A 2010-es Black Hat egyik leglátványosabb bemutatóját tartotta meg a három évvel később kábítószer-túladagolásban elhunyt neves biztonsági kutató, Barnaby Jack. A szakember, aki elsősorban egészségügyi eszközök és pénzügyi rendszerek sérülékenységeit kutatta, a bemutatón egy notebookról vezeték nélküli kapcsolaton keresztül élőben alakított át egy ATM-et pénzköpő automatává.

Ami akkor izgalmas kísérlet volt, azóta realitássá vált. Legutóbb tavaly novemberben számoltunk be egy olyan, touchless jackpottingnak nevezett módszerre épülő támadásról, amikor malware segítségével csapoltak meg ATM-eket. De máris itt az újabb, még kiterjedtebb támadás.

A támadás legfontosabb eszköze egy trójai

A most felfedezett problémát egy Ploutus nevű trójai okozza. Nem valami eget rengető újdonságról van szó. A program ősét 2013-ban fedezték felé egy Mexikóban történt kibertámadás során. A trójai következő változata egy év múlva már SMS-alapú pénzügyi visszaélésekre adott lehetőséget.

Aztán jó időre alámerült, hogy két év csend után új szerepben bukkanjon fel: most Ploutus-D néven az ATM-eket veszélyezteti. A FireEye laborjának elemzése szerint főleg azokat a Windows 10, a Windows 8, a Windows 7 és a Windows XP operációs rendszert futtató bankautomatákat veszélyezteti, melyeken a KAL nevű, ATM-szoftvereket fejlesztő cég Kalignite platformja is fut. A problémát az teszi izgalmassá, hogy a platform mintegy 40 gyártó 80 országban elérhető ATM-jében megtalálható.

A trójai másban is fejlődött: a kód néhány sorának módosításával rugalmasan alakítgatható és testre szabható.

Ha baj van, eltünteti magát

A Ploutus-D képes önállóan vagy szolgáltatásként is futni. A betöltő modulja sokoldalú. Telepíti és futtatja a kártevőt, integritásvizsgálatot végez, sőt el is tudja távolítani a káros szerzeményt, amivel elég sok nyomot eltüntet a tevékenységéről.

A trójai minden ATM-en bekér egy egyedi nyolcjegyű kódot. Ezt a kódot a kiberbűnözők generálják az ATM egyedi azonosítójából, valamint az aktuális hónap/nap adatokból (értelemszerűen nem szeretnék, ha az ATM nem a megfelelő személy zsákjába köpné a pénzkötegeket), vagyis a kód mindig csak egy napig érvényes. A kód megadása után már csak azt kell meghatározni, hogy mennyi pénzt adjon az ATM, és hányszor ismételje meg a műveletet, majd egy gombnyomás, és már működik is a "pénzköpő".

Ott kell lenni, és ez veszélyes

A támadásoknak van egy komoly kockázata: A pénz felvételéhez oda kell menni az ATM-hez, és valahogy rá kell kapcsolni egy billentyűzetet a PS/2 vagy USB portjára. Ez eleve hosszabb időt vesz igénybe, hiszen meg kell bontani az automata házát.

Mivel az automaták többségében van kamera, és mindenféle egyéb védelem is, amely akadályozza a fizikai hozzáférést, ez meglehetősen nehézkes dolog. Ugyanakkor nem elképzelhetetlen, hogy a Ploutus hamarosan továbbfejlődik, és távoli hozzáférést is biztosít. Akkor viszont már elég lesz "öszvéreket" alkalmazni, akik közvetlenül nem kötődnek a támadókhoz.

A fentebb említett tavaly novemberi incidensben a Cobalt nevű hackercsapat ilyen "alkalmazottakkal" csökkentette a lebukása veszélyét.