Hackers de caixas eletrônicos aprenderam alguns truques novos e inteligentes
Os chamados ataques de jackpotting tornaram-se cada vez mais sofisticados – enquanto os caixas eletrônicos permaneceram praticamente os mesmos.
NA DÉCADAdesde que o hacker Barnaby Jack ficou famoso por fazer um caixa eletrônico cuspir dinheiro no palco durante a conferência de segurança Black Hat de 2010 em Las Vegas, o chamado jackpotting se tornou um passatempo criminoso popular, com assaltos ganhando dezenas de milhões de dólares em todo o mundo. E com o tempo, os invasores tornaram-se cada vez mais sofisticados em seus métodos.
Nas conferências de segurança Black Hat e Defcon da semana passada, os pesquisadores investigaram as recentes evoluções no hackeamento de ATMs. Os criminosos têm ajustado cada vez mais seu malware para manipular até mesmo softwares bancários proprietários de nicho para sacar caixas eletrônicos, enquanto ainda incorporam o melhor dos clássicos – incluindo a descoberta de novos ataques remotos contra caixas eletrônicos específicos.
Durante o Black Hat, Kevin Perlow, a equipe técnica de inteligência de ameaças liderada por uma grande instituição financeira privada, analisou duas táticas de saque que representam diferentes abordagens atuais para jackpotting. Um olhou para o malware de ATM conhecido como INJX_Pure, visto pela primeira vez na primavera de 2019. INJX_Pure manipula a interface eXtensions for Financial Services (XFS), que oferece suporte a recursos básicos em um caixa eletrônico, como executar e coordenar o teclado de PIN, leitor de cartão e dinheiro dispenser – e o software proprietário de um banco juntos para causar jackpotting.
As amostras de malware originais foram enviadas para scanners do México e, posteriormente, da Colômbia, mas pouco se sabe sobre os atores que usam INJX_Pure. O malware é significativo, porém, porque é feito sob medida para os caixas eletrônicos de um banco específico, provavelmente em uma região específica, indicando que pode valer a pena desenvolver até mesmo malware de uso limitado ou de jackpotting direcionado, em vez de se concentrar apenas em ferramentas que irão trabalho em todo o mundo.
“É comum que os agentes de ameaças em geral usem o XFS em seu malware ATM para fazer com que um ATM faça coisas que não deveria, mas a implementação do desenvolvedor INJX_Pure foi única e muito específica para alvos particulares”, disse Perlow.
Em julho, o fabricante de ATMs Diebold Nixdorf emitiu um alerta semelhante sobre um tipo diferente de malware, dizendo que um invasor na Europa estava acumulando ATMs com o objetivo de seu software proprietário .
Perlow também analisou o malware FASTCash, usado em campanhas de jackpotting atribuídas pela Agência de Segurança de Infraestrutura e Cibersegurança do Departamento de Segurança Internapara hackers norte-coreanos em outubro de 2018. A Coreia do Norte usou o malware para sacar dezenas de milhões de dólares em todo o mundo, que coordenou grupos de mulas de dinheiro que coletam e lavam. O FASTCash visa não os próprios caixas eletrônicos, mas um padrão de transação de cartão financeiro conhecido como ISO-8583. O malware infecta softwares executados no que são conhecidos como “switches de pagamento”, dispositivos de infraestrutura financeira que executam sistemas responsáveis por rastrear e reconciliar informações de caixas eletrônicos e respostas de bancos. Ao infectar um desses comutadores em vez de atacar um caixa eletrônico individual, os ataques FASTCash podem coordenar saques de dezenas de caixas eletrônicos de uma só vez.
“Se você puder fazer isso, não precisará mais colocar malware em 500 caixas eletrônicos”, diz Perlow. “Essa é a vantagem, porque é tão inteligente.”
Os ataques vão ainda mais longe em um ambiente de laboratório controlado. Pesquisadores da empresa de segurança de dispositivos embarcados Red Balloon Security detalharam duas vulnerabilidades específicas nos chamados ATMs de varejo feitos pela Nautilus Hyosung. Esses são o tipo de caixa eletrônico que você encontraria em um bar ou loja de esquina, em contraste com os caixas eletrônicos “financeiros” usados nos bancos. As vulnerabilidades podem ter sido exploradas por um invasor na mesma rede que um ATM da vítima para assumir o controle do dispositivo e distribuir dinheiro sem qualquer interação física.
“As vulnerabilidades específicas que apontamos, Hyosung fez um ótimo trabalho ao oferecer soluções proativamente para elas”, disse Ang Cui, CEO do Red Balloon. “Mas realmente depende de cada operador dos ATMs vulneráveis para realmente corrigir. Não ficaria surpreso se o mundo inteiro ainda não tivesse implementado esse patch.”
As duas vulnerabilidades estavam em sistemas digitais usados para gerenciar os serviços de um caixa eletrônico. No primeiro, os pesquisadores descobriram que a implementação do XFS tinha uma falha que poderia ser explorada com um pacote especialmente criado para aceitar comandos – como dizer ao caixa eletrônico para dispensar dinheiro. O outro bug no Sistema de Gerenciamento Remoto dos ATMs também levava à execução arbitrária de código, o que significa um controle total.
“O invasor obteria o controle e poderia fazer qualquer coisa, alterar as configurações, mas a coisa mais impactante que ele pode mostrar é ganhar dinheiro”, disse Brenda So, uma cientista pesquisadora do Red Balloon que apresentou o trabalho na Defcon junto com seu colega Trey Keown.
Nautilus Hyosung enfatizou ao WIRED que os pesquisadores do Red Balloon divulgaram suas descobertas no verão de 2019 e que a empresa lançou atualizações de firmware “para mitigar as possíveis ameaças” em 4 de setembro. “Hyosung notificou todos os nossos clientes comerciais para atualizarem imediatamente seus caixas eletrônicos com esses patches , e não temos casos relatados de exposição “, disse a empresa em um comunicado.
No jackpotting criminoso real, os hackers podem simplesmente usar ataques físicos ou explorar as interfaces digitais de um caixa eletrônico inserindo um stick USB malicioso ou cartão SD em uma porta não segura. Mas ataques remotos como os que o Red Balloon exibiu são cada vez mais comuns e engenhosos.
Embora todo software tenha bugs e nenhum computador seja perfeitamente seguro, a onipresença do jackpotting criminoso e a relativa facilidade de encontrar vulnerabilidades no sistema financeiro global para realizá-lo ainda parecem indicar uma falta de inovação na defesa de caixas eletrônicos.
“O que mudou fundamentalmente entre a apresentação de Barnaby Jack e agora?” Cui do Balão Vermelho diz. “Os mesmos tipos de ataques que teriam funcionado contra laptops e sistemas operacionais de laptops 15 anos atrás não funcionariam agora. Nós subimos de nível. Então, por que a máquina que segura o dinheiro não evoluiu? Isso é incrível para mim.”
Fonte: https://www.wired.com/story/atm-hackers-jackpotting-remote-malware/