Comment Les pirates Utilisent Raspberry Pi pour Pirater les guichets Automatiques

• Dave McKay

  @thegurkha

• 24 mai 2021, 8h00 HAE

Les cybercriminels mènent une guerre contre les banques, vidant leurs guichets automatiques d’argent. Leurs outils de choix sont des logiciels malveillants, une clé d’eBay et un Raspberry Pi. Voici comment ils font.

Toucher le jackpot

Cela fait plus de dix ans que le défunt hacker et chercheur en cybersécurité Barnaby Michael Douglas Jack a démontré à un public ravi comment il pouvait compromettre les guichets automatiques. La présentation de Jack a eu lieu le 28 juillet 2010 à la conférence Black Hat USA à Las Vegas. Contrairement aux célèbres machines à sous de Las Vegas, les deux guichets automatiques sur scène avec Jack pouvaient être utilisés pour distribuer de l’argent jusqu’à ce qu’ils soient vides — à chaque fois. De manière fiable et répétée.

Il est normal que le terme jackpotting ait été inventé dans ce qui est probablement la ville de jeu la plus célèbre du monde. Il est utilisé pour décrire les attaques qui ciblent les guichets automatiques et les vident. L’autre attaque ATM courante est l’écrémage, dans lequel les numéros PIN des utilisateurs et les données de leurs cartes sont copiés et utilisés pour créer des cartes clonées.

Le jackpotting est en augmentation, ce qui entraîne des dizaines de millions de dollars perdus chaque année. Des centaines de milliers de distributeurs automatiques de billets ont été touchés en Asie et en Europe, et les attaques se multiplient aux États-Unis. Selon certaines estimations, les guichets automatiques de 100 banques différentes dans 30 pays ont été touchés depuis 2016, ce qui représente environ 1 milliard de dollars pour les différents acteurs de la menace.

Ces opérations à grande échelle sont sophistiquées. Ils nécessitent une planification, une surveillance, une petite armée de troupes au sol ou de mules, des connaissances, des logiciels malveillants et du matériel. Il est révolu le temps où vous enchaînez le guichet automatique à votre camion et partez avec.

Maintenant, vous pouvez utiliser un Raspberry Pi.

Le Modus Operandi

Un guichet automatique est effectivement un ordinateur dans une enceinte renforcée reliée à des tiroirs remplis d’argent. Malheureusement, le système d’exploitation à l’intérieur des ordinateurs n’est pas aussi durci que le boîtier dans lequel se trouve l’ordinateur. La plupart fonctionnent sous Windows 7, bien que Windows XP soit également courant. Ce sont des systèmes d’exploitation obsolètes qui auraient dû être retirés il y a longtemps. Leurs vulnérabilités sont nombreuses et bien comprises par les cybercriminels.

Des paquets de logiciels malveillants peuvent être achetés sur le dark Web pour exploiter les vulnérabilités de ces systèmes d’exploitation et interagir avec le logiciel ATM. Ils ont des noms comme atmspitter, escalope maker, distributeur vert, fast cash et pylône. Les prix varient d’environ 200 à 1 000 dollars, selon la marque et le modèle des guichets automatiques que vous ciblez. Certains des packs de logiciels malveillants contiennent des logiciels propriétaires compromis appartenant aux fabricants d’ATM.

Vous dépenserez également environ 150 $ pour les équipements dont vous aurez besoin, y compris votre Raspberry Pi.

Étape 1: Où sont les Cibles ?

Les guichets automatiques d’une ville sont cartographiés et étudiés. Les bonnes cibles sont celles qui sont très utilisées, car elles sont chargées avec le plus d’argent. Les cibles idéales sont les guichets automatiques de grande valeur dans les zones où la surveillance est faible ou inexistante.

Les attaques sont généralement programmées pour des jours tels que le Black Friday ou la Saint-Valentin, lorsque les guichets automatiques sont chargés jusqu’à 20% plus d’argent que d’habitude. Les guichets automatiques sont également chargés d’argent supplémentaire dans les semaines précédant Noël, car beaucoup auront reçu leur prime annuelle ou de Noël dans leur salaire.

Étape 2: Quelles sont les marques et les modèles ATM?

La connaissance du matériel ATM vous permet d’acheter le logiciel malveillant approprié et la clé appropriée pour ouvrir le boîtier ATM. Certains fabricants mettent leur nom sur le guichet automatique quelque part, ce qui facilite l’identification. Les grands noms de la fabrication de distributeurs automatiques de billets sont Diebold Nixdorf, Wincor Nixdorf, NCR, Triton et Hitachi-Omron.

Photographier le guichet automatique vous permet d’obtenir de l’aide des contacts du dark Web ou de Google image Search pour déterminer la marque et le modèle. Une fois que vous êtes armé des versions de distributeurs automatiques de billets que vous allez compromettre, vous pouvez rechercher des marchés du dark Web — et même des points de vente Web clairs tels qu’Ali Baba et eBay — pour les clés de maintenance des distributeurs automatiques de billets.

Les prix de ceux-ci commencent à 10 $ et atteignent environ 50 $. Vous utiliserez la clé pour ouvrir le guichet automatique et accéder aux ports USB.

Étape 3: Installer le malware

Les ports USB des distributeurs automatiques de billets sont restreints et n’acceptent qu’une connexion à partir d’un clavier ou d’une souris. Cela permet aux militaires d’effectuer la maintenance des unités. Vous aurez chargé le malware sur votre Raspberry Pi, et obtenu une batterie pour qu’il puisse fonctionner comme une unité portable.

Le malware est écrit de manière à convaincre l’ATM que le Raspberry Pi est un clavier. Les commandes stockées sortent du Raspberry Pi dans l’ATM, et l’ATM les suit consciencieusement.

Étape 4: Jackpot

Il est possible de faire cracher des billets à un taux de 40 billets en 20 secondes environ, soit environ 120 en une minute. S’il s’agit de billets de 100 dollars, c’est 12 000 dollars par minute.

Jackpot en effet.

Variations sur un thème

Le jackpotting à grande échelle touche de nombreux distributeurs automatiques de billets à la fois, ce qui signifie que vous devez avoir beaucoup de gens dans la rue pour effectuer ces attaques et vous apporter de l’argent. Ce sont les mules bon marché à l’extrémité inférieure du spectre criminel. Avec un peu de coaching et de formation, ces agents de bas niveau sont capables de faire le côté physique de l’attaque, et le logiciel malveillant fait le reste.

Il est moins cher d’équiper une mule d’un Raspberry Pi qu’un ordinateur portable, et un Raspberry Pi est plus facile à dissimuler sur votre personne. Parfois, le Raspberry Pi est équipé d’un récepteur GSM (Global system for mobile communications) à 70 $, de sorte qu’il accepte les commandes par SMS.

Une autre variante consiste à insérer une clé USB dans l’ATM et à la redémarrer d’un système d’exploitation dans la clé USB. Lorsque l’ATM a démarré, vous pouvez installer le logiciel malveillant directement dans le système d’exploitation actuellement en sommeil de l’ATM. Lorsque vous redémarrez le guichet automatique à l’aide de son système d’exploitation habituel, vous pouvez contrôler le logiciel malveillant en insérant une carte spécialement créée ou via une combinaison de touches secrètes sur le clavier du guichet automatique.

Les guichets automatiques contiennent un logiciel d’accès à distance afin qu’ils puissent être pris en charge et maintenus à distance. Si vous pouvez compromettre ce logiciel, vous pouvez contrôler votre collection de guichets automatiques zombies à distance. Tout ce que vos mules ont à faire est d’être au bon endroit au bon moment pour ramasser l’argent.

Nous ne connaissons pas la Véritable échelle

On pense que beaucoup de vols de guichets automatiques ne sont pas signalés, nous ne connaissons donc pas vraiment la véritable échelle du problème. Nous savons cependant deux choses. La première est que le jackpotting que nous connaissons est déjà énorme. La seconde est qu’elle va continuer à croître.

Jusqu’à ce que les fabricants de guichets automatiques prennent la sécurité des guichets automatiques au sérieux, les cybercriminels vont voir les guichets automatiques comme des boîtes pleines d’argent qui n’attendent que d’être vidées.