L’11 Gennaio 2017, FireEye ha pubblicato un blogpost a proposito di un nuovo malware denominato “Ploutus-D”. Quest’ultimo è stato descritto come “uno dei malware per ATM più avanzati nel suo genere mai visto negli ultimi anni”. Poiché questo malware utilizza alcuni componenti della piattaforma software di KAL e attacca gli ATM, è importante che i i clienti di KAL e l’industria di ATM ne siano al corrente. Questo articolo presenta la visione di KAL sul malware e offre consigli ai gestori di ATM. KAL ringrazia FireEye per averci informati del rinvenimento del malware prima di pubblicare la notizia sul sito web.
Il malware è contraddistinto da due caratteristiche:
1. Può erogare denaro in contanti attraverso un ATM con componenti XFS, e
2. Controlla quando e quanti contanti erogare, così che i cosiddetti “money mules”, i primi destinatari dei soldi ricavati dalle frodi informatiche, possono incassare i contanti grazie alle istruzioni fornite in via remota da uno degli ideatori del malware.
Erogare contanti
Tutti coloro coinvolti nell’industria ATM devono fare attenzione agli standard XFS e all’implementazione della Piattaforma Kalignite di KAL. Il malware utilizza i componenti software di KAL per implementare la funzione di erogazione attraverso l’XFS Service Provider del bancomat. L’articolo pubblicato da FireEye avanza l’ipotesi che i componenti software di KAL siano stati ottenuti da un ATM rubato. In alcuni paesi, i furti di ATM non avvengono di rado - non solo per ottenere contanti, ma anche per analizzare e creare componenti software.
Controllo dello sportello
Un codice sofisticato è stato installato all’interno del malware Ploutus. Grazie a questo codice, i “muli” che prelevano i contanti non hanno nessun potere sul procedimento di prelievo. Al contrario, quest’ultimo è completamente controllato a distanza. . Lo scopo di quanto sopra è assicurarsi che il “mulo” non si impadronisca dei contanti appena erogati, ma che li consegni prima di tornare nuovamente allo sportello ATM infetto dal malware per effettuare il prossimo prelievo. A tal fine, il malware necessita di una tastiera o di un telefono per collegarsi all’ATM, così che la persona che controlla l’operazione a distanza può abilitare/disabilitare il processo di erogazione, oltre a controllare che il mulo prelievi un determinato importo - e non, ad esempio, erogare contanti quando un cliente ignaro del malware sta prelevando contanti in quel preciso momento. La somma erogata è determinata dalla posizione creditizia del “mulo”.
Un aspetto importante riguardo l’utilizzo del malware, sul quale FireEye sorvola, è la maniera in cui il malware viene inizialmente installato sull’ATM. KAL crede che il malware possa essere utilizzato su ATM che non hanno un sistema di protezione adeguato, o dove suddetta protezione non è stata abilitata. Affinché il malware funzioni, ognuno dei seguenti sistemi di sicurezza dovrebbe fallire:
1. Accesso fisico al PC-Core dell’ATM: il malware richiede accesso alla porta di una tastiera (ad esempio, PS/2), e/o accesso a una porta USB. Ciò richiederebbe l’accesso fisico all’ATM - la maggior parte degli ATM è fornito di barriere fisiche che renderebbe l’accesso impossibile - e al PC-Core all’interno dell’ATM, ma anche in questo caso, in quasi tutti gli ATM gli scompartimenti contenenti il PC-Core sono dotati di una serratura che blocca l’accesso.
2. In secondo luogo, il malware dovrebbe essere installato nell’ambiente di runtime dell’ATM. Per essere installato con successo, il malware dovrebbe riuscire ad ottenere accesso fisico come sopra, e le porte USB dovrebbero essere lasciate sbloccate per consentire l’accesso ai dispositivi di memorizzazione di massa. Alternativamente, il malware dovrebbe essere introdotto tramite una rete sofisticata di attacco, ma non ci sono prove che confutano questa opzione. La nostra ipotesi è che il malware sia stato introdotto attraverso una porta USB sbloccata.
3. Infine, il malware dovrebbe essersi installato ed eseguirsi da solo nell’ATM, praticamente impossibile negli ATM protetti da tecnologia whitelisting.
I tre punti elencati sopra sono indispensabili poiché il malware possa attaccare un ATM: se una delle tre protezioni sopracitate funziona correttamente, l’utilizzo del malware risulterebbe impossibile.
Consiglio per i gestori di ATM
Ploutus-D è una minaccia non solo per i clienti di KAL, ma anche per tutti i gestori di ATM. Secondo FireEye, “sia Ploutus-D che il software di KAL vengono introdotti nel sistema...”, il che significa che tutti gli ATM conformi con XFS sono a rischio di attacco.
Le seguenti misure di protezione sono pertanto essenziali per gli ATM:
1. Sicurezza fisica per proteggere l’accesso al PC-Core. La scheda madre, le porte USB e le porte per la Tastiera devono essere dotate di protezione contro l’accesso fisico.
2. Attivazione del lockdown per l’archiviazione di massa USB. è fondamentale che le porte USB siano disattivate in modo da impedire l'accesso a dispositivi di memorizzazione non identificati.
3. Utilizzare il software whitelisting, affinché soltanto i software autorizzati possano essere eseguiti sull'ATM.
Inoltre,
4. La ragione per cui Ploutus-D esiste non è soltanto frutto di una poco adeguata protezione degli ATM. Infatti, quanto sopra è anche causato dal furto degli hard disk e dall’alterazione del software. È di vitale importanza che gli hard disk siano protetti mediante crittografia completa del disco.
Consiglio per i clienti di KAL
I clienti di KAL devono abilitare il Security Lockdown di Kalignite su tutti gli ATM. Questi contiene tutte le caratteristiche sopracitate, oltre ad altre funzionalità che aiutano a bloccare altri tipi di attacchi malware. Siamo a vostra disposizione in caso abbiate bisogno di ulteriori informazioni.