新闻快讯
< >

卡巴斯基实验室:构建ATM僵尸网络并不困难

E安全11月15日讯 卡巴斯基实验室的研究人员认为,恶意攻击者可通过专门的搜索引擎和特定关键字搜索联网ATM机,然后组成僵尸网络。

ATM机的“固有”弱点

卡巴斯基研究员Olga Kochetova和Alexey Osipov上周在罗马尼亚首都布加勒斯特举办的DefCamp安全会议上解释称,ATM机每天都存有大量现金,网络犯罪分子瞄准ATM机不足为奇。虽然有的攻击者直接实施物理入侵,也有攻击者则偏好利用ATM的软件漏洞让机器自动“吐钞”。

  • ATM机运行的软件存在漏洞,这一点不可否认。许多ATM机仍在运行过时的软件,例如Windows XP,这就意味着它们易遭遇黑客攻击。

  • 另外,银行通常不会更新ATM机,这也给恶意软件和其它攻击创造了可乘之机。ATM机的内部安全性差,保护现金的链条部分并没有单独受到保护,这就意味着某一部分被利用都可能使整个链条受牵连。

卡巴斯基实验室:构建ATM僵尸网络并不困难-E安全

ATM变僵尸网络的多种方式

恶意攻击者能访问ATM上运行的软件,以此控制钱箱并提现。但是,访问一台设备也可能会让攻击者攻击银行的整个ATM机系统,攻击者可通过多种方式实现该目的:

  • 对ATM实施物理访问,并在其中安装恶意设备;

  • 攻击监控银行ATM机的电脑;

  • 甚至发起供应链攻击(从厂商或维修人员在ATM机上安装的固件入手)。

研究人员解释称,攻击者获取了ATM机的访问权便能在其中一台机器上安装设备,并向网络中的所有机器发送看似来自中央指挥中心的命令。 攻击者之后可使用空白卡或其它任何卡,提取网络中的任何一台ATM机上的现金。

研究人员表示这种方法可行,其原因在于所有银行ATM机通常连接到平面网络(Flat Network),这就意味着网络中的任何一台机器能看到其它联网机器。因此,一旦攻击者将恶意设备植入一台联网ATM机中,攻击者便能远程控制多台机器。这是中间人攻击的典型例子。再将恶意设备从ATM中取出,所有证据便会消失无踪。

迄今为止尚未发现此类僵尸网络,这还只是一种可能性,但此前出现过信息窃取程序感染银行网络的案例。卡巴斯基研究员Kochetova指出,这可以被视为一类ATM僵尸网络,因为所有设备均会遭遇感染,攻击者可以远程收集其中的数据。世界各地的攻击者有可能会使用现金提取恶意软件发起攻击,而不使用嗅探器。

攻击者还可能从ATM中取出VPN驱动,并通过该驱动连接到银行的网络,且不会被任何人发现。此类VPN设备无需依靠主机便能运作,因此攻击者能在自己的电脑上使用。

ATM可被Shodan引擎搜索

研究人员还指出,另一个渗透ATM网络的有效方式是:使用专门的搜索引擎(例如Shodan)发现网络上的设备。虽然银行通常声称ATM未联网,但如果使用的关键词或词组正确,攻击者能轻易找到这些设备。通过Shodan搜索发现存在漏洞的物联网设备、不安全的数据库和其它联网设备比较常见,但是,搜索ATM机的现象之前未出现过。

卡巴斯基实验室:构建ATM僵尸网络并不困难-E安全

一旦发现在线ATM机,恶意攻击者可能会开始检查开放的端口,并设法攻击存在已知漏洞的机器。这样一来,攻击者可以在ATM机上安装信息窃取恶意软件或组成僵尸网络。

感染银行内部的工作站,并延伸至整个网络(包括ATM机)是攻击者使用的另一种攻击技术,例如Cobalt黑客组织。

诸如CCleaner和NotPetya在内的攻击证明供应链攻击可能会影响全球。卡巴斯基实验室的研究人员表示,ATM机也可能会遭遇此类攻击。为了成功实施攻击,攻击者会攻击桌面模板(Golden Image:用来在ATM机上安装操作系统和所有运行的软件)。

研究人员Osipov表示已经发现攻击者通过被感染的U盘(技术人员连接到设备的U盘)在ATM机上安装普通的恶意软件。如果使用被感染的“Golden Image”,技术人员甚至不会察觉。他还指出,如果服务提供商被当成攻击途径,也会出现无人觉察的情况。

ATM僵尸网络:一边吐钱一边挖矿

ATM机僵尸网络还可能被用来进行加密货币挖矿活动。Kochetova指出,每台ATM机都相当于一台电脑,这就意味着,攻击者利用漏洞就可以发起攻击。这与感染监控摄像头构成物联网僵尸网络一样。

相关阅读:

新型恶意软件Cutlet Maker暗网出售,仅用 5000 美元即可掏空ATM
ATM机及ATM机恶意软件攻击的发展及演变史
迪堡Opteva系列ATM机曝两大严重漏洞:攻击者可提取现金
ATM攻击新浪潮——红外插入式伪造卡槽正式登场
黑客用U盘启动软件让印度ATM机吐钱,Windows XP再中招
黑客新技术在ATM钻洞就让其吐钱
犯罪分子开挂 不需要银行卡也能从ATM机取钱(视频演示)

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。