Negyedóra alatt feltörhető ATM automaták

Bizonyos támadástípusok esetében csupán 15 percre van szüksége a támadónak ahhoz, hogy az ATM-eket meghekkelje. A jelek szerint az Észak-Koreához kapcsolható Lazarus-csoport egy év leforgása alatt több tízmillió dollárt lopott el ázsiai és afrikai pénzautomatákból.

Egy részletes, 22 oldalas tanulmányban ismertette tesztelésének eredményeit a Positive Technologies vállalat, ahol a szakemberek az NCR, a Diebold Nixdorf és a GRGBanking automatáit vizsgálták meg. Tesztjeikkel a kiberbűnözők által is használt tipikus támadásokat próbálták ki a különféle pénzkiadó automatákon, miközben a skimming vagyis bankkártya-másolás technikáját is tesztelték.

A vizsgált ATM-ek 85 százalékának segítségével az őket kiszolgáló hálózatra is tudtak csatlakozni. Ehhez viszont fizikailag hozzá kellett férniük az automatákhoz, megpiszkálva az ethernetkábel- vagy a vezeték nélküli csatlakozást. A kutatók szerint az automaták 58 százalékában olyan sérülékenységet fedeztek fel, melynek kihasználásával távolról lehet az ATM-et irányítani. Továbbá az ATM-ek 23 százalékát úgy tudták irányításuk alá vonni, hogy az automatához kapcsolt más eszköz, például GSM-modem vagy router volt sérülékeny.

A kutatók adatai szerint egy tipikus támadás kevesebb mint negyedóra alatt lefuttatható, de ennél gyorsabbak is vannak. Például a Black Box-támadás esetében 10 perc alatt pénzhez jutnak a bűnözők. A Black Box-támadásban a hacker kinyitja az ATM-et vagy fúr belé egy lyukat, hogy elérje azt a kábelt, amely összeköti az ATM számítógépét a pénzkiadó egységgel. A támadó egy otthon gyártott eszközt csatol az automatára, melynek neve Black Box, segítségével ráveszi az automatát, hogy pénzt adjon ki. A tesztelt ATM-ek 69 százalékánál kivitelezhető ez a támadás.

Az átlagosnál több időre, 20 percre volt szükségük a kutatóknak egy olyan támadásban, mely azonban nagyobb haszonnal jár. Ebben a támadásban a bűnözők megkerülték az ATM belső merevlemezét és egy külső adathordozót csatoltak rá. A támadással nemcsak az ATM-ben lévő pénzhez juthatnak a csalók, de a bankkártya adatok másolására is előkészítik a terepet. Az ehhez hasonló támadások a tesztelt pénzautomaták 92 százalékánál kivitelezhető.

Az ATM-eket ért támadások viszonylag ritkábbak, mert esetenként a kiszemelt automatához fizikailag is hozzá kell férnie a támadónak. De ugyanakkor kifizetődő lehet az erőfeszítés, mert ha egyszer sikerül megfertőzni a készüléket, akkor az állandó bevételt biztosít. Az Észak-Koreához köthető Lazarus-csoport (mely a hírhedt WannaCry globális támadás mögött volt) egy év leforgása alatt több tízmillió dollárt keresett azzal, hogy ázsiai és afrikai bankautomatákat fertőzött meg.

Nekik távolról sikerült mindezt megvalósítaniuk, a Trojan.FastCach trójai segítségével. A trójai 2016 óta aktív, azóta több ezer ATM-ekkel kommunikáló szervert fertőzött meg. A hozzáférés birtokában a csalók a tranzakciókat távolról hagyják jóvá, és valaki a helyszínen felveszi a pénzt az automatából. A csoport összehangolt akciókat indított, tavaly 30 országból vett fel pénzt egyszerre, és már 2018-ban is 23 ország automatáját ürítette ki szimultán. A legtöbb esetben az érintett banki szerverek nem frissített operációs rendszert futtatnak, mivel a trójai által kihasznált legtöbb sérülékenységet a gyártók már befoltozták.