Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaI truffatori hanno acquisito il software proprietario Diebold per "jackpot" agli sportelli bancomat
Dan Goodin - 20 luglio 2020 21:40 UTC
Diebold Nixdorf, che lo scorso anno ha guadagnato 3,3 miliardi di dollari dalla vendita e dall'assistenza dei bancomat, sta avvertendo negozi, banche e altri clienti di una nuova forma di "jackpotting" basata su hardware, il termine industriale per gli attacchi che i ladri utilizzano per svuotare rapidamente i bancomat.
La nuova variante utilizza un dispositivo che esegue parti dello stack software proprietario dell'azienda. Gli aggressori quindi collegano il dispositivo alle parti interne del bancomat e impartiscono comandi. Gli attacchi riusciti possono provocare un flusso di denaro, a volte distribuito fino a 40 banconote ogni 23 secondi. I dispositivi vengono collegati accedendo a una chiave che sblocca il telaio del bancomat oppure praticando dei fori o rompendo in altro modo i blocchi fisici per accedere agli interni della macchina.
Nei precedenti attacchi di jackpot, i dispositivi collegati, noti nel settore come scatole nere, di solito invocavano le interfacce di programmazione contenute nel sistema operativo ATM per incanalare i comandi che alla fine raggiungevano il componente hardware che eroga denaro. Più recentemente, Diebold Nixdorf ha osservato un'ondata di attacchi black box che incorporavano parti del software proprietario dell'azienda.
"Alcuni degli attacchi riusciti mostrano un nuovo Modus Operandi adattato su come viene eseguito l'attacco", ha avvertito Diebold Nixdorf in un avviso di sicurezza attivo emesso la scorsa settimana e fornito ad Ars da un rappresentante dell'azienda. "Sebbene il truffatore stia ancora collegando un dispositivo esterno, in questa fase delle nostre indagini sembra che questo dispositivo contenga anche parti dello stack software del bancomat attaccato."
L'avviso diceva altrove:
In generale, per jackpotting si intende una categoria di attacchi mirati a erogare illegittimamente contanti da un bancomat. La variante della scatola nera del jackpotting non utilizza lo stack software del bancomat per erogare denaro dal terminale. Il truffatore, invece, collega il proprio dispositivo, la “scatola nera”, al distributore e indirizza la comunicazione direttamente al dispositivo di gestione del contante.
Negli ultimi incidenti gli aggressori si concentrano sui sistemi esterni e distruggono parti della fascia per ottenere l'accesso fisico alla zona della testa. Successivamente è stato scollegato il cavo USB tra il dispenser CMD-V4 e l'elettronica speciale oppure il cavo tra l'elettronica speciale e il PC ATM. Questo cavo viene collegato alla scatola nera dell'aggressore per inviare comandi di erogazione illegittimi.
Alcuni episodi indicano che la scatola nera contiene singole parti dello stack software del bancomat attaccato. L'indagine su come queste parti siano state ottenute dal truffatore è in corso. Una possibilità potrebbe essere quella di un attacco offline contro un disco rigido non crittografato.
Il numero crescente di attacchi prende di mira i terminali della linea ProCash dell'azienda, in particolare il modello USB ProCash 2050xs. Gli attacchi in corso si stanno verificando in “alcuni paesi europei”, afferma l’avviso.
Bruno Oliveira, esperto in sicurezza bancomat, ha detto di aver sentito parlare della precedente forma di attacco black-box. Il dispositivo connesso manipola le API incluse nelle estensioni del sistema operativo come XFS o CFS, che comunicano con server remoti gestiti da istituti finanziari. Le scatole nere, che imitano il PC interno di un bancomat, possono essere laptop o hardware Raspberry o Arduino abbastanza facili da costruire, ha detto Oliveira. Le scatole nere sono una delle quattro tecniche di jackpot descritte qui da Diebold Nixdorf.
In alcuni casi, i dispositivi collegati si collegano direttamente allo sportello automatico ed emettono comandi affinché sputi contanti. L'altra forma di attacco black-box si inserisce nei cavi di rete e registra le informazioni dei titolari delle carte mentre vengono trasmesse avanti e indietro tra il bancomat e il centro transazioni che elabora la sessione. Il dispositivo collegato modifica quindi gli importi massimi di prelievo autorizzati o si maschera da sistema host per consentire allo sportello automatico di erogare ingenti somme di denaro.
La brochure sul jackpot sopra collegata descrive altri due tipi di attacchi. Il primo sostituisce il disco rigido legittimo con uno creato dagli aggressori. L'altro utilizza attacchi di phishing contro i dipendenti delle banche. Una volta che gli aggressori riescono ad accedere alla rete di un istituto finanziario, impartiscono comandi che infettano gli sportelli bancomat con malware che possono essere utilizzati per ripulire le macchine.