Ada tradisi besar pada acara tahunan Bahasa Inggris Defcon konferensi keamanan di Las Vegas mengenai peretasan ATM. Membuka kuncinya dengan teknik pembobolan brankas, mempermainkan mereka untuk mencuri data pribadi dan PIN pengguna, membuat dan menyempurnakan malware ATM dan tentu saja meretasnya untuk mengeluarkan semua uang mereka. Banyak dari proyek ini menargetkan apa yang dikenal sebagai ATM ritel, perangkat mandiri seperti yang dapat Anda temukan di pom bensin atau bar. Namun pada hari Jumat, peneliti independen Matt Burch menyajikan temuan terkait ATM “finansial” atau “perusahaan” yang digunakan di bank dan lembaga besar lainnya.
Burch mendemonstrasikan enam kerentanan dalam solusi keamanan yang digunakan secara luas oleh pembuat ATM Diebold Nixdorf, yang dikenal sebagai Vynamic Security Suite (VSS). Kerentanan tersebut, yang menurut perusahaan telah ditambal, dapat dimanfaatkan oleh penyerang untuk menerobos enkripsi hard drive ATM yang belum ditambal dan mengambil alih kendali penuh atas mesin tersebut. Dan meskipun ada perbaikan yang tersedia untuk bug tersebut, Burch memperingatkan bahwa, dalam praktiknya, tambalan tersebut mungkin tidak digunakan secara luas, yang berpotensi membuat beberapa ATM dan sistem penarikan tunai terekspos.
“Vynamic Security Suite melakukan sejumlah hal—memiliki perlindungan titik akhir, penyaringan USB, akses yang didelegasikan, dan banyak lagi,” kata Burch kepada WIRED. “Namun, permukaan serangan spesifik yang saya manfaatkan adalah modul enkripsi hard drive. Dan ada enam kerentanan, karena saya akan mengidentifikasi jalur dan file untuk dieksploitasi, lalu saya akan melaporkannya ke Diebold, mereka akan menambal masalah itu, lalu saya akan menemukan cara lain untuk mencapai hasil yang sama. Itu adalah serangan yang relatif sederhana.”
Kerentanan yang ditemukan Burch semuanya ada dalam fungsi VSS untuk mengaktifkan enkripsi disk untuk hard drive ATM. Burch mengatakan bahwa sebagian besar produsen ATM mengandalkan enkripsi BitLlocker Windows milik Microsoft untuk tujuan ini, tetapi VSS milik Diebold Nixdorf menggunakan integrasi pihak ketiga untuk menjalankan pemeriksaan integritas. Sistem ini disiapkan dalam konfigurasi dual-boot yang memiliki partisi Linux dan Windows. Sebelum sistem operasi melakukan booting, partisi Linux menjalankan pemeriksaan integritas tanda tangan untuk memvalidasi bahwa ATM belum disusupi, lalu mem-boot-nya ke Windows untuk operasi normal.
“Masalahnya adalah, untuk melakukan semua itu, mereka mendekripsi sistem, yang membuka peluang,” kata Burch. “Kekurangan utama yang saya manfaatkan adalah partisi Linux tidak dienkripsi.”
Burch menemukan bahwa ia dapat memanipulasi lokasi berkas validasi sistem penting untuk mengalihkan eksekusi kode; dengan kata lain, memberi dirinya kendali atas ATM.
Juru bicara Diebold Nixdorf Michael Jacobsen memberi tahu WIRED bahwa Burch pertama kali mengungkapkan temuan tersebut kepada mereka pada tahun 2022 dan bahwa perusahaan telah menghubungi Burch tentang pembicaraannya di Defcon. Perusahaan mengatakan bahwa kerentanan yang dipaparkan Burch semuanya telah diatasi dengan patch pada tahun 2022. Namun, Burch mencatat bahwa saat ia kembali ke perusahaan dengan versi baru dari kerentanan tersebut selama beberapa tahun terakhir, pemahamannya adalah bahwa perusahaan terus mengatasi beberapa temuan dengan patch pada tahun 2023. Dan Burch menambahkan bahwa ia yakin Diebold Nixdorf mengatasi kerentanan pada tingkat yang lebih mendasar pada bulan April dengan VSS versi 4.4 yang mengenkripsi partisi Linux.