ATM Jackpotting
Что такое ATM Jackpotting?
ATM JackpottingАтака, при которой диспенсер банкомата вынуждают выдать всю наличность — либо через физический доступ к верхней панели, либо через компрометацию сети.
ATM jackpotting публично продемонстрировал ныне покойный Barnaby Jack на Black Hat 2010, где он заставил машины Tranax и Triton извергать наличность в демонстрации, которую он назвал «Jackpotting». Современные атаки делятся на два семейства.
Физический jackpotting
Преступная группа открывает верхнюю панель банкомата (часто украденным или универсальным ключом), отключает диспенсер от работающего ПК и подключает устройство атакующего — ноутбук, Raspberry Pi или медицинский эндоскоп, чтобы добраться до кабеля. Затем вредоносное ПО, такое как Ploutus.D, Cutlet Maker (продавалось как crimeware-as-a-service в даркнете примерно за 5 000 долларов) или WinPot, взаимодействует с диспенсером через промежуточное ПО XFS (eXtensions for Financial Services), отправляя команды выдачи, которые опустошают все кассеты за минуты. Первая подтверждённая волна jackpotting в США произошла в январе 2018 года (предупреждения Secret Service/Diebold Nixdorf).
Сетевой cash-out
flowchart TD A[Целевой фишинг сотрудника банка] --> B[Закрепление в сети банка] B --> C[Доступ к серверу платёжного<br/>коммутатора AIX/Windows] C --> D[Внедрение Trojan.FastCash<br/>в процесс коммутатора] D --> E[Мул вставляет карту<br/>в банкомате за рубежом] E --> F[Запрос на снятие поступает на<br/>скомпрометированный коммутатор] F --> G[Вредоносное ПО подделывает<br/>одобрение ISO 8583] G --> H[Банкомат выдаёт наличность;<br/>реальный баланс счёта не тронут]
FASTCash, реализуемая связанной с КНДР группой Lazarus/APT38 (Hidden Cobra / BeagleBoyz), компрометирует сервер приложения платёжного коммутатора банка и подделывает сообщения об одобрении ISO 8583, так что карты мул снимают наличность, которую счёт не может покрыть. CISA/FBI/Treasury описали схему в октябре 2018 года; в одном инциденте 2017 года наличность выводилась из банкоматов в более чем 30 странах одновременно, а инцидент 2018 года охватил 23 страны, при этом общие потери оценивались в десятки миллионов долларов.
Меры защиты
Физические датчики и усиленные замки на верхней панели; пароли BIOS и полнодисковое шифрование; allowlisting приложений в ОС банкомата; подписанная, аутентифицированная прошивка диспенсера и сквозное шифрование XFS 3.0+ между ПК и диспенсером; а также сегментация, MFA и аутентификация сообщений (MAC) на канале «банкомат — коммутатор».
● Примеры
- 01
Мулы с MaaS-комплектом Cutlet Maker опустошают банкоматы Восточной Европы в 2017-2018 годах.
- 02
Схема FASTCash группы Lazarus рассылает сообщения об одобрении и выводит из банкоматов более 100 млн долларов.
● Частые вопросы
Что такое ATM Jackpotting?
Атака, при которой диспенсер банкомата вынуждают выдать всю наличность — либо через физический доступ к верхней панели, либо через компрометацию сети. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает ATM Jackpotting?
Атака, при которой диспенсер банкомата вынуждают выдать всю наличность — либо через физический доступ к верхней панели, либо через компрометацию сети.
Как защититься от ATM Jackpotting?
Защита от ATM Jackpotting обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия ATM Jackpotting?
Распространённые альтернативные названия: Jackpotting, Cash-out атака.