Une enquête menée conjointement par Motherboard et le service public audiovisuel allemand Bayerischer Rundfunk (BR) a révélé de nouveaux détails sur une série de ce type d’attaques très médiatisées contre des distributeurs automatiques en Allemagne en 2017 qui ont vu des voleurs partir avec plus d'un million d'euros. Le jackpotting est une technique de piratage par laquelle les cybercriminels utilisent un logiciel malveillant ou une pièce de matériel pour tromper un guichet automatique et l'obliger à éjecter tout l’argent qu’il contient. Pour y parvenir, les pirates informatiques installent généralement le logiciel malveillant sur un guichet automatique en ouvrant physiquement un panneau sur la machine afin d’accéder à un port USB.
Des précédents rapports affirmaient que les attaques avec jackpot avaient diminué depuis certaines attaques très médiatisées de 2017 en Allemagne, mais la nouvelle enquête révèle que c'est le contraire qui s'est produit. Le jackpotting aurait fait parler de lui dans diverses autres régions dans le monde. Dans le cas de Fribourg, en Allemagne, en novembre dernier, un guichet automatique avait été piraté avec un malware appelé « Cutlet Maker », selon un agent des forces de l'ordre qui connaît bien l'affaire. Selon Motherboard, Cutlet Maker semble être à l’origine des attaques en Allemagne et dans toute l'Europe.
L’agent des forces de l'ordre a confié à Motherboard que dans ce cas de Fribourg, aucun argent n'a été volé. Par contre, les pirates informatiques ont pu emporter une somme de 1,4 million d'euros (1,5 million de dollars) au cours des 10 précédents incidents, survenus entre février et novembre 2017 et qui font l’objet d’enquête de la part du bureau du procureur Christoph Hebbecker. Selon M. Hebbecker, en raison de la nature similaire des attaques, il croit qu'elles sont toutes liées aux mêmes attaquants. « L'enquête est toujours en cours », a-t-il déclaré dans un courriel adressé à Motherboard.
Selon le rapport, plusieurs sources ont déclaré qu'un certain nombre d'attaques de 2017 en Allemagne avaient eu impact sur la banque Santander. Selon deux des sources, les attaques avaient ciblé spécifiquement le modèle de guichet automatique Wincor 2000xe, fabriqué par Diebold Nixdorf.
Lors d'un entretien téléphonique avec Motherboard, Bernd Redecker, directeur de la sécurité d'entreprise et de la gestion de la fraude chez Diebold Nixdorf, a déclaré : « En général, nous ne faisons pas de commentaires sur des cas uniques et spécifiques ». « Cependant, nous traitons bien sûr avec nos clients sur le jackpotting, et nous sommes au courant de ces cas », a-t-il ajouté. Selon Motherboard, Diebold Nixdorf a également vendu ces guichets automatiques sur le marché américain.
Dans un courriel, un porte-parole de Santander a déclaré : « La protection des informations de nos clients et l'intégrité de notre réseau physique sont au cœur de nos activités. Nos experts interviennent à toutes les étapes du développement des produits et des opérations pour protéger les clients et la banque contre la fraude et les cybermenaces. Cet accent mis sur la protection de nos données et de nos opérations nous empêche de commenter des questions de sécurité spécifiques ».
Toutefois l’enquête a révélé que les attaques ne concernaient pas seulement une seule banque et un seul fournisseur de distributeur automatique de billets.
Des dizaines de cas de jackpotting enregistrés concernant différentes banques et ciblant différents fabricants de GAB
Sans nommer les malwares utilisés par les attaquants, des responsables à Berlin ont déclaré avoir été confrontés à au moins 36 cas de jackpotting depuis le printemps 2018, au cours desquels plusieurs milliers d’euros ont été emportés. Motherboard a rapporté qu’au total 82 attaques de jackpotting ont été enregistrées dans différents Etats au cours des dernières années, selon les porte-paroles de la police, même si les voleurs n’ont pas pu emporter le contenu des guichets dans tous les cas.
Motherboard a aussi noté que ces cas de jackpotting ne se limitaient pas seulement à une seule banque ou à un seul fabricant de GAB. « Il est probable que les autres attaques ont touché d'autres banques que Santander ; il s'agit simplement des attaques que notre enquête a identifiées », a écrit Motherboard.
Redecker de Diebold Nixdorf a déclaré que « Vous le verrez chez tous les fournisseurs, ce n'est pas dédié à une machine spécifique, ni à une marque spécifique, et certainement pas à une région ».
Le phénomène du jackpoting s’étend au monde entier
Bien que de précédents rapports aient déclaré que le jackpotting a diminué en Europe au cours du premier semestre de cette année, de nombreuses sources contactées par Motherboard et BR ont déclaré que le nombre d'attaques dans d'autres parties du monde a augmenté. Selon le rapport, les régions attaquées comprennent les États-Unis, l'Amérique latine et l'Asie du Sud-Est, et le problème a des répercussions sur les banques et les fabricants de GAB dans l'ensemble du secteur financier. Aux États-Unis, un programme appelé Ploutus.D est beaucoup plus populaire.
Dans un rapport publié plus tôt ce mois, l'Association européenne pour les transactions sécurisées (EAST), une association à but non lucratif qui suit la fraude financière, a déclaré que les attaques de jackpotting ont diminué de 43 % par rapport à l'année précédente. Mais ce rapport ne couvre que l'Europe, a fait remarquer Motherboard.
Une source au courant des attaques de GAB a déclaré que « Cela se produit dans des parties du monde où ils n'ont pas besoin d'en parler à qui que ce soit », avant d’ajouter que « Ça augmente, mais le plus gros problème que nous avons, c'est que personne ne veut le signaler ».
Des distributeurs automatiques de billets dotés de logiciels obsolètes et d'une faible sécurité d’accès visés par le jackpotting
Motherboard a rapporté qu’une partie du problème de sécurité des guichets automatiques est que bon nombre d'entre eux sont, pour l'essentiel, des ordinateurs Windows obsolètes. « Ce sont de très vieilles machines lentes », a déclaré la source familière avec les attaques.
Redecker de Diebold Nixdorf a souligné que les fabricants de GAB ont amélioré la sécurité de leurs appareils, mais cela ne signifie pas nécessairement que tous les guichets automatiques de l'industrie seront à la même norme.
En avril 2015, l’équipe de sécurité des guichets automatiques européens (EAST) à signalé des attaques de guichets automatiques via un malware en Europe de l'Ouest. Selon les chercheurs, Windows XP aurait rendu les GAB plus vulnérables aux attaques.
La sécurité d’accès au GAB inférieure aux normes facilite également la tâche aux attaquants. En effet, David N. Tente, directeur exécutif de l'Association de l'industrie ATM (ATMIA) pour les États-Unis, le Canada et les Amériques, a déclaré dans un courriel : « Afin d'exécuter une attaque de jackpotting, vous devez avoir accès aux composants internes du guichet automatique. Ainsi, la prévention de cette première attaque physique contre le guichet automatique contribue grandement à prévenir l'attaque du jackpotting ».
Une autre raison de la multiplication du jackpotting, selon Motherboard, c’est que les malwares sont disponibles sur le marché noir. Des chercheurs de la société de cybersécurité Kaspersky ont signalé la présence de Cutlet Maker sur des forums de piratage depuis mai 2017, au moment de la série de jackpotting en Allemagne au cours de la même année.
L’un des vendeurs du malware Cutlet Maker s’est adressé à Motherboard en déclarant dans un courriel : « Oui, je vends. Cela coûte 1 000 $ », et ajoutant qu'ils peuvent également offrir du soutien sur la façon d'utiliser l'outil.
« Des méchants vendent ces développements[logiciels malveillants] à n'importe qui », a déclaré à Motherboard David Sancho, un expert en jackpotting de la société de cybersécurité Trend Micro. « Cela peut affecter n'importe quel pays du monde, a-t-il ajouté.
Sources : Motherboard, Bayerischer Rundfunk
Et vous ?
Qu’en pensez-vous ?
Quels commentaires faites-vous du fait que des GAB fonctionnent encore sous des SE obsolètes qui ont déjà été à l’origine de précédentes cyberattaques?
Lire aussi
Android pour débarrasser les guichets automatiques de Windows XP, avec une plateforme plus sécurisée et basée sur le Cloud
Voler un distributeur de billets à l'aide de seulement deux SMS ?
Cinq membres d'un groupe de pirates ciblant les GAB ont été arrêtés, le groupe aurait sévi dans plusieurs pays et dérobé environ 3 millions d'euros
Des attaques de guichets automatiques via malware signalées en Europe de l'Ouest, Windows XP rendrait les GAB plus vulnérables