Những Nghệ Sĩ Hack ATM Đã Nắm Bắt Được Những Chiêu Thức Mới Độc Đáo

Trong thập kỷ kể từ khi hacker Barnaby Jack nổi tiếng khi làm cho một máy ATM phun tiền mặt trên sân khấu tại Hội nghị bảo mật Black Hat năm 2010 tại Las Vegas, việc jackpotting đã trở thành một hoạt động tội phạm phổ biến, với những vụ trộm hàng chục triệu đô la trên toàn thế giới. Và theo thời gian, những kẻ tấn công trở nên ngày càng tinh tế trong phương pháp của họ.

Tại các hội nghị bảo mật Black Hat và Defcon tuần trước, các nhà nghiên cứu đã đào sâu vào sự phát triển gần đây của việc hack ATM. Tội phạm ngày càng điều chỉnh phần mềm độc hại của họ để thao túng ngay cả phần mềm ngân hàng độc quyền để rút tiền từ ATM, trong khi vẫn tích hợp những điều tốt nhất từ những kỹ thuật cổ điển—bao gồm cả việc khám phá những cuộc tấn công từ xa mới để nhắm vào các máy ATM cụ thể.

Trong sự kiện Black Hat, Kevin Perlow, trưởng nhóm đội ngũ trí tuệ đe dọa kỹ thuật tại một tổ chức tài chính lớn, phân tích hai chiến thuật rút tiền mà đại diện cho những phương pháp jackpotting hiện tại khác nhau. Một trong số đó là phân tích mã độc hại ATM được biết đến với tên gọi INJX_Pure, xuất hiện lần đầu vào mùa xuân năm 2019. INJX_Pure thao túng cả giao diện eXtensions for Financial Services (XFS)—hỗ trợ các tính năng cơ bản trên ATM như chạy và phối hợp với PIN pad, đầu đọc thẻ và máy phát tiền mặt—và phần mềm độc quyền của ngân hàng cùng một lúc để gây ra jackpotting.

Mẫu mã độc hại gốc đã được tải lên các máy quét từ Mexico và sau đó từ Colombia, nhưng ít biết về những người sử dụng INJX_Pure. Mặc dù vậy, mã độc hại này quan trọng vì nó được tinh chỉnh cho các máy ATM của một ngân hàng cụ thể, có lẽ ở một khu vực cụ thể, cho thấy có thể đáng giá để phát triển mã độc hại jackpotting giới hạn hoặc nhắm mục tiêu thay vì tập trung chỉ vào các công cụ sẽ hoạt động trên toàn thế giới.

"Việc sử dụng XFS trong mã độc hại ATM là phổ biến đối với các đối tượng đe dọa nói chung để làm cho một máy ATM thực hiện những điều mà nó không nên làm, nhưng cách triển khai của nhà phát triển INJX_Pure là duy nhất và rất cụ thể đối với các mục tiêu cụ thể," Perlow nói.

Trong tháng 7, nhà sản xuất máy ATM Diebold Nixdorf đã đưa ra một cảnh báo tương tự về một loại mã độc hại khác, nói rằng một kẻ tấn công ở châu Âu đang sử dụng phần mềm độc hại này để rút tiền từ các máy ATM bằng cách nhắm vào phần mềm độc quyền của nó.

Perlow cũng nghiên cứu về mã độc hại FASTCash, được sử dụng trong các chiến dịch jackpotting mà Cơ quan An ninh và An toàn Cơ sở hạ tầng Mạng của Bộ An ninh Nội địa Hoa Kỳ đã đặt vào tài khoản của hacker Bắc Triều Tiên vào tháng 10 năm 2018. Triều Tiên đã sử dụng mã độc hại này để rút tiền hàng chục triệu đô la trên toàn thế giới, sau đó nhóm người chuyển tiền phối hợp thu thập và rửa tiền. FASTCash không nhắm vào chính các máy ATM mà là tiêu chuẩn giao dịch thẻ tín dụng tài chính được biết đến là ISO-8583. Mã độc hại nhiễm vào phần mềm chạy trên những thiết bị "chuyển thanh toán," thiết bị hạ tầng tài chính chạy hệ thống chịu trách nhiệm theo dõi và cân nhắc thông tin từ các máy ATM và phản hồi từ ngân hàng. Bằng cách nhiễm vào một trong những chuyển đổi này thay vì tấn công vào một máy ATM cụ thể, các cuộc tấn công FASTCash có thể điều phối rút tiền từ hàng chục máy ATM cùng một lúc.

"Nếu bạn có thể làm điều này, thì bạn không còn cần phải đặt mã độc hại trên 500 máy ATM nữa," Perlow nói. "Đó là ưu điểm, làm cho nó rất khéo léo."

Các cuộc tấn công điều này còn mạnh mẽ hơn trong môi trường phòng thí nghiệm kiểm soát. Các nhà nghiên cứu tại công ty bảo mật thiết bị nhúng Red Balloon Security đã mô tả hai lỗ hổng cụ thể trong các máy ATM bán lẻ của Nautilus Hyosung. Đây là loại máy ATM bạn sẽ thấy ở quán bar hoặc cửa hàng góc đường, khác biệt so với máy ATM "tài chính" được sử dụng trong ngân hàng. Những lỗ hổng có thể đã được một kẻ tấn công khai thác trên cùng mạng với máy ATM nạn nhân để chiếm quyền kiểm soát thiết bị và phát tiền mà không cần tương tác vật lý.

Hyosung, có hơn 140,000 máy ATM triển khai khắp Hoa Kỳ, đã vá các lỗ hổng vào đầu tháng 9. Nhưng như nhiều thiết bị kết nối, có thể có khoảng trống lớn giữa việc cung cấp một giải pháp và việc các nhà điều hành ATM cài đặt nó. Các nhà nghiên cứu Red Balloon ước tính rằng có đến 80,000 máy ATM ở Mỹ vẫn có thể bị tấn công.

"Những lỗ hổng cụ thể mà chúng tôi chỉ ra, Hyosung đã làm rất tốt khi tự động cung cấp giải pháp cho chúng," Ang Cui, Giám đốc điều hành của Red Balloon, nói. "Nhưng thực sự phụ thuộc vào mỗi nhà điều hành của máy ATM có lỗ hổng để thực sự vá. Tôi sẽ không ngạc nhiên nếu toàn thế giới chưa triển khai bản vá đó."

Hai lỗ hổng nằm trong hệ thống số được sử dụng để quản lý các dịch vụ của một máy ATM. Trong lỗ hổng đầu tiên, các nhà nghiên cứu phát hiện rằng triển khai XFS có một lỗ hổng có thể bị khai thác với một gói tin được tạo ra đặc biệt để chấp nhận các lệnh—như bảo máy ATM phát tiền mặt. Lỗi khác trong Hệ thống Quản lý từ xa của các máy ATM cũng dẫn đến thực thi mã tùy ý, có nghĩa là có thể tiếp quản hoàn toàn.

"Kẻ tấn công sẽ kiểm soát và có thể làm bất cứ điều gì, thay đổi cài đặt, nhưng điều có ảnh hưởng nhất mà nó có thể thể hiện là rút tiền mặt," Brenda So, một nhà nghiên cứu tại Red Balloon, nói khi trình bày công việc tại hội nghị Defcon cùng với đồng nghiệp Trey Keown.

Nautilus Hyosung nhấn mạnh với MYTOUR rằng các nhà nghiên cứu Red Balloon đã tiết lộ những phát hiện của họ vào mùa hè năm 2019 và công ty đã phát hành cập nhật firmware "để giảm thiểu các rủi ro có thể xảy ra" vào ngày 4 tháng 9. "Hyosung đã thông báo cho tất cả các khách hàng thương mại của chúng tôi để ngay lập tức cập nhật ATM của họ với những bản vá này, và chúng tôi không có báo cáo về trường hợp nào mắc kẹt," công ty nói trong một tuyên bố.

Trong jackpotting tội phạm thực tế, hacker thường có thể đơn giản sử dụng các tấn công vật lý hoặc khai thác giao diện số của máy ATM bằng cách chèn một USB stick hay thẻ SD độc hại vào một cổng không bảo mật. Nhưng các cuộc tấn công từ xa như những gì Red Balloon giới thiệu cũng ngày càng trở nên phổ biến và tinh tế.

Mặc dù tất cả phần mềm đều có lỗi, và không có máy tính nào là hoàn toàn an toàn, sự phổ cập của jackpotting tội phạm và sự dễ dàng tìm ra các lỗ hổng trong hệ thống tài chính toàn cầu để thực hiện nó vẫn cho thấy sự thiếu đổi mới trong phòng thủ máy ATM.

"Cái gì đã thay đổi cơ bản giữa thời điểm Barnaby Jack trình bày và hiện nay?" Cui của Red Balloon nói. "Những loại tấn công giống nhau mà trước đây có thể hoạt động với laptop và hệ điều hành laptop 15 năm trước lớn khả năng sẽ không còn hiệu quả nữa. Chúng ta đã nâng cấp. Vì vậy, tại sao lại máy giữ tiền không phát triển? Điều đó đối với tôi là đáng kinh ngạc."

Những bài viết tuyệt vời khác từ MYTOUR

• Một chuyên gia IT đang nỗ lực mạnh mẽ dựa trên bảng tính để khôi phục quyền lựa chọn
• Làm thế nào việc đột nhập vào tòa án khiến hai hacker áo trắng vào tù
• Trong cuộc hành trình tâm thần kế tiếp của bạn, hãy để ứng dụng làm hướng dẫn của bạn
• Các nhà khoa học đưa mặt nạ vào thử nghiệm—với điện thoại di động và bức xạ laser
• Hình thức giáo dục kết hợp có thể là lựa chọn nguy hiểm nhất trong số
• 🎙️ Nghe Get MYTOUR, podcast mới của chúng tôi về cách tương lai được hiện thực hóa. Nghe các tập mới nhất và đăng ký nhận 📩 bản tin để theo dõi tất cả chương trình của chúng tôi
• 💻 Nâng cấp trò chơi làm việc của bạn với những chiếc laptop, bàn phím, lựa chọn gõ chữ và tai nghe chống ồn yêu thích từ đội ngũ Gear của chúng tôi