AU M « jackpot » – un crime sophistiqué dans lequel les voleurs installent des logiciels et/ou du matériel malveillants dans les distributeurs automatiques de billets qui obligent les machines à cracher d’énormes volumes d’argent à la demande – a longtemps été une menace pour les banques en Europe et en Asie, mais ces attaques ont en quelque sorte échappé aux États-Unis opérateurs de guichets automatiques. Mais tout cela a changé cette semaine après le Services secrets américains a tranquillement commencé à avertir les institutions financières que des attaques de jackpot ont maintenant été repérées ciblant des distributeurs automatiques de billets ici aux États-Unis.
Pour mener à bien une attaque de jackpot, les voleurs doivent d’abord avoir un accès physique au distributeur de billets. À partir de là, ils peuvent utiliser des logiciels malveillants ou des appareils électroniques spécialisés – souvent une combinaison des deux – pour contrôler les opérations du guichet automatique.
Le 21 janvier 2018, BreachTrace a commencé à entendre parler d’attaques de jackpot, également appelées «attaques logiques», frappant les opérateurs de guichets automatiques américains. J’ai rapidement contacté le géant des guichets automatiques NCR Corp. pour voir s’ils avaient entendu quelque chose. NCR a déclaré à l’époque avoir reçu des informations non confirmées, mais rien de solide pour le moment.
Le 26 janvier, NCR a envoyé un avis à ses clients indiquant qu’il avait reçu des rapports des services secrets et d’autres sources concernant des attaques de jackpot contre des distributeurs automatiques de billets aux États-Unis.
« Alors qu’à l’heure actuelle, ceux-ci semblent se concentrer sur les guichets automatiques non NCR, les attaques logiques sont un problème à l’échelle de l’industrie », lit-on dans l’alerte NCR. « Cela représente les premiers cas confirmés de pertes dues à des attaques logiques aux États-Unis. Cela devrait être traité comme un appel à l’action pour prendre les mesures appropriées pour protéger leurs guichets automatiques contre ces formes d’attaque et atténuer les conséquences.
Le mémo NCR ne mentionne pas le type de logiciel malveillant de jackpot utilisé contre les guichets automatiques américains. Mais une source proche du dossier a déclaré que les services secrets avertissent que des gangs criminels organisés ont attaqué des guichets automatiques autonomes aux États-Unis en utilisant « Ploutus.D», une souche avancée de logiciels malveillants de jackpot repéré pour la première fois en 2013.
Selon cette source – qui a demandé à rester anonyme parce qu’il n’était pas autorisé à parler officiellement – les services secrets ont reçu des informations crédibles selon lesquelles des escrocs activent des soi-disant «équipes de retrait» pour attaquer les guichets automatiques à chargement frontal fabriqués par le vendeur de guichets automatiques. Diebold Nixdorf.
La source a déclaré que les services secrets avertissent que les voleurs semblent viser Optéva 500 et 700 DAB de la série Dielbold utilisant le logiciel malveillant Ploutus.D dans une série d’attaques coordonnées au cours des 10 derniers jours, et qu’il existe des preuves que d’autres attaques sont prévues à travers le pays.
«Les guichets automatiques autonomes ciblés sont régulièrement situés dans les pharmacies, les détaillants à grande surface et les guichets automatiques au volant», lit-on dans une alerte confidentielle des services secrets envoyée à plusieurs institutions financières et obtenue par BreachTrace. « Lors des attaques précédentes, les fraudeurs se sont déguisés en techniciens de guichets automatiques et ont attaché un ordinateur portable avec une image miroir du système d’exploitation des guichets automatiques ainsi qu’un appareil mobile au guichet automatique ciblé.”
Contacté pour commenter, Diebold a partagé une alerte qu’il a envoyée aux clients vendredi avertissant d’éventuelles attaques de jackpot aux États-Unis. L’alerte de Diebold confirme que les attaques semblent jusqu’à présent viser les distributeurs de billets Opteva à chargement frontal.
« Comme au Mexique l’année dernière, le mode d’attaque implique une série d’étapes différentes pour surmonter le mécanisme de sécurité et le processus d’autorisation pour établir la communication avec le [cash] distributeur », indique l’alerte de sécurité Diebold. Une copie de l’intégralité de l’alerte Diebold, accompagnée de conseils sur la façon d’atténuer ces attaques, est disponible ici (PDF).
L’alerte des services secrets explique que les attaquants utilisent généralement un endoscope – un instrument mince et flexible traditionnellement utilisé en médecine pour donner aux médecins un aperçu de l’intérieur du corps humain – pour localiser la partie interne du distributeur de billets où ils peuvent attacher un cordon qui leur permet de synchroniser leur ordinateur portable avec l’ordinateur du guichet automatique.
« Une fois cette opération terminée, le guichet automatique est contrôlé par les fraudeurs et le guichet apparaîtra hors service pour les clients potentiels », lit-on dans l’alerte confidentielle des services secrets.
À ce stade, le ou les escrocs installant le logiciel malveillant contacteront des co-conspirateurs qui peuvent contrôler à distance les distributeurs automatiques de billets et forcer les distributeurs à distribuer de l’argent.
« Lors des attaques précédentes de Ploutus.D, le guichet automatique distribuait en continu à un rythme de 40 billets toutes les 23 secondes », poursuit l’alerte. Une fois que le cycle de distribution démarre, la seule façon de l’arrêter est d’appuyer sur Annuler sur le clavier. Dans le cas contraire, la machine est complètement vidée de l’argent liquide, selon l’alerte.
Une analyse de Ploutus.D en 2017 par une société de sécurité FireEye l’a appelé « l’une des familles de logiciels malveillants les plus avancées que nous ayons vues ces dernières années ».
« Découvert pour le première fois au Mexique en 2013, Ploutus a permis aux criminels de vider les guichets automatiques en utilisant soit un clavier externe attaché à la machine, soit par SMSune technique qui n’avait jamais été vue auparavant », Daniel Régalado a écrit.
Selon FireEye, les attaques de Ploutus observées jusqu’à présent obligent les voleurs à accéder physiquement à un guichet automatique, soit en crochetant ses serrures, en utilisant une clé principale volée, soit en retirant ou en détruisant une partie de la machine.
Regalado dit que les gangs criminels généralement responsables de ces attaques déploient des « mules monétaires » pour mener les attaques et siphonner l’argent des distributeurs automatiques de billets. Le terme fait référence aux opérateurs de bas niveau au sein d’une organisation criminelle qui se voient confier des tâches à haut risque, telles que l’installation d’écumeurs de guichets automatiques et la manipulation physique des distributeurs automatiques de billets.
« De là, les attaquants peuvent attacher un clavier physique pour se connecter à la machine, et [use] un code d’activation fourni par le patron en charge de l’opération afin de retirer de l’argent du guichet automatique », écrit-il. « Une fois déployé sur un guichet automatique, Ploutus permet aux criminels d’obtenir des milliers de dollars en quelques minutes. Bien qu’il existe certains risques que la mule financière soit capturée par des caméras, la vitesse à laquelle l’opération est effectuée minimise le risque pour la mule.
En effet, le mémo des services secrets partagé par ma source indique que l’équipe de retrait/les mules de l’argent prennent généralement l’argent distribué et le placent dans un grand sac. Une fois que l’argent est retiré du guichet automatique et que la mule est partie, le ou les faux techniciens retournent sur le site et retirent leur équipement du guichet automatique compromis.
« La dernière chose que font les fraudeurs avant de quitter le site est de rebrancher le câble Ethernet », note l’alerte.
FireEye a déclaré que tous les échantillons de Ploutus.D qu’il avait examinés ciblaient les guichets automatiques Diebold, mais il a averti que de petites modifications du code du logiciel malveillant pourraient lui permettre d’être utilisé contre 40 distributeurs de guichets automatiques différents dans 80 pays.
L’alerte des services secrets indique que les guichets automatiques fonctionnent toujours Windows XP sont particulièrement vulnérables, et il a exhorté les opérateurs de guichets automatiques à mettre à jour vers une version de Windows 7 pour vaincre ce type d’attaque spécifique.
Il s’agit d’une histoire qui se développe rapidement et qui pourrait être mise à jour plusieurs fois au cours des prochains jours à mesure que de plus amples informations seront disponibles.