ATM “jackpotting” 是一种复杂的犯罪活动,攻击者在ATM机上安装恶意软件或硬件,迫使该设备根据其操作大量吐出现金。尽管长期以来一直仅针对欧洲与亚洲银行,但如今这种攻击手段已经首次亮相美国本土。不过美国情报机构已经发现相关迹象并向金融机构提出警告,称美国的取款机设备应尽快提高警惕。
要实施jackpotting攻击,盗窃者首先需要取得取款机的物理访问能力。以此为基础,他们可利用恶意软件或专用电子设备(通常是二者兼而有之)对ATM机的操作加以控制。
接入ATM机端口的键盘。图片来源:FireEye
2018年1月21日,我们首次听闻与jackpotting攻击登陆美国本土的消息(亦被称为‘逻辑攻击’)。我们迅速与ATM机巨头NCR公司取得联系,希望了解对方是否掌握到更多细节信息。NCR方面表示已经收到未经证实的报告,但尚无最终结论可供发布。
今年1月26日,NCR公司向其客户发出函件,表示已经收到来自美国情报机构及其它来源的报告,其中指出美国本土的ATM机遭受jackpotting攻击的影响。
NCR方面警告称,“尽管目前这些问题全部集中在非NCR ATM设备上,但逻辑攻击对于整个行业而言都是一项巨大隐患。这是美国首次确认存在逻辑攻击事件,这应被视为一种行动号召,要求有关各方采取适当措施以保护ATM机免受攻击威胁,同时缓解相关后果。”
NCR公司方面发布的备忘录中没有提及美国ATM机所遭遇jackpotting攻击中使用的具体恶意软件类型。但根据熟知内情的消息人士透露,美国特勤局警告称,美国首度遭遇的ATM机遇袭事件中使用的是最早于2013年发现的“Ploutus.D”——这是一种先进的应变型jackpotting恶意软件。
根据消息人士所言(由于未得到授权,他要求隐去真名),美国特勤局已经收到可信消息,称欺诈分子正在利用现场“现金出纳员”攻击由ATM厂商Diebold Nixdorf公司生产的前置式ATM设备。
这位消息人士还补充称,特勤局警告称在过去十天当中,盗窃分子似乎在利用Ploutus.D恶意软件执行一系列协调攻击,并将Opteva 500与700系列Dielbold ATM机作为攻击目标。此外,亦有迹象表明,盗窃分子正计划进一步对全国各地的设备开展广泛攻击。
欺诈分子伪装成ATM机技术人员,将保存有ATM机操作系统镜像的笔记本电脑以及一台移动设备接入目标ATM机。
根据特勤局发往多家金融机构的警告文件所言,“攻击活动所针对的独立ATM机往往位于药店、大型零售店以及汽车穿梭区域。在以往的攻击活动当中,欺诈分子伪装成ATM机技术人员,将保存有ATM机操作系统镜像的笔记本电脑以及一台移动设备接入目标ATM机。”
Diebold公司就此事发表了评论,并于上周五向美国客户正式发出一项警告,称其有可能遭遇美国本土出现的潜在jackpotting攻击。Diebold方面还在警告中确认称,截至目前的攻击行为似乎主要针对前置型Opteva取款机产品。
Diebold公司在警告中表示,“与去年发生的墨西哥的案件一样,其攻击模式通过一系列不同步骤以突破安全机制以及面向现钞分配器的通信授权流程。”感兴趣的朋友可以点击此处参阅由Diebold公司发布的攻击活动完整警告(PDF格式,英文原文)。
美国特勤局在警告中解释称,攻击者通常会使用内窥镜——一种主要用于医学诊断的纤细灵活仪器,帮助医生查看人体内部——深入自动取款机内部,并在这里进行连线以确保自己的笔记本电脑能够与ATM计算机实现同步。
内窥镜用于同移动设备串联工作。图片来源: gadgetsforgeeks.com.au
特勤局在警告中解释称,“一旦对接完毕,ATM机即被欺诈分子所控制,而该设备将显示对其他潜在客户停止服务。”
此时,安装恶意软件的欺诈分子将联系能够远程控制ATM机的同谋,并强制该机器吐出现钞。
警告进一步补充称,“在以往的Ploutus.D攻击当 中,ATM机会每隔23秒连续吐出40张钞票。”一旦吐钞循环开始,将其停止的惟一方法就是按下键盘上的取消键。否则,该机器将持续吐钞直至现金被清空。
安全厂商FireEye公司在2017年的Ploutus.D分析报告当中,将其称为“过去几年以来,我们所见到过的最为先进的ATM恶意软件家族之一。”
FireEye公司的Daniel lRegalado写道,“Ploutus最初于2013年在墨西哥被发现,其允许犯罪分子利用外接键盘或者通过手机短信吐光ATM机中的钞票,这是一种以前从未出现过的方法。”
根据FireEye公司的说明,到目前为止,Ploutus攻击似乎仍要求盗窃分子以某种方式获得ATM机的物理访问权限——包括利用盗取的主钥匙、插销或者破坏设备上的物理锁具。
Regalado指出,这群攻击者通常会利用“钱骡”对ATM机实施物理攻击并提取钞票。所谓钱骡,是指犯罪组织当中低级别操作人员,他们主要负责实施各类高风险工作——例如安装ATM卡槽夹层或者以物理方式篡改提款机系统。
他写道,“在接触设备后,攻击者可以将一部物理键盘接入ATM机,并利用由负责幕后操纵的头目提供的激活码从ATM机当中取款。一旦被成功部署至ATM机当中,Ploutus能够在数分钟之内带来数千美元的回报。虽然存在一定风险,例如钱骡可能会被摄像机拍下,但如此迅速的操作速度最大程度降低了钱骡面临的风险。”
事实上,美国特勤局发布的备忘录中提到,现金出纳员/钱骡通常会将吐出的现金装进一只大袋子。在现金放置就绪且钱骡离开现场之后,很快会有伪装的技术人员返回现场取走钱袋以及用于入侵ATM机的攻击装置。
警告指出,“在离开现场之前,欺诈分子最后会重新插上以太网线缆。”
FireEye公司表示,其已经发现并检测的所有Ploutus.D样本皆针对Diebold ATM机,但同时警告称只要对恶意软件代码作出细微改动,即可利用其攻击覆盖80个国家、来自40多家不同ATM供应商的设备。
美国特勤局警告称,仍然运行有Windows XP系统的ATM机特别容易受到攻击。特勤局同时要求ATM运维人员更新至Windows 7版本以抵御这种特定类型攻击。
随着更多消息不断出炉,相信事件还会有新的进展。接下来的几天中,我们将就此事为您带来追踪报道。
本文翻译自Krebs On Security
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。