.jpg)
Le jackpotting est une technique cybercriminelle qui utilise des logiciels malveillants pour permettre à un distributeur automatique de billets de distribuer de grosses sommes d’argent sans utiliser de carte de crédit ou de débit, en contournant totalement les processus d’autorisation des transactions.
Cette technique a causé d’énormes pertes économiques aux opérateurs de DAB dans le monde entier au cours de la dernière décennie. Très récemment, en février 2023, la communauté de la cybersécurité a été alertée de l’existence d’une nouvelle variante de logiciel malveillant de jackpotting de DAB, appelée FiXS, qui a été introduite dans le monde entier par des pirates informatiques. infecté des distributeurs automatiques de billets au Mexique.
FiXS est un nouveau logiciel malveillant, mais les techniques et les tactiques qu’il utilise ressemblent beaucoup à celles utilisées par d’autres familles de logiciels malveillants ATM comme Ploutus, Tyupkin, Alice, Ripper et Cobalt.
Bien qu’il n’ait été détecté qu’au Mexique jusqu’à présent, l’apparition de FiXS signifie que les opérateurs de distributeurs automatiques de billets doivent redoubler d’efforts pour prévenir ces attaques, qui sont extrêmement sophistiquées. Ce qui rend FiXS particulièrement mortel, c’est sa capacité à infecter plusieurs fournisseurs et modèles de distributeurs automatiques de billets, grâce à son interaction avec le middleware XFS (eXtended Financial Services), qui contrôle le matériel du distributeur automatique de billets, y compris le distributeur de billets.
FiXS est emballé dans un dropper qui se fait passer pour un exécutable système courant, conhost.exe. Le dropper intègre le logiciel malveillant (FiXS.exe), qui est extrait et copié dans le système de fichiers du distributeur automatique de billets. En utilisant la bibliothèque MSXFS.dll, le logiciel malveillant peut interagir avec l’API XFS et envoyer des commandes au matériel ATM comme le distributeur. L’interaction avec FiXS se fait par l’intermédiaire d’un clavier connecté, qui lance l’interface graphique du logiciel malveillant pour permettre à l’attaquant d’afficher des informations sur les unités de caisse et d’envoyer des commandes de distribution.
Comprendre le processus d’attaque – De l’infection à l’encaissement
Pour réussir à lancer une attaque de jackpot sur un distributeur automatique de billets, il y a quatre phases, de la préparation à l’exécution. L’attaquant commence par voler le disque dur d’un distributeur automatique de billets de série contenant la pile logicielle utilisée par l’institution financière afin de l’analyser et d’en faire l’ingénierie inverse pour préparer une attaque ciblée. Un processus complet de recherche et développement est mis en œuvre, y compris le développement, l’emballage et le test d’un nouveau logiciel malveillant tel que FiXS.
À ce stade, le logiciel malveillant ciblé est prêt à infecter les distributeurs automatiques de billets (DAB) ou les guichets automatiques de banque (GAB) remplis d’argent liquide.
Pour ce faire, il faut accéder physiquement à l’appareil et le manipuler pour copier le logiciel malveillant à l’aide de claviers externes et de clés USB. Les attaquants doivent faire en sorte que l’infection persiste dans le temps, ce qui peut être réalisé en remplaçant les exécutables légitimes du système ou en définissant des touches d’exécution automatique au moment du démarrage. Le logiciel malveillant persistant s’exécute alors silencieusement dans l’attente d’un code d’activation. Enfin, l’attaquant active le logiciel malveillant en saisissant un code qui le réveille et lance une interface graphique pour distribuer de l’argent, qui est ramassé par le gang.
Certains pensent que les guichets automatiques fonctionnant avec des systèmes d’exploitation obsolètes et non pris en charge, comme Windows XP ou Windows 7, sont plus vulnérables. Cependant, les logiciels malveillants pour DAB comme FiXS sont très ciblés et n’exploitent pas les vulnérabilités des systèmes d’exploitation, mais plutôt les défauts de conception de la pile logicielle des DAB, comme l’absence d’authentification dans la couche XFS.
Bien que la migration vers Windows 10 et la mise à jour des correctifs soient une bonne pratique, les guichets automatiques fonctionnant sous Windows 10 sont aussi vulnérables que ceux fonctionnant sous Windows 7 ou XP.
La bonne approche de la cybersécurité pour protéger les distributeurs automatiques de billets
Toute organisation exploitant un réseau de distributeurs automatiques de billets (DAB) est une cible potentielle pour les attaques de type jackpot, ce qui rend essentielles des contre-mesures de cybersécurité robustes et efficaces. Cependant, l’accessibilité physique des guichets automatiques et l’absence de politiques de mise à jour proactives créent un environnement intrinsèquement vulnérable qui rend les dispositifs de guichets automatiques difficiles à protéger avec les technologies de sécurité traditionnelles.
Le Le mode de protection Zero Trustl suppose que l’infrastructure gérant les DAB et les appareils ASST sera compromise, et applique le principe “ne jamais faire confiance, toujours vérifier” pour empêcher le jackpot des DAB et d’autres attaques. La confiance zéro repose sur la réduction drastique de la surface d’attaque et sur un contrôle strict des modifications matérielles et logicielles apportées au DAB.
Pour concevoir un modèle robuste de protection des DAB et des ASST à confiance zéro, il est essentiel d’identifier les points les plus critiques. L’accès au logiciel, au matériel et aux communications doit être vérifié en permanence, en n’accordant l’accès qu’à l’ensemble minimal de ressources qui sont légitimes et nécessaires au bon fonctionnement de l’appareil. En outre, les modifications matérielles, effectuées par des sociétés tierces ayant un accès physique au DAB, ne doivent être possibles que pendant les périodes autorisées, lorsqu’une politique de sécurité spécifique autorisant les modifications est appliquée. Ces modifications sont également soumises à un contrôle total des opérations techniques et à une autorisation explicite.
Un moyen efficace de sécuriser les distributeurs automatiques de billets, les guichets automatiques de banque et d’autres dispositifs critiques pourrait être de mettre en œuvre Lookwise Device Manager (LDM), la solution d’Auriga qui fournit une protection complète par couches aux distributeurs automatiques de billets à tous les stades du cycle de vie de l’attaque, garantissant une disponibilité totale des services pour les clients. Le LDM est conçu sur la base de la connaissance de l’infrastructure ATM et des tactiques et techniques utilisées par les attaquants, ce qui en fait un moyen efficace de sécuriser ces appareils critiques.
En conclusion, la dernière attaque de jackpot sur DAB utilisant FiXS montre que les banques et autres opérateurs de DAB doivent concevoir un modèle de cybersécurité robuste de type “Zero Trust” pour protéger leurs DAB et appareils ASST. L’accessibilité physique des DAB, l’absence de politiques de mise à jour proactives et la nature critique de ces appareils créent un environnement intrinsèquement vulnérable qui les rend difficiles à protéger avec les technologies de sécurité traditionnelles.
Juan Ramon Aramendia est responsable de l’ingénierie des produits de cybersécurité chez Auriga
Tu peux aussi lire :
L’entreprise doit-elle se conformer à la norme PCI DSS ?:
___________________________________________________________________________________________
Si tu aimes ce site web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel : £5 par mois ou £50 par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé, organisé et accessible
