Language
Les escrocs ont acquis le logiciel propriétaire Diebold pour « jackpoter » les guichets automatiques
MaisonMaison > Blog > Les escrocs ont acquis le logiciel propriétaire Diebold pour « jackpoter » les guichets automatiques
DERNIÈRES NOUVELLES

Les escrocs ont acquis le logiciel propriétaire Diebold pour « jackpoter » les guichets automatiques

May 25, 2023

Dan Goodin - 20 juillet 2020 21h40 UTC

Diebold Nixdorf, qui a gagné 3,3 milliards de dollars grâce aux ventes et aux services des distributeurs automatiques l’année dernière, met en garde les magasins, les banques et les autres clients contre une nouvelle forme de « jackpotting » basée sur le matériel, le terme utilisé par les voleurs pour vider rapidement les distributeurs automatiques.

La nouvelle variante utilise un appareil qui exécute des parties de la pile logicielle propriétaire de l'entreprise. Les attaquants connectent ensuite l'appareil aux composants internes du guichet automatique et émettent des commandes. Des attaques réussies peuvent générer un flux d’argent liquide, parfois distribué à une vitesse pouvant atteindre 40 billets toutes les 23 secondes. Les appareils sont connectés soit en accédant à une clé qui déverrouille le châssis du guichet automatique, soit en perçant des trous ou en brisant les verrous physiques pour accéder aux composants internes de la machine.

Lors des précédentes attaques de jackpotting, les appareils connectés, connus dans l'industrie sous le nom de boîtes noires, invoquaient généralement des interfaces de programmation contenues dans le système d'exploitation du guichet automatique pour canaliser les commandes qui atteignaient finalement le composant matériel qui distribue l'argent. Plus récemment, Diebold Nixdorf a observé une série d'attaques par boîtes noires intégrant des parties des logiciels propriétaires de l'entreprise.

"Certaines des attaques réussies montrent un nouveau modus operandi adapté à la manière dont l'attaque est menée", a averti Diebold Nixdorf dans une alerte de sécurité active émise la semaine dernière et fournie à Ars par un représentant de l'entreprise. "Bien que le fraudeur connecte toujours un appareil externe, à ce stade de nos investigations, il apparaît que cet appareil contient également des parties de la pile logicielle du guichet automatique attaqué."

L’avis disait ailleurs :

De manière générale, le jackpotting fait référence à une catégorie d’attaques visant à distribuer illégalement de l’argent à partir d’un distributeur automatique. La variante boîte noire du jackpotting n'utilise pas la pile logicielle du guichet automatique pour distribuer de l'argent depuis le terminal. Au lieu de cela, le fraudeur connecte son propre appareil, la « boîte noire », au distributeur et dirige la communication directement vers le dispositif de traitement des espèces.

Lors des récents incidents, les attaquants se concentrent sur les systèmes extérieurs et détruisent des parties du fascia afin d'accéder physiquement au compartiment principal. Ensuite, le câble USB entre le distributeur CMD-V4 et l'électronique spéciale, ou le câble entre l'électronique spéciale et le PC ATM, a été débranché. Ce câble est connecté à la boîte noire de l'attaquant afin d'envoyer des commandes de dispense illégitimes.

Certains incidents indiquent que la boîte noire contient des parties individuelles de la pile logicielle du guichet automatique attaqué. L'enquête sur la manière dont ces pièces ont été obtenues par le fraudeur est en cours. Une possibilité pourrait être une attaque hors ligne contre un disque dur non crypté.

Le nombre croissant d'attaques cible les terminaux de la gamme ProCash de l'entreprise, notamment le modèle USB ProCash 2050xs. Les attaques en cours se produisent dans « certains pays européens », indique l’avis.

Bruno Oliveira, expert en sécurité des guichets automatiques, a déclaré avoir entendu parler de la forme antérieure d'attaque par boîte noire. L'appareil connecté manipule les API incluses dans les extensions du système d'exploitation telles que XFS ou CFS, qui communiquent avec des serveurs distants exploités par les institutions financières. Les boîtes noires, qui imitent le PC interne d'un guichet automatique, peuvent être soit des ordinateurs portables, soit du matériel Raspberry ou Arduino assez facile à construire, a déclaré Oliveira. Les boîtes noires sont l'une des quatre techniques de jackpot décrites ici par Diebold Nixdorf.

Dans certains cas, les appareils connectés se connectent directement au distributeur de billets et émettent des commandes pour que celui-ci crache de l'argent. L'autre forme d'attaque par boîte noire se connecte aux câbles réseau et enregistre les informations du titulaire de la carte lors de leur transmission entre le guichet automatique et le centre de transactions qui traite la session. Le dispositif connecté modifie ensuite les montants de retrait maximum autorisés ou se fait passer pour le système hôte pour permettre au guichet automatique de distribuer de grosses sommes d'argent.

La brochure sur le jackpotting ci-dessus décrit deux autres types d'attaques. Le premier remplace le disque dur légitime par celui créé par les attaquants. L’autre utilise des attaques de phishing contre les employés de banque. Une fois que les attaquants obtiennent l’accès au réseau d’une institution financière, ils émettent des commandes qui infectent les guichets automatiques avec des logiciels malveillants pouvant être utilisés pour nettoyer les machines.