ディーボルド・ニクスドルフ氏、欧州全土で新たな種類のATM「ブラックボックス」攻撃が発生していると警告

ATMメーカーのディーボルド・ニクスドルフ氏は、最近ヨーロッパ全土で使用されているのが確認された新しいタイプのATM「ブラックボックス」攻撃について銀行に警告している。

ATM の「ブラック ボックス」攻撃は、サイバー犯罪者が ATM から現金を吐き出させるジャックポット攻撃の一種です。 ジャックポッティング攻撃は、ATM にマルウェアをインストールすることによって、または「ブラック ボックス」を使用して実行される可能性があります。

ブラック ボックス攻撃とは、侵入者が ATM の外側ケースを外してポートにアクセスしたり、ケースに穴を開けて内部配線やその他の隠されたコネクタに直接アクセスしたりすることです。

攻撃者は、これらのアクセス ポイントを使用して、「ブラック ボックス」デバイス (通常はラップトップまたは Raspberry Pi ボード) を ATM の内部コンポーネントに接続し、これを使用して ATM の現金自動支払機にコマンドを送信し、保管カセットから現金を放出します。 。

ATM ブラックボックスのジャックポット攻撃は 10 年以上にわたって発生しています。 この手法は、ATM スキミング装置を使用したり、カードを複製したり、通常完了までに数か月かかるプロセスである資金洗浄を行うよりも、安価で簡単に実行できるため、犯罪組織の間で非常に人気があります。

ブラック ボックス攻撃により、スキルの低い攻撃者が必要なブラック ボックス機器とマルウェアをすぐに購入し、数日以内に ATM のジャックポットを開始できるようになります。

世界最大のATMメーカーであるディーボルド・ニクスドルフ社は、水曜日に送信したセキュリティ警告の中で、ヨーロッパの特定の国で使用されているブラックボックス攻撃の新たなバリエーションを同社の調査員が認識していると述べた。

Diebold Nixdorf 氏は、この新しい攻撃は ProCash 2050xe ATM 端末 [PDF] に対してのみ使用され、攻撃者は USB ポート経由でデバイスに接続していることが観察されていると述べています。 同社は次のように説明しています。

Diebold Nixdorf PRoCash 2050xe ATM

「最近の事件では、攻撃者は屋外システムに焦点を当てており、頭部コンパートメントに物理的にアクセスするために筋膜の一部を破壊しています。次に、CMD-V4 ディスペンサーと特別な電子機器の間の USB ケーブル、または CMD-V4 ディスペンサーと特殊な電子機器間のケーブル特別な電子機器と ATM PC のプラグが抜かれました。このケーブルは、不正な分配コマンドを送信するために攻撃者のブラック ボックスに接続されています。」

しかし、これはディーボルト・ニクスドルフの注意を引いたテクニックではありませんでした。 通常、攻撃者はマルウェアまたは独自のコードを展開して ATM 現金自動支払機コンポーネントと対話しますが、ATM ベンダーによると、最近の攻撃中に、加害者は ATM ソフトウェア (ファームウェア) のコピーを入手し、それをコンピュータにインストールしたようだと述べました。ブラック ボックスを使用してキャッシュ ディスペンサーとやり取りしていました。

同社は「詐欺師がこれらの部品をどのように入手したかについて捜査が進行中である」と述べた。 現在、ディーボルド・ニクスドルフ氏は、攻撃者が ATM に接続し、そのソフトウェアが暗号化されていないハードディスクに安全に保存されていないことを発見した可能性があると考えています。

銀行業界の関係者は本日、ZDNetに対し、ディーボルド・ニクスドルフの警告は先月、2020年6月にベルギーで起きた一連のATMジャックポット攻撃に関する調査の直接の結果であると語った。

この攻撃により、ベルギーの貯蓄銀行アルジェンタは、6月と先週末の2件の謎のATMジャックポット攻撃を受け、先月143台のATMの閉鎖を余儀なくされた。

ベルギー史上初のジャックポット事件とされるこの攻撃では、ディーボルド・ニクスドルフの警告で説明されているのと同じ手口が使用され、攻撃者はUSB経由でATMに接続し、現金自動支払機を空にした。 事件を報じたブリュッセル・タイムズ紙によると、攻撃されたのはディーボルド・ニクスドルフのATMのみだった。

Telefonicaのサイバーセキュリティアナリストで銀行詐欺の専門家であるManuel Pintag氏は本日のインタビューでZDNetに対し、この特定の手法はヨーロッパ全土ではなくラテンアメリカで以前にも見られたと語った。