A 2010-es Black Hat egyik leglátványosabb bemutatóját tartotta meg a három évvel később kábítószer-túladagolásban elhunyt neves biztonsági kutató, Barnaby Jack. A szakember, aki elsősorban egészségügyi eszközök és pénzügyi rendszerek sérülékenységeit kutatta, a bemutatón egy notebookról vezeték nélküli kapcsolaton keresztül élőben alakított át egy ATM-et pénzköpő automatává.
Ami akkor izgalmas kísérlet volt, azóta realitássá vált. Legutóbb tavaly novemberben számoltunk be egy olyan, touchless jackpottingnak nevezett módszerre épülő támadásról, amikor malware segítségével csapoltak meg ATM-eket. De máris itt az újabb, még kiterjedtebb támadás.
A támadás legfontosabb eszköze egy trójai
A most felfedezett problémát egy Ploutus nevű trójai okozza. Nem valami eget rengető újdonságról van szó. A program ősét 2013-ban fedezték felé egy Mexikóban történt kibertámadás során. A trójai következő változata egy év múlva már SMS-alapú pénzügyi visszaélésekre adott lehetőséget.
Aztán jó időre alámerült, hogy két év csend után új szerepben bukkanjon fel: most Ploutus-D néven az ATM-eket veszélyezteti. A FireEye laborjának elemzése szerint főleg azokat a Windows 10, a Windows 8, a Windows 7 és a Windows XP operációs rendszert futtató bankautomatákat veszélyezteti, melyeken a KAL nevű, ATM-szoftvereket fejlesztő cég Kalignite platformja is fut. A problémát az teszi izgalmassá, hogy a platform mintegy 40 gyártó 80 országban elérhető ATM-jében megtalálható.
A trójai másban is fejlődött: a kód néhány sorának módosításával rugalmasan alakítgatható és testre szabható.
Ha baj van, eltünteti magát
A Ploutus-D képes önállóan vagy szolgáltatásként is futni. A betöltő modulja sokoldalú. Telepíti és futtatja a kártevőt, integritásvizsgálatot végez, sőt el is tudja távolítani a káros szerzeményt, amivel elég sok nyomot eltüntet a tevékenységéről.
A trójai minden ATM-en bekér egy egyedi nyolcjegyű kódot. Ezt a kódot a kiberbűnözők generálják az ATM egyedi azonosítójából, valamint az aktuális hónap/nap adatokból (értelemszerűen nem szeretnék, ha az ATM nem a megfelelő személy zsákjába köpné a pénzkötegeket), vagyis a kód mindig csak egy napig érvényes. A kód megadása után már csak azt kell meghatározni, hogy mennyi pénzt adjon az ATM, és hányszor ismételje meg a műveletet, majd egy gombnyomás, és már működik is a "pénzköpő".
Ott kell lenni, és ez veszélyes
A támadásoknak van egy komoly kockázata: A pénz felvételéhez oda kell menni az ATM-hez, és valahogy rá kell kapcsolni egy billentyűzetet a PS/2 vagy USB portjára. Ez eleve hosszabb időt vesz igénybe, hiszen meg kell bontani az automata házát.
Mivel az automaták többségében van kamera, és mindenféle egyéb védelem is, amely akadályozza a fizikai hozzáférést, ez meglehetősen nehézkes dolog. Ugyanakkor nem elképzelhetetlen, hogy a Ploutus hamarosan továbbfejlődik, és távoli hozzáférést is biztosít. Akkor viszont már elég lesz "öszvéreket" alkalmazni, akik közvetlenül nem kötődnek a támadókhoz.
A fentebb említett tavaly novemberi incidensben a Cobalt nevű hackercsapat ilyen "alkalmazottakkal" csökkentette a lebukása veszélyét.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak