Trois façons de pirater un distributeur automatique : à distance, presque à distance, et sur place

Nous avons mené l’enquête sur trois cas de piratage de distributeurs automatiques, impliquant un malware contrôlé à distance, un clavier Bluetooth et une perceuse.

Vous aurez sûrement remarqué que nous sommes friands des histoires de piratage des distributeurs automatiques. Non, nous ne les avons pas piégés nous-mêmes, mais à tout moment quelqu’un peut le faire, nous nous sommes penchés sur ce cas. Lors du SAS 2017, l’évènement incontournable de l’année sur la cybersécurité, les experts de Kaspersky Lab Sergey Golovanov et Igor Soumenkov nous parlent de trois cas intéressants.

ATMitch – malware contrôlé à distance

Le distributeur automatique était vide. La police scientifique de la banque n’a trouvé aucun fichier malveillant, aucune empreinte digitale étrange, aucune trace d’interaction physique avec l’appareil, aucun circuit imprimé supplémentaire, ou autres appareils qui pourraient être utilisés pour prendre le contrôle de la machine. Ils n’ont pas trouvé d’argent non plus.

Les employés de la banque ont découvert un fichier, kl.txt. Ils pensèrent que « kl » avait quelque chose à voir avec KL (autrement dit Kaspersky Lab), et nous ont donc contactés. C’est à partir de là que nous nous sommes mis à enquêter sur ce cas.

Il fallait bien que nous commencions quelque part, par conséquent nos chercheurs commencèrent à analyser ce fichier. En se basant sur les contenus du fichier journal, ils ont été capables de créer des règles YARA, YARA est un outil de recherche de malware ; en résumé, ils ont fait une requête de recherche sur les malwares infectant des lieux publics. Ils l’ont utilisé pour tenter de trouver l’échantillon du malware original, et après une journée, les recherches ont porté leurs fruits. Ils ont trouvé un langage de définition de données (LDD) appelé tv.dll, qui, à ce moment-là avait été repéré dans la nature deux fois, une fois en Russie et l’autre au Kazakhstan. Cela suffisait à démêler le nœud.

Une enquête minutieuse du DLL a permis à nos chercheurs d’inverser l’ingénierie de l’attaque, comprendre son fonctionnement, et même reproduire l’attaque sur un distributeur automatique d’essai doté de fausse monnaie dans notre laboratoire de tests. Voici ce qu’ils ont trouvé.

ATMitch au travail   

Les malfaiteurs ont créé cette attaque en exploitant une vulnérabilité bien connue mais non corrigée et en pénétrant les serveurs de la banque cible (Inutile de vous dire que la mise à jour du logiciel est fondamentale ? Ceci est un bon exemple).

Les hackers ont utilisé le code open source et les outils accessibles au public pour infecter les ordinateurs de la banque, le malware qu’il ont créé cependant était caché dans la mémoire des ordinateurs, et non pas sur leurs disques durs. Il n’y avait pas de fichiers, par conséquent l’attaque était extrêmement dur à détecter, elle était principalement invisible pour les solutions de sécurité. Pire encore, presque toutes les traces du malware avaient disparu lorsque le système a redémarré.

Les cybercriminels ont ensuite établi une connexion sur leur serveur de commande et contrôle, ce qui leur a permis d’installer à distance un logiciel sur les distributeurs automatiques.

Le malware en question, ATMitch, a été installé et exécuté sur le distributeur automatique directement depuis la banque en utilisant des outils de contrôle à distance. Il ressemblait à une mise à jour légitime, et par conséquent n’a pas alerté les solutions de sécurité de la banque. Après quoi, le malware a commencé à chercher un fichier appelé command.txt. Ce fichier contient les commandes d’un seul serveur qui contrôle le distributeur automatique. Par exemple, « O » signifie « open cash dispenser » (distributeur de billets public).

Voici l’heure du jackpot. Le malware commence avec une commande demandant la somme d’argent dans le distributeur automatique, suivi d’une autre commande pour distribuer un certain nombre de billets. Au moment où la commande est envoyée, un passeur arrive sur place pour récupérer l’argent et s’en va.

Les cybercriminels ont essayé de ne pas laisser de traces, pour cela ils n’ont pas laissé de fichiers exécutables sur le disque dur du distributeur automatique. Après que l’argent a été distribué, ATMitch a écrit toutes les informations concernant l’opération dans le fichier journal et a effacé le fichier commande.txt propre. Note importante : ATMitch pourrait être installé sur la vaste majorité des distributeurs automatiques existants, la seule condition est que les distributeurs automatiques soient compatibles avec XFS library, ce qui est le cas pour la plupart des guichets automatiques.

Vous pouvez trouver davantage d’informations concernant le malware ATMitch sur Securelist.

Bl@ckb0x_m@g1k — une combine simple et intelligente

La prochaine histoire, qui a également commencé à la demande d’une banque, est plus courte. Les registres du distributeur automatique étaient de nouveau clairs. Le disque dur était intact, et l’hacker avait canalisé le CCTV donc il n’y avait pas de vidéo sur ce qui c’était passé.

Nous avons demandé à la banque d’apporter le distributeur à nos bureaux. Nous l’avons désassemblé et avons fait une découverte incroyable, un adaptateur Bluetooth était connecté au concentrateur USB du distributeur automatique. Et sur le disque dur il y avait des pilotes pour un clavier Bluetooth.

A partir de là, reconstruire le schéma du piratage a été simple. Quelqu’un avait installé un adaptateur Bluetooth sur le distributeur automatique et avait attendu trois mois pour que les registres soient effacés. Ensuite le cybercriminel est revenu avec un clavier Bluetooth, a recouvert les caméras de surveillance, s’est servi du clavier pour redémarrer le distributeur automatique en mode de maintenance, et pour finir, a exécuté l’opération pour vider le distributeur. Ni plus ni moins.

Le cas de la perceuse (bien réelle)

Certaines solutions, telles que les malwares contrôlés à distance ou les claviers Bluetooth, semblent élégantes. La combine suivante ne l’est pas.

L’histoire commence de la même façon, une banque nous a contactés pour enquêter sur un nouveau piratage d’un distributeur automatique. Cette fois, la police scientifique avait trouvé des preuves évidentes d’intervention physique, un trou percé parfaitement rond d’environ 4 cm de diamètre près du clavier NIP. Et rien de plus. Les distributeurs automatiques paraissent solides, mais ils contiennent des parties en plastique. Et ces derniers, comme vous le savez, sont faciles à percer.

En un court laps de temps, il y a eu beaucoup plus de cas de ce type en Russie et en Europe. Le cas s’est concrétisé lorsque la police scientifique a mis la main sur un suspect avec un ordinateur portable et des câbles électriques.

Comme nous l’avons dit, un distributeur automatique se trouve dans notre laboratoire, nous l’avons donc désassemblé pour savoir à quoi l’hacker avait accès en utilisant le trou. Nous avons trouvé un en-tête à 10 broches, connecté au bus informatique qui reliait essentiellement tous les composants des distributeurs automatiques, de l’ordinateur interne au distributeur de billets.

Nous avons également trouvé un chiffrement extrêmement faible qui n’a pas mis longtemps à être déchiffré.

Pour résumer : n’importe quelle partie du distributeur automatique pourrait contrôler toutes les autres parties, il n’y a pas eu d’authentification entre les parties (de sorte que l’une d’entre elles pourrait être remplacée sans que les autres ne s’en rendent compte), et les commandes utilisées pour les contrôler étaient plutôt faciles à comprendre. Est-ce bien sûr ?

Ça nous a coûté environ 15$ et un peu de temps pour trouver une carte de circuit simple qui puisse contrôler le distributeur automatique une fois connecté au bus informatique. Lors de son utilisation, nous avons pu faire notre test de distributeur de (faux) billets. Il est probable que les cybercriminels aient accompli la même combine sur de vrais distributeurs automatiques, mais ils avaient besoin d’un ordinateur portable pour le faire.

Nous avons fait part de nos découvertes à la banque, mais le problème ici, comme Igor Soumenkov le souligne, c’est que les distributeurs automatiques ne peuvent pas être mis à jour à distance. Les correctifs nécessitent une mise à jour du hardware, ce qui requiert la venue d’un technicien pour faire une inspection du distributeur automatique, ce qui en fait beaucoup à contrôler.

Qu’en-est il ?

En fin de compte, si vous n’êtes pas un employé de banque, aucune de ces menaces ne vous concerne. Ce sont les problèmes de la banque, pas les vôtres. Si vous travaillez dans une banque, cependant, et que vous avez une influence sur la protection des distributeurs automatiques, on peut vous aider face au malware ATMitch malware, que toutes les solutions de sécurité de Kaspersky Lab détectent. Cependant nous n’avons pas de protocole  » anti-perçage ». C’est à vous et aux caméras de surveillance de détecter s’il y a un problème sur un distributeur automatique.

 

Conseils