhítsék a következményeket.”

Az NCR emlékeztetője nem említi az amerikai ATM-ek ellen használt jackpotoló kártevő típusát. Egy, az ügyhöz közel álló forrás szerint azonban a titkosszolgálat arra figyelmeztet, hogy szervezett bűnözői bandák támadnak önálló ATM-eket az Egyesült Államokban a “Ploutus.D”, egy fejlett jackpoting malware-törzs segítségével, amelyet először 2013-ban észleltek.

A forrás szerint – aki névtelenséget kért, mert nem volt felhatalmazva arra, hogy jegyzőkönyvben beszéljen – a Secret Service hiteles információkat kapott arról, hogy csalók úgynevezett “cash out crews”-t aktiválnak, hogy megtámadják a Diebold Nixdorf ATM-gyártó által gyártott, elölről tölthető ATM-eket.

A forrás szerint a Secret Service arra figyelmeztet, hogy a tolvajok a jelek szerint az elmúlt 10 napban összehangolt támadások sorozatában az Opteva 500-as és 700-as sorozatú Dielbold ATM-eket veszik célba a Ploutus.D kártevőt használva, és bizonyíték van arra, hogy további támadásokat terveznek országszerte.

“A megcélzott önálló ATM-ek rendszeresen gyógyszertárakban, nagyáruházakban és autós ATM-ekben találhatók” – olvasható a titkosszolgálat több pénzintézetnek küldött bizalmas figyelmeztetésében, amelyet a KrebsOnSecurity szerzett meg. “A korábbi támadások során a csalók ATM-technikusnak öltöztek, és az ATM operációs rendszerének tükörképét tartalmazó laptopot, valamint egy mobil eszközt csatlakoztattak a célzott ATM-hez.”

A Diebold megosztotta az ügyfeleknek pénteken küldött figyelmeztetését, amelyben az Egyesült Államokban elkövetett lehetséges jackpot-támadásokra figyelmeztetett. A Diebold riasztása megerősíti, hogy az eddigi támadások a jelek szerint az előre feltöltött Opteva pénzkiadó automatákat célozzák.”

“A tavalyi mexikói esethez hasonlóan a támadás módja különböző lépések sorozatát foglalja magában a biztonsági mechanizmus és az automatával való kommunikáció beállításához szükséges engedélyezési folyamat leküzdésére” – áll a Diebold biztonsági riasztásában. A teljes Diebold riasztás másolata, a támadások kivédésére vonatkozó tanácsokkal együtt, itt érhető el (PDF).

A titkosszolgálati riasztás kifejti, hogy a támadók jellemzően endoszkópot használnak – egy karcsú, hajlékony eszközt, amelyet hagyományosan az orvostudományban használnak, hogy az orvosok betekintést nyerjenek az emberi test belsejébe -, hogy megtalálják a pénzkiadó automata belső részét, ahová egy kábelt csatlakoztathatnak, amely lehetővé teszi számukra, hogy szinkronizálják laptopjukat az ATM számítógépével.

“Amint ez megtörtént, az ATM-et a csalók irányítják, és az ATM a potenciális ügyfelek számára üzemen kívülinek tűnik” – olvasható a titkosszolgálat bizalmas figyelmeztetésében.

A rosszindulatú programot telepítő csaló(k) ekkor kapcsolatba lép(nek) a társbűntársakkal, akik távolról irányítani tudják az ATM-eket, és arra kényszerítik a gépeket, hogy készpénzt adjanak ki.”

“A korábbi Ploutus.D támadások során az ATM folyamatosan, 23 másodpercenként 40 bankjegyet adott ki” – folytatódik a riasztás. Amint a pénzkiadási ciklus elindul, azt csak úgy lehet leállítani, ha a billentyűzeten megnyomják a cancel gombot. Ellenkező esetben a riasztás szerint a gép teljesen kiürül a készpénzből.

A FireEye biztonsági cég 2017-es elemzése a Ploutus.D-t “az egyik legfejlettebb ATM malware családnak nevezte, amellyel az elmúlt néhány évben találkoztunk”.”

“A 2013-ban Mexikóban először felfedezett Ploutus lehetővé tette a bűnözők számára, hogy az ATM-eket a géphez csatlakoztatott külső billentyűzet vagy SMS-üzenet segítségével ürítsék ki, ami korábban soha nem látott technika” – írta Daniel Regalado, a FireEye munkatársa.

A FireEye szerint az eddig látott Ploutus-támadásokhoz a tolvajoknak valahogyan fizikai hozzáférést kell szerezniük az ATM-hez – vagy a zárak feltörésével, lopott főkulccsal vagy a gép egy részének más módon történő eltávolításával vagy megsemmisítésével.

Regalado szerint az ilyen támadásokért általában felelős bűnbandák “pénzszamarakat” alkalmaznak a támadások végrehajtására és az ATM-ek készpénzének kiszivattyúzására. A kifejezés egy bűnszervezeten belüli alacsony szintű operátorokra utal, akiket magas kockázatú feladatokkal bíznak meg, például ATM-leolvasók telepítésével és a pénzkiadó automaták más módon történő fizikai megbabrálásával.”

“Onnan a támadók egy fizikai billentyűzetet tudnak csatlakoztatni a géphez, és egy aktiváló kódot, amelyet a műveletet irányító főnök biztosít, hogy pénzt tudjanak kiadni az ATM-ből” – írta. “Az ATM-re telepítve a Ploutus lehetővé teszi a bűnözők számára, hogy percek alatt több ezer dollárhoz jussanak. Bár van némi kockázata annak, hogy a pénzöszvért elkapják a kamerák, a művelet végrehajtásának gyorsasága minimálisra csökkenti az öszvér kockázatát.”

A forrásom által megosztott titkosszolgálati feljegyzés szerint a készpénzkiadó személyzet/pénzöszvérek általában elveszik a kiadott készpénzt, és egy nagy táskába teszik. Miután a készpénzt kivették az ATM-ből, és az öszvér távozik, az ál-technikus(ok) visszatérnek a helyszínre, és kiveszik a felszerelésüket a kompromittált ATM-ből.

“Az utolsó dolog, amit a csalók tesznek, mielőtt elhagyják a helyszínt, hogy visszadugják az Ethernet-kábelt” – jegyzi meg a figyelmeztetés.

A FireEye szerint a Ploutus.D összes vizsgált mintája Diebold ATM-eket célzott, de figyelmeztetett, hogy a rosszindulatú szoftver kódjának apró változtatásai lehetővé teszik, hogy 80 országban 40 különböző ATM-szállító ellen használják.

A titkosszolgálati riasztás szerint a még mindig Windows XP operációs rendszert futtató ATM-ek különösen sebezhetőek, és felszólította az ATM-üzemeltetőket, hogy frissítsenek a Windows 7 verziójára, hogy legyőzzék ezt a speciális támadástípust.

Ez egy gyorsan fejlődő történet, és a következő napokban többször is frissülhet, amint újabb információk válnak elérhetővé.

Címkék: atm jackpoting, atm logikai támadások, Daniel Regalado, Diebold Nixdorf, Diebold Opteva, Diebold Opteva, endoszkóp, FireEye, NCR Corp, Ploutus.D, U.S. Secret Service, Windows 7, Windows XP