自动取款机黑客学会了一些聪明的新把戏

在2010年拉斯维加斯黑帽安全会议(Black Hat Security Conference)期间，黑客巴纳比·杰克(Barnaby Jack)在舞台上用自动取款机(ATM)吐出现金，这件事广为人知。自那以后的十年里，所谓的累积奖金已经成为一种流行的犯罪消遣方式，全球各地的抢劫案获得了数千万美元的收入。随着时间的推移，攻击者在他们的方法上变得越来越老练。

在上周的黑帽和Defcon安全会议上，研究人员深入研究了自动取款机黑客攻击的最新进展。犯罪分子越来越多地调整他们的恶意软件，以操纵甚至小众的专有银行软件来套现自动取款机，同时仍然融合了最好的经典-包括发现针对特定自动取款机的新的远程攻击。

在黑帽期间，一家大型私人金融机构的技术威胁情报团队负责人凯文·珀洛(Kevin Perlow)分析了两种现金策略，这两种策略代表了当前不同的头奖方法。其中一款关注的是名为INJX_Pure的自动取款机恶意软件，首次出现在2019年春季。INJX_Pure将金融服务扩展(XFS)接口(该接口支持自动柜员机上的基本功能，如运行和协调PIN盘、读卡器和取款机)和银行的专有软件一起操作，从而导致头奖。最初的恶意软件样本从墨西哥上传到扫描仪，然后从哥伦比亚上传，但人们对使用INJX_Pure的演员知之甚少。不过，这种恶意软件意义重大，因为它是为特定银行的自动取款机量身定做的，可能是在特定地区，这表明开发即使是有限使用或有针对性的积压恶意软件也是值得的，而不是只专注于可以在世界各地运行的工具。

Perlow说，威胁行为者通常会在他们的ATM机恶意软件中使用XFS来让ATM机做一些不应该做的事情，但INJX_Pure Developer对它的实现是独一无二的，并且非常具体地针对特定的目标。

今年7月，自动取款机制造商迪博尔德·尼斯多夫(DieboldNixdorf)就另一种类型的恶意软件发出了类似的警报，称欧洲的一名攻击者通过攻击其专有软件来攻击自动取款机。

佩洛还研究了FastCash恶意软件，2018年10月，国土安全部(Department Of Homeland Security)的网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency)将FastCash恶意软件用于头奖活动，认为是朝鲜黑客所为。朝鲜利用该恶意软件在世界各地套现数千万美元，然后协调成组的洗钱骡子进行收集和洗钱。FastCash的目标不是自动取款机本身，而是一种称为ISO-8583的金融卡交易标准。这种恶意软件会感染在所谓的支付交换机上运行的软件，即金融基础设施设备，这些设备运行的系统负责跟踪和协调来自自动取款机的信息和来自银行的响应。通过感染其中一个交换机，而不是攻击单个自动取款机，FastCash攻击可以同时协调数十台自动取款机的套现。

佩洛说，如果你能做到这一点，那么你就不再需要在500台自动取款机上安装恶意软件了。这就是它的优势，为什么它这么聪明。

在受控的实验室环境中，攻击甚至走得更远。嵌入式设备安全公司红气球安全公司(Red Balloon Security)的研究人员详细介绍了鹦鹉螺(Nautilus Hyosung)制造的所谓零售自动取款机中的两个特定漏洞。这些是你会在酒吧或街角商店找到的自动取款机类型，与银行使用的金融自动取款机形成鲜明对比。攻击者可能会利用这些漏洞，在与受害者自动取款机相同的网络上夺取对设备的控制权，并在没有任何物理交互的情况下分发现金。

Hyosung在美国各地总共部署了超过14万台自动取款机，该公司在9月初修补了这些缺陷。但与许多联网设备一样，提供修复程序和让自动取款机操作员安装修复程序之间可能存在很大差距。红气球研究人员估计，美国仍有多达8万台自动取款机易受攻击。

然而，研究人员估计，美国可能有8万台自动取款机是易受攻击的，研究人员无法知道是否还有易受攻击的设备存在。

红气球首席执行官崔昂(Ang Cui)表示，对于我们指出的具体漏洞，孝星在主动提供修复方面做得很好。但这真的取决于每个易受攻击的自动取款机的操作员才能真正打补丁。如果全世界还没有推出那块补丁，我也不会感到惊讶。

这两个漏洞存在于用于管理自动柜员机服务的数字系统中。在第一种情况下，研究人员发现XFS实现有一个漏洞，可以通过专门制作的数据包来利用该漏洞接受命令-比如告诉自动取款机分发现金。自动取款机远程管理系统中的另一个漏洞也导致任意代码执行，这意味着完全接管。

攻击者会获得控制权，可以做任何事情，改变设置，但它能展示的最有影响力的事情是累积钱财，红气球的研究科学家布伦达·苏(Brenda So)说，她和同事特雷·基恩(Trey Keown)在Defcon展示了这项研究。

鹦鹉螺在接受“连线”采访时强调，红气球的研究人员在2019年夏天披露了他们的发现，该公司在9月4日发布了固件更新，以缓解可能的威胁。该公司在一份声明中表示，该公司通知所有商业客户立即更新他们的自动取款机，安装这些补丁，我们没有报告暴露的情况。

在实际的犯罪头奖中，黑客通常可以简单地使用物理攻击，或者通过将恶意U盘或SD卡插入不安全的端口来利用ATM机的数字接口。但是，像红气球展示的那样的远程攻击也越来越常见，也越来越巧妙。

尽管所有的软件都有漏洞，没有一台计算机是完全安全的，但犯罪头奖的无处不在，以及相对容易地在全球金融体系中找到漏洞来实现这一点，似乎仍然表明自动取款机防御方面缺乏创新。

从巴纳比·杰克(Barnaby Jack)亮相的时候到现在，什么发生了根本的变化？红气球的崔说。15年前针对笔记本电脑和笔记本电脑操作系统的相同类型的攻击，现在基本上不再奏效。我们已经升级了。那么，为什么装钱的机器没有进化呢？这对我来说太不可思议了。

🎙️收听“连线”，这是我们关于未来如何实现的新播客。收看最新剧集，订阅📩时事通讯，跟上我们所有节目的最新动态。

💻使用我们Gear团队最喜欢的笔记本电脑、键盘、替代打字设备和降噪耳机升级您的工作游戏