Bizonyos támadástípusok esetében csupán 15 percre van szüksége a támadónak ahhoz, hogy az ATM-eket meghekkelje. A jelek szerint az Észak-Koreához kapcsolható Lazarus csoport egy év leforgása alatt több tízmillió dollárt lopott el ázsiai és afrikai pénzautomatákból.

Egy részletes, 22 oldalas tanulmányban ismertette tesztelésének eredményeit a Positive Technologies nevű vállalat, ahol a szakemberek az NCR, a Diebold Nixdorf és a GRGBanking automatáit vizsgálták meg. A teszt során a kiberbűnözők által is használt tipikus támadásokat próbálták ki a különböző pénzkiadó automatákon, de a skimming vagyis bankkártya másolás technikát is tesztelték.

A vizsgált ATM-ek 85 százalékának segítségével az azokat kiszolgáló hálózatra is tudtak csatlakozni. Ehhez viszont fizikailag hozzá kellett férjenek az automatákhoz, az ethernet kábel vagy a vezeték nélküli csatlakozást piszkálva meg. A kutatók szerint az automaták 58 százalékában olyan sérülékenységet fedeztek fel, melynek kihasználásával távolról lehet az ATM-et irányítani. Továbbá az ATM-ek 23 százalékát úgy tudták irányításuk alá vonni, hogy az automatához kapcsolt más eszköz, például GSM modem vagy router volt sérülékeny.

10, 15, 20 perc a támadás

A kutatók adatai szerint egy tipikus támadás kevesebb mint negyedóra alatt lefuttatható, de ennél gyorsabbak is vannak. Például a Black Box támadás esetében 10 perc alatt pénzhez jutnak a bűnözők. A Black Box támadásban a hacker kinyitja az ATM-et vagy fúr belé egy lyukat, hogy elérje azt a kábelt, amely összeköti az ATM számítógépét a pénzkiadó egységgel. A támadó egy otthon gyártott eszközt csatol az automatára, melynek neve Black Box, segítségével ráveszi az automatát, hogy pénzt adjon ki. A tesztelt ATM-ek 69 százalékánál kivitelezhető ez a támadás.

Az átlagosnál több időre, 20 percre volt szükségük a kutatóknak egy olyan támadásban, mely azonban nagyobb haszonnal jár. Ebben a támadásban a bűnözők megkerülték az ATM belső merevlemezét és egy külső adathordozót csatoltak rá. A támadással nemcsak az ATM-ben lévő pénzhez juthatnak a csalók, de a bankkártya adatok másolására is előkészítik a terepet. Az ehhez hasonló támadások a tesztelt pénzautomaták 92 százalékánál kivitelezhető.

Dollármilliós veszteség

Az ATM-eket ért támadások viszonylag ritkábbak, mert esetenként a kiszemelt automatához fizikailag is hozzá kell férnie a támadónak. De ugyanakkor kifizetődő lehet az erőfeszítés, mert, ha egyszer sikerül megfertőzni a készüléket, akkor az állandó bevételt biztosít. Az Észak-Koreához köthető Lazarus csoport (mely a hírhedt WannaCry globális támadás mögött volt) egy év leforgása alatt több tízmillió dollárt keresett azzal, hogy ázsiai és afrikai bankautomatákat fertőzött meg.

Nekik távolról sikerült mindezt megvalósítaniuk, a Trojan.FastCach nevű trójai segítségével. A trójai 2016 óta aktív, azóta több ezer ATM-ekkel kommunikáló szervert fertőzött meg. A hozzáférés birtokában a csalók a tranzakciókat távolról hagyják jóvá, és valaki a helyszínen felveszik a pénzt az automatából. A csoport összehangolt akciókat indított, tavaly 30 különböző országból vett fel pénzt egyszerre, de 2018-ban is 23 ország automatáját ürítette ki szimultán. A legtöbb esetben az érintett banki szerverek nem frissített operációs rendszert futtatnak, mivel a trójai által kihasznált legtöbb sérülékenységet a gyártók már korábban befoltozták.