Fællesskab
© 2025 Avance Network
OmVejviserKontakt osUdviklereFortrolighedspolitikVilkår for brugTilbagebetale
Videnskab og teknologi

Três maneiras de hackear um caixa eletrônico

User Image
638 Visninger

Nós investigamos três casos de roubo de ATM - envolvendo malware controlado remotamente, um teclado Bluetooth e uma furadeira.

Você deve ter notado que gostamos de roubo em caixas eletrônicos. Não, nós mesmos não os hackeamos, mas sempre que alguém o faz, vamos direto ao caso. No SAS 2017, o principal evento de segurança cibernética do ano, os especialistas da falaram sobre três casos interessantes.

 

ATMitch - malware controlado remotamente

 

O caixa eletrônico estava vazio. A equipe forense do banco não encontrou nenhum arquivo malicioso, nenhuma impressão digital estranha, nenhum traço de qualquer interação física com o dispositivo, nenhuma placa de circuito adicional ou outros dispositivos que pudessem ser usados ​​para assumir o controle da máquina. Eles também não encontraram dinheiro.

 

O que os funcionários do banco encontraram foi um arquivo, kl.txt. Eles perceberam que “kl” pode ter algo a ver com KL - você - então assim que investigamos o caso.

 

Tivemos que começar a investigação em algum lugar, então nossos pesquisadores começaram examinando aquele arquivo. Com base no conteúdo do arquivo de log, eles foram capazes de criar uma regra YARA - YARA é uma ferramenta de pesquisa de malware; basicamente, eles fizeram uma solicitação de pesquisa para repositórios públicos de malware. Eles o usaram para tentar encontrar a amostra original do malware e, depois de um dia, a pesquisa produziu alguns resultados: um DLL chamado tv.dll, que naquela época já havia sido localizado na selva duas vezes, uma na Rússia e outra no Cazaquistão. Isso foi o suficiente para começar a desfazer o nó.

 

Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade!

 

 

Uma investigação completa do DLL permitiu que nossos pesquisadores fizessem a engenharia reversa do ataque, entendessem como ele foi realmente executado e até reproduzissem o ataque em um caixa eletrônico de teste em nosso laboratório de teste. Aqui está o que eles encontraram.

 

ATMitch no trabalho

 

O ataque se originou com os malfeitores explorando uma vulnerabilidade bem conhecida, mas não corrigida, e penetrando nos servidores do banco alvo. (Não mencionamos que atualizar o software é uma obrigação? Este é um caso em questão.)

 

Os invasores usaram código-fonte aberto e ferramentas disponíveis publicamente para infectar os computadores do banco, mas o malware que eles criaram estava escondido na memória dos computadores, não em seus discos rígidos. Não havia arquivos, então o ataque foi extremamente difícil de detectar - era basicamente invisível para as suítes de segurança. Pior ainda, quase todos os vestígios do malware desapareceram quando o sistema foi reiniciado.

 

Os invasores então estabeleceram uma conexão com seu servidor de comando e controle, o que lhes permitiu instalar remotamente o software nos caixas eletrônicos.

 

O malware em questão, ATMitch, foi instalado e executado no caixa eletrônico diretamente do banco usando ferramentas de controle remoto. Parecia uma atualização legítima, então não levantou bandeiras vermelhas com nenhuma das soluções de segurança do banco. Depois disso, o malware começou a procurar um arquivo chamado command.txt. Este arquivo contém os comandos de um único caractere que controlam o ATM. Por exemplo, “O” significa “dispensador de dinheiro aberto”.

 

Aqui está a parte onde o jackpotting real começa. O malware começa com um comando pedindo a quantia em dinheiro no caixa eletrônico, seguido por outro comando para dispensar um determinado número de contas. Quando o comando é enviado, uma mula de dinheiro chega ao local para pegar o dinheiro e ir embora.

 

Os criminosos tentaram não deixar rastros, portanto não havia executáveis ​​no disco rígido do caixa eletrônico. E depois que o dinheiro foi dispensado, o ATMitch escreveu todas as informações sobre a operação no arquivo de log e limpou o arquivo command.txt. Uma nota importante: o ATMitch pode ser instalado na grande maioria dos ATMs existentes - o único requisito é que o ATM suporte uma biblioteca XFS, e é isso que a maioria dos ATMs faz.

 

Você pode encontrar detalhes adicionais sobre malware ATMitch no Securelist.

 

Bl @ ckb0x_m @ g1k - um truque simples e inteligente

 

A próxima história, que também começou com um pedido de um banco, é mais curta. Os registros do caixa eletrônico estavam novamente claros. O disco rígido estava intacto e o invasor prendeu o CCTV com fita adesiva para que não houvesse imagens do que aconteceu.

 

Pedimos ao banco para entregar o caixa eletrônico em nosso escritório. Nós o desmontamos e fizemos uma descoberta incrível - um adaptador Bluetooth conectado ao hub USB do ATM. E no disco rígido havia drivers para um teclado Bluetooth.

 

A partir daí, reconstruir o roubo foi simples. Alguém instalou um adaptador Bluetooth no caixa eletrônico e esperou três meses para que os logs fossem limpos. Em seguida, o criminoso voltou com um teclado bluetooth, cobriu as câmeras de segurança, utilizou o teclado bluetooth para reiniciar o caixa eletrônico em modo de serviço e, por fim, realizou a operação de serviço de esvaziar a dispensadora. É isso aí.

 

O exercício - um exercício real

 

Algumas soluções, como malware controlado remotamente e teclados Bluetooth, parecem elegantes. O próximo truque não é.

 

A história começa como as outras, com um banco entrando em contato conosco para investigar mais um roubo de caixa eletrônico. Desta vez, os forenses encontraram evidências claras de intervenção física: um orifício perfeitamente redondo com cerca de 4 cm de diâmetro próximo ao PIN pad. E nada mais. Os caixas eletrônicos parecem resistentes, mas também têm peças de plástico. E esses são fáceis de, você sabe, perfurar.

 

Em um curto espaço de tempo, houve vários outros casos como esse na Rússia e na Europa. Quando a polícia pegou um suspeito com um laptop e alguns fios, a imagem entrou em foco.

 

Como mencionamos, temos um caixa eletrônico em nosso laboratório, então o desmontamos para saber o que o invasor pode estar tentando acessar usando o buraco. Encontramos um conector de 10 pinos, conectado a um barramento que interconectava basicamente todos os componentes do caixa eletrônico - do computador interno ao terminal.

 

Também encontramos criptografia extremamente fraca que demorou muito pouco para ser quebrada.

 

Para revisar: qualquer parte do ATM poderia controlar todas as outras partes, não havia autenticação entre as partes (portanto, qualquer uma delas poderia ser substituída sem que as outras percebessem) e os comandos usados ​​para controlá-las eram bastante fáceis de entender. Isso parece seguro?

 

Custou-nos cerca de US $ 15 e algum tempo para criar uma placa de circuito simples que pudesse controlar o ATM, uma vez conectado ao barramento serial. Com ele, poderíamos fazer com que nosso caixa de teste dispensasse contas. Parece que os criminosos realizaram o mesmo truque em caixas eletrônicos reais com dinheiro real, mas eles precisavam de um laptop para fazer isso.

 

Notificamos o banco sobre nossas descobertas, mas o problema aqui, como Igor Soumenkov aponta, é que os caixas eletrônicos não podem ser atualizados remotamente. A aplicação de patches requer uma atualização de hardware, e isso, por sua vez, requer que um técnico visite o caixa eletrônico - ou, na verdade, muitos caixas eletrônicos.

 

E daí?

 

Em última análise, se você não for um funcionário do banco, nenhuma das ameaças acima se aplica a você. Eles são problema do banco, não seu. Se você trabalha em um banco, no entanto, e tem alguma influência sobre a proteção de caixas eletrônicos, podemos ajudá-lo com o malware ATMitch, que todas as soluções de segurança detectam. Mas não tem protocolo anti-perfuração. Isso é para você e suas câmeras de segurança capturarem.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.

Strong

5178 Blog indlæg

Sofre de enxaqueca? Suco de maçã e gengibre alivia a dor Live stil

Sofre de enxaqueca? Suco de maçã e gengibre alivia a dor

Viver na Austrália? Seus dados podem ser roubados de você em um futuro próximo Videnskab og teknologi

Viver na Austrália? Seus dados podem ser roubados de você em um futuro próximo

7 dicas para construir tendões mais fortes Live stil

7 dicas para construir tendões mais fortes

Kommentarer