Komoly figyelmeztetést adott ki az FBI az Egyesült Államokban terjedő, kártevővel végrehajtott ATM-es "jackpotting" támadások miatt, és a mostani riasztás alapján a jelenség már messze nem elszigetelt hullám, hanem látványosan erősödő bűnözői módszer. Az IC3 február 19-én közzétett FLASH figyelmeztetése technikai részleteket, kompromittálódási jeleket és védekezési javaslatokat is tartalmaz, kifejezetten bankoknak, ATM-üzemeltetőknek és szervizpartnereknek címezve. A számok önmagukban is elég beszédesek. Az FBI szerint 2020 óta nagyjából 1900 ilyen ATM-kifosztási esetet jelentettek, ebből több mint 700 egyedül 2025-ben történt, és ezek a támadások összesen 20 millió dollárnál is nagyobb veszteséget okoztak. Ez azt jelenti, hogy a tavalyi év nem egyszerűen erős volt ezen a fronton, hanem külön szintet nyitott a módszer terjedésében.
A jackpotting lényege, hogy a támadók nem bankkártyaadatokra vagy ügyfélszámlákra mennek rá, hanem magát az automatát veszik célba. A gépre telepített kártevővel azt érik el, hogy az ATM legitim tranzakció nélkül is készpénzt adjon ki, gyakorlatilag parancsra. Az FBI ezt gyors "cash-out" műveletként írja le, vagyis sokszor mire az üzemeltető észreveszi a problémát, a pénz már régen eltűnt. A riasztás név szerint is említi a Ploutus nevű malware-családot, amely az ATM-ekben használt XFS-réteget célozza. Ez az a szoftveres köztes réteg, amely a gép hardverének ad utasításokat, például a készpénzkiadás vezérléséhez. Normál esetben az ATM alkalmazása banki jóváhagyással együtt küld parancsokat ezen a csatornán keresztül, de ha a támadó saját utasításokat tud beadni az XFS felé, akkor a banki hitelesítési folyamat gyakorlatilag megkerülhető. Ettől lesz ez a módszer ennyire veszélyes: nem ügyféloldali csalás, hanem közvetlen gépfoglalás.
Az FBI leírása szerint a támadások jelentős része fizikai hozzáféréssel indul, sok esetben az ATM előlapjának kinyitásával, amihez gyakran általánosan elérhető, generikus kulcsokat használnak. Innen több út is nyílik a fertőzésre. Az egyik tipikus forgatókönyv, hogy kiszerelik a merevlemezt, egy másik gépen felmásolják rá a kártevőt, majd visszahelyezik és újraindítják az ATM-et. A másik, hogy eleve egy fertőzött háttértárat vagy külső eszközt tesznek be a gépbe. Mindkét módszer azt mutatja, hogy itt egyszerre kell fizikai és informatikai védelemben gondolkodni. A hivatal arra is felhívja a figyelmet, hogy a támadási módszer több gyártó automatáin is működhet viszonylag kis módosítással, mert a kártevő a kompromittált ATM-en futó Windows operációs rendszert használja ki. Vagyis nem egyetlen márkára vagy modellre szabott trükkről van szó, hanem olyan támadási logikáról, amely platformszinten keres fogást a rendszeren.
A technikai jelzések között az FBI több gyanús futtatható fájlt is felsorol, valamint külön fájlokat, scripteket, újonnan létrejött mappákat és hash-azonosítókat is megad, hogy az üzemeltetők célzottan tudjanak ellenőrizni. Emellett figyelmeztet a nem engedélyezett távoli eléréses eszközök használatára is, például TeamViewer vagy AnyDesk jelenlétére, illetve a szokatlan automatikus indulási beállításokra és egyedi szolgáltatásokra a Windows rendszerben. Ez azért fontos, mert egy ilyen támadás nyoma nem feltétlenül csak a pénzhiányban látszik meg, hanem a rendszerben maradó apró eltérésekben is.
A fizikai oldalról nézve az FBI külön kiemeli az olyan jelzéseket, mint a szervizajtó nyitása karbantartási időn kívül, az USB-eszközök csatlakoztatása, a billentyűzetek, hubok vagy pendrive-ok megjelenése, illetve a váratlan készpénzhiányos állapotok. Ezek a jelek önmagukban még nem bizonyítanak jackpottingot, de együtt már erős mintát adhatnak egy előkészített vagy folyamatban lévő támadáshoz. A védekezési javaslatok között az egyik legerősebb üzenet a "gold image" alapú ellenőrzés, vagyis az ATM fájljainak és hash-einek összevetése egy hiteles, kontrollált alapképpel. Az FBI szerint minden eltérést, főleg az új vagy aláíratlan binárisokat potenciális kompromittálódásként érdemes kezelni, amíg az ellenkezője be nem bizonyosodik. Ezzel párhuzamosan célzott naplózást is javasolnak a cserélhető adathordozók használatáról, a fájlhozzáférésekről és a folyamatindításokról, mert a támadók előkészítő lépései sokszor nem hálózaton keresztül látszanak, hanem helyi műveletek formájában.
A fizikai hardening legalább ennyire hangsúlyos. Az FBI szerint egyszerű, de hatásos lépés lehet a zárak cseréje olyan megoldásokra, amelyekhez nem használhatók a könnyen beszerezhető általános kulcsok, emellett javasolt a szervizpanelek riasztása, a manipulációt érzékelő szenzorok használata, a készpénzkazetta hozzáférésének szigorítása és a kamerás lefedettség javítása, megfelelő megőrzési idővel. A dokumentum emellett eszközfehérlistázást, firmware-integritás ellenőrzést és lemeztitkosítást is említ, hogy a háttértár kiszerelésével végrehajtott fertőzés jóval nehezebb legyen.
A mostani figyelmeztetésből az látszik, hogy az ATM-jackpotting már nem csak klasszikus bankbiztonsági kérdés, hanem tipikus kiberfizikai fenyegetés, ahol a helyszíni manipuláció és a Windows-alapú kompromittálás ugyanannak a támadásnak a két fele. Az FBI ezért nemcsak megelőzést kér, hanem részletes incidensjelentést is vár a szervezetektől helyi FBI-irodán vagy az IC3 felületén keresztül, többek között bankfiók-azonosítókkal, ATM-típusokkal, beszállítói adatokkal és naplóállományokkal együtt. A cél most egyértelműen az, hogy a gépek kifosztása helyett minél több eset már az előkészítési fázisban fennakadjon.
