卡巴斯基實驗室：構建ATM殭屍網路並不困難

卡巴斯基實驗室的研究人員認為，惡意攻擊者可通過專門的搜尋引擎和特定關鍵字搜尋聯網ATM機，然後組成殭屍網路。
ATM機的“固有”弱點

卡巴斯基研究員Olga Kochetova和Alexey Osipov上週在羅馬尼亞首都布加勒斯特舉辦的DefCamp安全會議上解釋稱，ATM機每天都存有大量現金，網路犯罪分子瞄準ATM機不足為奇。雖然有的攻擊者直接實施物理入侵，也有攻擊者則偏好利用ATM的軟體漏洞讓機器自動“吐鈔”。

ATM機執行的軟體存在漏洞，這一點不可否認。許多ATM機仍在執行過時的軟體，例如Windows XP，這就意味著它們易遭遇黑客攻擊。

另外，銀行通常不會更新ATM機，這也給惡意軟體和其它攻擊創造了可乘之機。ATM機的內部安全性差，保護現金的鏈條部分並沒有單獨受到保護，這就意味著某一部分被利用都可能使整個鏈條受牽連。
ATM變殭屍網路的多種方式

惡意攻擊者能訪問ATM上執行的軟體，以此控制錢箱並提現。但是，訪問一臺裝置也可能會讓攻擊者攻擊銀行的整個ATM機系統，攻擊者可通過多種方式實現該目的：

對ATM實施物理訪問，並在其中安裝惡意裝置；

攻擊監控銀行ATM機的電腦；

甚至發起供應鏈攻擊（從廠商或維修人員在ATM機上安裝的韌體入手）。

研究人員解釋稱，攻擊者獲取了ATM機的訪問權便能在其中一臺機器上安裝裝置，並向網路中的所有機器傳送看似來自中央指揮中心的命令。 攻擊者之後可使用空白卡或其它任何卡，提取網路中的任何一臺ATM機上的現金。

研究人員表示這種方法可行，其原因在於所有銀行ATM機通常連線到平面網路（Flat Network），這就意味著網路中的任何一臺機器能看到其它聯網機器。因此，一旦攻擊者將惡意裝置植入一臺聯網ATM機中，攻擊者便能遠端控制多臺機器。這是中間人攻擊的典型例子。再將惡意裝置從ATM中取出，所有證據便會消失無蹤。

迄今為止尚未發現此類殭屍網路，這還只是一種可能性，但此前出現過資訊竊取程式感染銀行網路的案例。卡巴斯基研究員Kochetova指出，這可以被視為一類ATM殭屍網路，因為所有裝置均會遭遇感染，攻擊者可以遠端收集其中的資料。世界各地的攻擊者有可能會使用現金提取惡意軟體發起攻擊，而不使用嗅探器。

攻擊者還可能從ATM中取出VPN驅動，並通過該驅動連線到銀行的網路，且不會被任何人發現。此類VPN裝置無需依靠主機便能運作，因此攻擊者能在自己的電腦上使用。
ATM可被Shodan引擎搜尋

研究人員還指出，另一個滲透ATM網路的有效方式是：使用專門的搜尋引擎（例如Shodan）發現網路上的裝置。雖然銀行通常聲稱ATM未聯網，但如果使用的關鍵詞或片語正確，攻擊者能輕易找到這些裝置。通過Shodan搜尋發現存在漏洞的物聯網裝置、不安全的資料庫和其它聯網裝置比較常見，但是，搜尋ATM機的現象之前未出現過。

卡巴斯基實驗室：構建ATM殭屍網路並不困難-E安全

一旦發現線上ATM機，惡意攻擊者可能會開始檢查開放的埠，並設法攻擊存在已知漏洞的機器。這樣一來，攻擊者可以在ATM機上安裝資訊竊取惡意軟體或組成殭屍網路。

感染銀行內部的工作站，並延伸至整個網路（包括ATM機）是攻擊者使用的另一種攻擊技術，例如Cobalt黑客組織。

諸如CCleaner和NotPetya在內的攻擊證明供應鏈攻擊可能會影響全球。卡巴斯基實驗室的研究人員表示，ATM機也可能會遭遇此類攻擊。為了成功實施攻擊，攻擊者會攻擊桌面模板（Golden Image：用來在ATM機上安裝作業系統和所有執行的軟體）。

研究人員Osipov表示已經發現攻擊者通過被感染的U盤（技術人員連線到裝置的U盤）在ATM機上安裝普通的惡意軟體。如果使用被感染的“Golden Image”，技術人員甚至不會察覺。他還指出，如果服務提供商被當成攻擊途徑，也會出現無人覺察的情況。
ATM殭屍網路：一邊吐錢一邊挖礦

ATM機殭屍網路還可能被用來進行加密貨幣挖礦活動。Kochetova指出，每臺ATM機都相當於一臺電腦，這就意味著，攻擊者利用漏洞就可以發起攻擊。這與感染監控攝像頭構成物聯網殭屍網路一樣。

本文轉自d1net（轉載）