image

Geldautomaten-malware vertaald en verbeterd

zondag 27 oktober 2013, 09:00 door Redactie, 4 reacties

De malware die onlangs Mexicaanse geldautomaten infecteerde waardoor criminelen via een speciale toetsencombinatie de automaat geldbiljetten konden laten uitgeven, is in het Engels vertaald en van allerlei nieuwe en verbeterde functionaliteiten voorzien.

De malware wordt Ploutus genoemd en is ontwikkeld om de geldautomaat op softwareniveau over te nemen. Om de aanval uit te voeren moeten criminelen eerst fysiek toegang tot de automaat hebben. Vervolgens wordt de geldautomaat vanaf een boot-cd opgestart. Deze boot-cd bevat de malware die tijdens het opstarten het besturingssysteem van de geldautomaat infecteert. Daarnaast schakelt de malware ook de eventueel aanwezige virusscanner uit.

Vertaling

Symantec meldt dat het een nieuwe variant van de malware heeft ontdekt. Naast de Engelse vertaling is de nieuwe Ploutus-variant geen losstaand programma meer, maar bestaat het uit een modulaire architectuur. Deze modulaire architectuur bestaat uit drie onderdelen die detectie voorkomen, opdrachten van het toetsenbord van de geldautomaat verwerken en uiteindelijk de "output" verzorgen.

Zo kunnen de criminelen de automaat bankbiljetten laten uitgeven of de configuratie van de automaat laten printen als er een USB-printer is aangesloten. Het feit dat de malware in het Engels is vertaald kan erop duiden dat Ploutus ook in andere landen wordt gebruikt, maar Symantec heeft hiervoor nog geen bewijs gevonden.

Image

Reacties (4)
27-10-2013, 10:56 door Anoniem
Recept:
- Neem een OS wat niet al te bekend is
- En dat werkende interne scheidingswanden heeft
- Zet alle uitvoerbare bestanden op een alleen-lezen partitie
- Verbied uitvoeren van bestanden van andere partities
- Stel het OS in dat deze (en andere) systeeminstellingen niet uitgezet kunnen worden zonder "single user" herstarten
- Zet een beheerswachtwoord op "single user" herstarten
- Zet er een monitor op die bij iedere start "naar huis belt" met een secure hash van de uitvoerbare partitie en de configuratie

Wordt er gerommeld dan zie je dat gelijk, en dan kun je er iemand langssturen om even te kijken. Tenminste, als ze er niet gewoon met de geldladen vandoorgaan. Maar dat zal wel te moeilijk zijn geweest daar ze met deze software op de proppen zijn gekomen.

Je kan nog zeggen:
- Zet een wachtwoord op het bios en zet booten van cdrom en dergelijke uit
maar het is eigenlijk kinderspel dat te omzeilen.

Wat je eigenlijk moet doen is een eigen BIOS erinflashen wat heel het OS vanuit ROM start -- zoals RISCOS dat deed, en er zijn ook voor x86 wel systemen die klein genoeg zijn -- want dat betekent dat je OS geladen wordt voordat er naar alternatieve opstartmogelijkheden gekeken wordt. Betekent wel dat upgraden meer weg heeft van een systeembord vervangen dan van wat software bij te werken, maar voor deze toepassing zou ik dat acceptabel vinden.

Al bij de eerste stap is bovenstaand programma waardeloos. Daarna is overnemen nog steeds mogelijk, maar wel steeds lastiger. Verder kun je nog rommelen met TPM (als dat geen vervangbare opsteekkaart is) en eventueel secure boot, daar dit toevallig een scenario is waar dat legitiem is. Oh ja, ik heb het niet over "linux", en ook niet over "windows", dat je het even weet.

Maargoed, als de banken serieus waren geweest met beveiliging dan hadden ze die kennis gewoon kunnen inkopen, want ze hebben geld genoeg. Dus concludeer ik dat goeddoordachte beveiliging ze gewoon niet interesseert.

1GYYopciYLMZB1mUTgZta7WpgMa78Smwt3
03-11-2013, 02:01 door AceHighness
1GYYopciYLMZB1mUTgZta7WpgMa78Smwt3
[/quote]
Goed over nagedacht. Beter dan de banken hebben gedaan in ieder geval.
Ik zeg, stuur deze anonieme poster een bitcoin op bovenstaand nummertje !
10-01-2014, 21:12 door Anoniem
Lees even mee: Om de aanval uit te voeren moeten criminelen eerst fysiek toegang tot de automaat hebben.
Is het dan niet logischer als je fysiek toegang hebt om het geld gewoon te stelen, of denk ik te simpel?
17-01-2014, 10:25 door Briolet
Door Anoniem:of denk ik te simpel?
Ik denk dat het geld in een klein, zwaar gepantserd deel van de automaat zit en dat ze het te duur vonden om de gehele automaat van een zware bepantsering te voorzien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.