FiXS Malware
Küberkurjategijad on sihikule võtnud Mehhiko sularahaautomaate uue pahavara tüvega, mida tuntakse nimega FiXS, mis võimaldab ründajatel sihitud masinatest sularaha väljastada. Seda pahavara on kasutatud 2023. aasta veebruaris alanud rünnakute seerias.
Turvaekspertide raporti kohaselt on nende rünnakute taktika sarnane sellega, mida kasutas varasemate rünnakute puhul Ploutus – teist tüüpi sularahaautomaatide pahavara, mis on olnud Ladina-Ameerika pankade sihiks alates 2013. aastast. Ploutuse uuendatud versioon, mis on suunatud konkreetselt sularahaautomaatidele. toodetud Brasiilia müüja Itauteci poolt, on levinud kogu Ladina-Ameerikas alates 2021. aastast.
FiXS-i pahavara on just väljas ja mõjutab praegu Mehhiko panku. Pärast sularahaautomaatidele installimist kasutab see ära CEN XFS-i nime all tuntud protokollide ja API-de komplekti, mis võimaldab küberkurjategijatel programmeerida sularahaautomaate sularaha väljastamiseks kas välise klaviatuuri või SMS-sõnumite kaudu. Seda protsessi nimetatakse jackpotiks. Tähelepanuväärne on, et seda tüüpi rünnak võib põhjustada märkimisväärset rahalist kahju nii pankadele kui ka nende klientidele ning tekitada muret sularahaautomaatide võrkude turvalisuse pärast.
FiXS-i pahavara rünnakuahel
FiXS-i pahavara üks peamisi omadusi on see, et see võimaldab ohutegijal väljastada sularahaautomaadist sularaha 30 minutit pärast masina taaskäivitamist. Pangaautomaadile peab aga kurjategijatel olema juurdepääs välise klaviatuuri kaudu.
Pahavara sisaldab metaandmeid vene või kirillitsas ning ründeahel algab pahavara tilgutiga nimega "conhost.exe". See tilguti tuvastab süsteemi ajutise kataloogi ja salvestab sinna FiXS ATM-i pahavara kasuliku koormuse. Manustatud pahavara dekodeeritakse seejärel XOR-juhiste abil, kusjuures võtit muudetakse igas tsüklis funktsiooni decode_XOR_key() kaudu. Lõpuks käivitatakse FiXS ATM-i pahavara ShellExecute Windows API kaudu.
Pahavara kasutab sularahaautomaadiga suhtlemiseks CEN XFS API-sid, mis muudab selle minimaalsete muudatustega ühilduvaks enamiku Windowsi-põhiste sularahaautomaatidega. Küberkurjategijad saavad pahavaraga suhtlemiseks kasutada välist klaviatuuri ja haakimismehhanismid peatavad klahvivajutused. 30 minuti jooksul pärast sularahaautomaadi taaskäivitamist saavad kurjategijad ära kasutada süsteemi haavatavust ja kasutada välist klaviatuuri, et sularahaautomaadist raha välja sülitada.
Teadlased ei ole kindlad nakkuse algvektori suhtes. Kuna FiXS kasutab Ploutusele sarnast välist klaviatuuri, järgib see samuti arvatavasti sarnast metoodikat. Mis puutub Ploutesse, siis pangaautomaadile füüsilise juurdepääsu omav inimene ühendab rünnaku algatamiseks sularahaautomaadiga välise klaviatuuri.
Jackpotting on küberkurjategijate gruppide seas endiselt populaarne
Kuna sularahaautomaadid jäävad sularahapõhise majanduse finantssüsteemi oluliseks komponendiks, on nendele seadmetele suunatud pahavararünnakud endiselt levinud. Seetõttu on väga oluline, et finantsasutused ja pangad näeksid ette võimalikke seadmete kompromisse ning keskenduksid seda tüüpi ohtudele reageerimise optimeerimisele ja parandamisele. Need rünnakud on avaldanud märkimisväärset mõju erinevatele piirkondadele, sealhulgas Ladina-Ameerikale, Euroopale, Aasiale ja Ameerika Ühendriikidele.
Nende rünnetega seotud riskid on eriti suured vanemate sularahaautomaatide mudelite puhul, kuna neid on keeruline parandada või asendada ning harva kasutatakse turvatarkvara, et vältida nende niigi kehva jõudluse edasist halvenemist.
Euroopa Turvaliste Tehingute Assotsiatsioon on teatanud kokku 202 edukast jackpoting rünnakust (ATM Malware & Logical Attacks), mis olid 2020. aastal suunatud ELi finantsasutustele, mille tulemuseks oli kahju 1,4 miljonit dollarit ehk umbes 7000 dollarit rünnaku kohta, selgub 2022. aasta aruandest. Atlanta Föderaalreservi pank.
