Federalni tužioci otkrili su danas krivične prijave protiv Davida Josea Gomeza Cegarre, 24, i Jesusa Segunda Hernandez-Gila, 19, članova bande Tren de Aragua, zbog navodnog organizovanja koordinisane kampanje ” džekpotiranja ” bankomata u četiri američke države.
Optuženi se suočavaju sa optužbama za krađu banke i udruživanje radi izvršenja krađe banke, za koje je predviđena maksimalna kazna od 10 godina zatvora.
Hapšenja su uslijedila nakon zajedničke istrage FBI Cyber odjela i lokalnih agencija za provođenje zakona o sofisticiranoj operaciji financijske prevare potaknute maliciznim softverom usmjerenoj na kreditne sindikate i bankomate banaka.
Krivična prijava ocrtava metodički slijed napada koji počinje fizičkim kompromitiranjem bankomata. Prema snimku nadzora iz incidenta Radius Federal Credit Union 5. oktobra 2024. u Kenmoreu, New York, zavjerenici su pristupili unutrašnjem kućištu bankomata koristeći ukradeni ili replicirani ključ za održavanje.
Forenzički analitičari su identifikovali instalaciju modifikovanog tvrdog diska unaprijed učitanog sa malverom za scraping memorije koji je dizajniran da presretne signale protokola za isporuku transakcija (TDP) između elektronske kontrolne jedinice (ECU) bankomata i automata za gotovinu.
Hack bankomata: krađa gotovine
Ova varijanta malicioznog softvera, za koju se vjeruje da je derivat porodice Ploutus.D, omogućila je daljinsko izvršavanje naredbi putem SMS ili Bluetooth trigera, zaobilazeći standardne sigurnosne protokole na nivou hipervizora .
Nakon što su raspoređeni, napadači su slali unaprijed definisane komandne kodove kako bi nadjačali dnevne limite povlačenja i prisilili modove “cash-out”, ispuštajući rezerve kasete u roku od nekoliko minuta.
Samo napad od 5. oktobra izvukao je 110.440 dolara kroz više ciklusa povlačenja prije nego što su sistemi za otkrivanje prevara označili anomalne obrasce transakcija.
Istražitelji su povezali SHA-256 heš malicioznog softvera (9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08) s tri naredna incidenta:
- 6. oktobar 2024: 63,200 dolara ukradeno iz St. Maly’s FCU (Framingham, MA) preko ATM ECU firmvera ukradeno na ranjivu verziju 2.1.7
- 17. oktobar 2024: 43.910 dolara izvučeno iz First National Bank of Dryden (NY) korištenjem kloniranih EMV modula za premještanje čipa
- 11. novembar 2024.: 80.250 dolara uzeto sa dva bankomata Community First Bank (Mount Vernon, IL) preko pomoćnih instalacija skimera za PIN pad
Proboj se dogodio tokom incidenata u Illinoisu, gdje su službenici policije Mahomet identifikovali Gomez-Cegarru i Hernandez-Gila koji su vršili izviđanje na bankomatu Diebold Opteva 520. Otkriveni nalozi za pretres njihovog vozila za iznajmljivanje:
- Raspberry Pi 5 napunjen Kali Linuxom sa prilagođenim skriptama za upad u bankomat
- 32GB SanDisk Cruzer koji sadrži ATM XFS middleware exploit kod
- Duplikator tvrdog diska sa kloniranim kopijama označenim “ATM_ECU_Backdoor_v3.2”
Mrežni zapisi sa bankomata žrtve otkrili su IP-ove napadača koji su rutirali kroz Tor izlazne čvorove (82.221.128.191, 81.6.43.184) prije nego što su uspostavili trajne SSH tunele do komandno-kontrolnih servera smještenih u Panami.
DOJ planira uvesti dešifrovanu telegram komunikaciju koja sadrži uputstva za manipulaciju ECU-om i rasporede isplate novca.
Stručnjaci za sajber sigurnost upozoravaju da ovaj slučaj naglašava kritične ranjivosti u starim ATM arhitekturama koje još uvijek koriste Windows XP Embedded sisteme bez primjene Secure Boot.
Izvor: CyberSecurityNews