Wikistrike

Wikistrike

Rien ni personne n'est supérieur à la vérité

Comment pirater un distributeur de billets (DAB) quasiment sans les mains

Publié par wikistrike.com sur 28 Septembre 2015, 08:03am

Catégories : #Science - technologie - web - recherche

Comment pirater un distributeur de billets (DAB) quasiment sans les mains

Pirater une distributeur de billets devient quasiment un jeu d’enfant une fois un cheval de Troie implanté. ZATAZ a pu tester la chose. Inquiétant !

Tout débute en 2014, lors de l’annonce de la découverte d’un malware du nom de Tyupkin. Le microbe est capable de se jouer des sécurité implantées dans les distributeurs de billets. Première chose à mettre en place par le pirate, installer son microbe dans le GAB (Guichet Automatique de Billet – appelé aussi DAB ou encore ATM).

En 2014, des pirates s’étaient amusés à creuser un petit trou dans les distributeurs pour accrocher une clé USB à l’ordinateur hébergé dans le coffre fort. Un employé malveillant peut aussi se charger de cette mission, clé USb ou CDROM. Comme nous avons pu le tester lors de l’anniversaire des 30 ans de GDATA (A Borum, à l’academie de l’éditeur d’antivirus), une fois le code malveillant dans l’installation du GAV, qui pour rappel tourne sous Windows XP en raison de la présence d’une API certifiée qui n’existe pas (encore, NDR) dans d’autres OS plus sécurisés, le commanditaire de l’attaque attend son heure.

Comme dans le cas des attaques par skimming, le « chef » de l’opération n’est pas celui qui va appuyer sur les boutons et récupérer l’argent. A distance, il alerte sa/ses mules. Des intermédiaires qui ont pour mission de récupérer les billets, comme ceux que vous révélait ZATAZ, en juin, avec ces maçons moldaves arrêtés sur l’Île Maurice.

Dans le cas de Tyupkin, la mule reçoit un code secret par téléphone, unique, qu’il va taper au clavier du GAB. Une action qui lui permet de récupérer une certaine somme d’argent, décidée par le commanditaire. La confiance étant ce qu’elle est entre ces voyous, les « lieutenants » et « têtes de réseau » ne font pas confiance aux mules et décident donc de l’argent qui sera récolté, et renvoyé ensuite par Wester Union et autres moyens de transferts de liquidité.

Extrait du code pirate.

Extrait du code pirate.

GData a donc invité ZATAZ a testé ce code malveillant dans la superbe enceinte qu’est son académie de Bochum, à quelques kilomètres de Düsseldorf. Tyupkin est d’autant plus terrible qu’il ne laisse aucune trace. Ses options sont étonnantes. Il permet de connaitre le nombre de cassettes de billets dans l’ATM ; le montant des billets dans chaque cassette… La sécurité SolidCore des GAB ne fait pas long feu. Une fois l’argent collecté par la mule, APTRASST s’efface, lui et ses composants (TyupkinATMsample_1.exe). Il n’oublie pas d’éteindre la machine et la relance, comme si de rien n’était. Aucune trace dans les logs. Autant dire que les employés des banques se retrouvent avec des trous dans leurs caisses, sans pouvoir les justifier.

Nous vous présentons, en vidéo, cette attaque, dans le ZATAZ Web TV de cette fin septembre. Nous comprenons beaucoup mieux, maintenant, pourquoi les banques et le GIE s’inquiète de la possibilité de voir débarquer ce genre de code malveillant dans nos distributeurs. A noter que le code de GDATA n’a pas été acheté dans le black market comme nous l’a confirmé Jérôme Granger responsable de la communication de GDATA France « Il a été décompilé par nos chercheurs, en Allemagne« .

Source

Archives

Articles récents