هناك تقليد كبير في الحفل السنوي ديفكون مؤتمر أمني في لاس فيغاس حول اختراق أجهزة الصراف الآلي. فتحهم مع تقنيات فتح الخزائن، تزويرهم لسرقة البيانات الشخصية وأرقام التعريف الشخصية للمستخدمين، إنشاء وصقل البرمجيات الخبيثة لأجهزة الصراف الآلي وبالطبع، اختراقهم بصقوا كل أموالهم. استهدفت العديد من هذه المشاريع ما يعرف بأجهزة الصراف الآلي المخصصة للبيع بالتجزئة، وهي أجهزة قائمة بذاتها مثل تلك التي تجدها في محطات الوقود أو الحانات. ولكن في يوم الجمعة، قدم الباحث المستقل مات بيرش نتائج تتعلق بأجهزة الصراف الآلي “المالية” أو “المؤسسية” المستخدمة في البنوك وغيرها من المؤسسات الكبيرة.
ويستعرض بيرش ستة ثغرات أمنية في حل الأمن واسع الانتشار الذي تنتجه شركة Diebold Nixdorf، والذي يُعرف باسم Vynamic Security Suite (VSS). وتقول الشركة إن هذه الثغرات الأمنية تم إصلاحها جميعها، ويمكن للمهاجمين استغلالها لتجاوز تشفير القرص الصلب لجهاز الصراف الآلي غير المصحح والسيطرة الكاملة على الجهاز. ورغم وجود إصلاحات للأخطاء، يحذر بيرش من أنه في الممارسة العملية، قد لا يتم نشر التصحيحات على نطاق واسع، مما قد يؤدي إلى تعرض بعض أجهزة الصراف الآلي وأنظمة صرف النقود للخطر.
يقول بيرش لمجلة WIRED: “يقوم برنامج Vynamic Security Suite بالعديد من الأشياء، فهو يوفر الحماية لنقاط النهاية، وتصفية USB، والوصول المفوض، وغير ذلك الكثير. لكن سطح الهجوم المحدد الذي أستغله هو وحدة تشفير القرص الصلب. وهناك ست نقاط ضعف، لأنني سأحدد مسارًا وملفات لاستغلالها، ثم أبلغ شركة Diebold، التي ستقوم بإصلاح هذه المشكلة، ثم سأجد طريقة أخرى لتحقيق نفس النتيجة. إنها هجمات بسيطة نسبيًا”.
إن الثغرات الأمنية التي اكتشفها بيرش تتعلق بوظيفة VSS لتشغيل تشفير القرص لمحركات الأقراص الصلبة لآلات الصراف الآلي. ويقول بيرش إن معظم مصنعي آلات الصراف الآلي يعتمدون على تشفير Windows BitLlocker من Microsoft لهذا الغرض، ولكن VSS من Diebold Nixdorf يستخدم تكاملاً مع جهة خارجية لتشغيل فحص السلامة. يتم إعداد النظام في تكوين تمهيد مزدوج يحتوي على أقسام Linux وWindows. قبل تشغيل نظام التشغيل، يقوم قسم Linux بتشغيل فحص سلامة التوقيع للتحقق من عدم تعرض ATM للخطر، ثم يقوم بتشغيله في Windows للعمل بشكل طبيعي.
يقول بيرش: “المشكلة هي أنه من أجل القيام بكل ذلك، فإنهم يقومون بفك تشفير النظام، وهو ما يفتح الفرصة. إن العيب الأساسي الذي أستغله هو أن قسم لينكس لم يكن مشفرًا”.
اكتشف بيرش أنه يستطيع التلاعب بموقع ملفات التحقق الهامة للنظام لإعادة توجيه تنفيذ التعليمات البرمجية؛ بمعنى آخر، منح نفسه السيطرة على ماكينة الصراف الآلي.
يقول مايكل جاكوبسن، المتحدث باسم شركة Diebold Nixdorf، لـ WIRED إن Burch كشف لهم عن النتائج لأول مرة في عام 2022 وأن الشركة كانت على اتصال بـ Burch بشأن حديثه في Defcon. تقول الشركة إن الثغرات الأمنية التي يعرضها Burch تم معالجتها جميعًا بتصحيحات في عام 2022. ومع ذلك، يلاحظ Burch أنه عندما عاد إلى الشركة بإصدارات جديدة من الثغرات الأمنية على مدار العامين الماضيين، فإن فهمه هو أن الشركة استمرت في معالجة بعض النتائج بتصحيحات في عام 2023. ويضيف Burch أنه يعتقد أن Diebold Nixdorf عالجت الثغرات الأمنية على مستوى أكثر جوهرية في أبريل باستخدام إصدار VSS 4.4 الذي يشفر قسم Linux.
وعلى الرغم من كل هذا، يقول بيرش، ربما لا يزال من الممكن العثور على مسار لاستغلال نقاط ضعف مماثلة، ولكن “الأمر أصبح أصعب بكثير الآن”. ولكن الأهم من ذلك، كما يلاحظ، أنه قد يتطلب مبادرات بنية تحتية كبيرة للمؤسسات الكبيرة لتحديث أجهزة الصراف الآلي للشركات، ومن المحتمل جدًا أن تكون هناك أجهزة صراف آلي وأنظمة صرف نقدي لا تزال تعمل بإصدارات قديمة من VSS.
يقول جاكوبسن لمجلة WIRED: “نعمل حاليًا على ضمان تحديث عملائنا واستخدامهم للإصدار الحالي المناسب لبيئتهم”. وأضاف أن عملاء Diebold Nixdorf لا ينبغي أن يفترضوا أن تنفيذ تشفير مختلف للقرص، مثل Microsoft BitLocker، سيكون ممكنًا. يقول جاكوبسن: “إن إحدى توصيات مات للتبديل إلى منتج تشفير قرص مؤسسي، وخاصة BitLocker، معرضة للخطر في بيئاتنا. يمكن اختراق الجهاز المشفر بواسطة BitLocker، ولن تعالج Microsoft هذا الأمر، لأن حالة استخدام ATM ليست ضمن نطاقها”.
قد يشير هذا إلى جاري, هجمات في العالم الحقيقي على أجهزة الصراف الآلي التي تستخدم البرامج الضارة لسرقة النقود من أجهزة الصراف الآلي الخاصة بالمؤسسات والتي تصنعها شركات مصنعة متعددة. توضح هذه الحوادث أن هناك مخاوف حقيقية للغاية بشأن استغلال نقاط الضعف في أجهزة الصراف الآلي، على الرغم من أن معظم الهجمات تتطلب استهداف أجهزة الصراف الآلي فعليًا ولا يمكن تنفيذها عن بُعد.
يقول بيرش: “إن تنفيذ الهجوم يتطلب الوصول المادي حيث تفتح الجزء العلوي من ماكينة الصراف الآلي، وتسحب القرص الصلب، ثم تقوم بإصلاح محتويات القرص الصلب. لن يكون من السهل تنفيذ مثل هذا الهجوم دون تحضير مسبق. ولكن من الممكن تنفيذه تمامًا إذا كنت تعرف ما الذي تبحث عنه. لقد تم تنفيذ هجمات مماثلة في أقل من 10 دقائق. ومن المفترض أن الجريمة المنظمة تدرب الناس على كيفية تنفيذ هذه الهجمات”.
ما دام المهاجمون يحققون النجاح ويكسبون المال من هجمات سحب الأموال من أجهزة الصراف الآلي، فسوف تكون هناك محادثات في مؤتمر Defcon حول الشكل الذي قد تبدو عليه الحدود التالية لاختراق أجهزة الصراف الآلي.