用專門的搜索引擎和特定關鍵字,就能找到聯網自動柜員機(ATM),然后將之感染成為僵尸網絡的一分子。
ATM對供應鏈攻擊和其他網絡安全威脅并不免疫
每天都有大量現金被塞進ATM中,網絡罪犯盯上ATM簡直是順理成章。雖然有些罪犯直接暴力撬開ATM機拿錢,也有技術型罪犯喜歡讓ATM上運行的軟件自動吐錢出來。上周,羅馬尼亞首都布加勒斯特舉行的DefCamp 2017安全大會上,卡巴斯基實驗室的兩名研究員就向聽眾闡述了這一操作。
無可否認,ATM上運行的軟件有漏洞。很多機器都運行的是已經不再受支持的老舊 Windows XP 系統,也就是說,它們默認就是脆弱的;而其他ATM上或許裝有某些不必要且帶漏洞的應用,比如TeamViewer,或者Adobe Acrobat Reader的老舊漏洞版。
而且,銀行往往不對ATM做更新,就這么讓ATM暴露在惡意軟件和其他類型的攻擊之下。ATM內部的安全性通常很弱,現金保護鏈也往往是割裂的,只要其中某部分被漏洞利用,整個保護鏈就會遭到破壞。
拿到ATM上軟件的權限,惡意攻擊者就能獲得現金傳送帶的控制權,隨意抽取紙鈔。而且,入侵一臺ATM,還能順道染指該銀行的整個ATM網絡。
攻擊者做到這一點的方法多種多樣:親身接觸到ATM并在其上安裝某裝置;入侵監管該銀行ATM的計算機;甚至通過供應鏈攻擊,拿下生產商或維護團隊在ATM上所用固件。
能接觸1臺ATM,攻擊者就可以在其上安裝設備,對網絡中所有機器發送指令。這些指令看起來像是從指令中心發出的。攻擊者隨后便可以用銀行卡或隨便什么卡,然后從網絡中任意ATM提取現金。
因為銀行的ATM通常連接的都是平面網絡,網絡中每臺機器都能看到所有其他機器,所以從1臺機器染指網絡中全部機器是可行的。于是,如果攻擊者裝置是植入到直接連接到網絡中的ATM上,攻擊者就可以遠程控制那些機器。這是典型的中間人攻擊。
研究人員還指出,只要惡意裝置從ATM上取出,所有證據就會被抹去。不過,雖然有這種可能性,但迄今為止尚未發現過此類僵尸網絡。目前來講,觀測到的是,銀行的網絡遭到了信息竊取器的感染。
這可以看做是某種形式的ATM僵尸網絡,因為所有機器都被感染了,而攻擊者在遠程收集信息。這也有可能是世界上某個角落的犯罪團伙,正準備用取錢惡意軟件發起攻擊。
攻擊者還可以用VPN連出受感染ATM,悄悄侵入該銀行的網絡。運作此類VPN設備無需考慮主機環境,攻擊者可以在自己的計算機上操作。
另一個滲透ATM網絡的有效方法,是用專門的搜索引擎來發現在線機器,比如Shodan搜索引擎。盡管銀行通常宣稱所有ATM都不上網,只要選對關鍵字,這些設備很容易被搜到。
雖然該攻擊方法此前就已被使用過(用于發現物聯網設備、不安全數據庫和其他類型的面向互聯網設備),用來發現ATM還是相對較新的用例。
一旦發現在線ATM,惡意攻擊者就可開始掃描開放端口,然后嘗試用已知漏洞利用程序滲透機器。至此,攻擊者可以在ATM上安裝信息竊取惡意軟件,或者把ATM歸入僵尸網絡中。
感染銀行內部工作站,然后擴散至整個網絡(包括ATM),是攻擊者(比如Cobalt黑客小組)使用的另一種技術。
近期的攻擊,比如CCleaner和NotPetya,已經展現出供應鏈攻擊可對全世界造成的影響。卡巴斯基的研究人員稱,ATM也不能對此類攻擊免疫。為成功清空ATM,攻擊者會對ATM上運行的所有軟件和操作系統“黃金鏡像”安裝盤下手。
我們已經觀測到將常規惡意軟件植入ATM的情況——通過維護技師插入機器的受感染U盤。因此,如果技師使用的是受感染“黃金鏡像”,他甚至根本注意不到機器已遭入侵。當然,攻擊者還是需要知道“黃金鏡像”上需要植入哪種特定軟件,才可以悄悄感染ATM。
服務提供商被利用成攻擊渠道也是有可能的。沒人會注意到此類入侵。
ATM僵尸網絡也能被用于挖掘加密貨幣。過去幾年里,加密貨幣挖掘機非常流行,到今年,越來越多的惡意攻擊專注于部署此類軟件。因為具備計算能力,ATM也能被用來挖礦。
ATM終歸是另一種形式的計算機,只要恰當的漏洞被發現,也是可以被黑的。這與監視攝像頭被感染來組建IoT僵尸網絡的情況相同。
京公網安備 11010502049343號