Als betaalautomaten deel uitmaken van een botnet

Dinsdag had Brian Krebs de primeur met de melding dat de betaalautomaten van Pax Technology deel van een botnet zijn. Gisteren, woensdag, is daar meer over bekend geworden. Een scenario dat voor slapeloze nachten moet zorgen blijkt realiteit te zijn.

Focus op netwerken en endpoints

De afgelopen jaren is er heel veel geld uitgegeven om endpoints en netwerken veilig te maken. Het kanaal weet als geen ander hoeveel achterstallig onderhoud daar was en hoeveel vooruitgang is geboekt. Dat criminelen het daardoor steeds lastiger vinden botnets op te bouwen is ook bekend. De standaard operating systems worden steeds veiliger en monitoring tools accurater.

Maar de overlast neemt niet af. Botnets waarmee spam en malware (inclusief ransomware) wordt verspreid zijn er nog. Dat geldt ook voor botnets die worden ingezet voor DDoS aanvallen. Dit soort botnets maakt namelijk meer en meer gebruik van andere devices. Sinds het Mirai botnet weten we dan goedkope camera’s en andere enduser devices de nieuwe zwakke schakel zijn. Dit soort devices staat in de pers vaak als “IoT” te boek. Of dat terecht is, is weer een andere discussie.

IoT security

Waar geen discussie over bestaat is dat dergelijke goedkope devices minimaal beveiligd zijn. Ze zijn ook nog eens in de regel amper te patchen of updaten. Wat dat betreft is het meer dan logisch dat ze de basis van zoveel botnets vormen. Met regels en wetgeving wordt ondertussen op Europees en Nederlands niveau geprobeerd het tij te keren. Importeurs en verkopers zullen daar nog wel het nodige van gaan merken.

PAX technology

MarDaarmee is direct aangegeven waar de meeste aandacht naar uitgaat. Dat is de combinatie van internetverbindingen en enduser devices. Maar wat er de laatste dagen in Amerika is gebeurd moet aan het denken zetten. Zijn we niet iets vergeten?

Die vraag is echt aan de orde nu een inval bij PAX technology in Florida heeft plaatsgevonden. Amerikaanse politiediensten hebben dat , mede op verzoek van Europese collega’s gedaan. Het verhaal wil dat een Amerikaanse en een Britse bank aan de bel hebben getrokken. Bij hun klanten die PAX betaalautomaten gebruiken is vreemd netwerkverkeer vastgesteld. Alles wijst erop dat die betaalautomaten (POS) deel uitmaken van een botnet (link).

Supply chain attack of iets anders?

Er zijn twee manieren waarop dat kan. De eerste is dat de devices door de fabrikant zijn gemanipuleerd. De tweede optie is dat ergens in het proces tussen assemblage en uitlevering de supply chain is gecompromitteerd. Onder de streep maakt dat weinig uit. Dat dit kon gebeuren laat in ieder geval zien dat de controle op hele belangrijke devices onvoldoende is. Alleen dat moet menigeen al slapeloze nachten bezorgen.

Edit: woensdagavond laat is bekend gemaakt dat Worldpay per direct alle APX devices vervangt.