حذرت سلطات إنفاذ القانون الأمريكية البنوك ومشغلي أجهزة الصراف الآلي من زيادة في هجمات “الجاكبوتينج” التي تستخدم برمجيات خبيثة، حيث يستغل المجرمون الوصول المادي وثغرات البرمجيات لجعل الأجهزة تصرف النقود دون إجراء معاملة حقيقية. وتشير التقارير إلى أن هذه الظاهرة أصبحت منتشرة عبر الولايات المتحدة، وتشكل تهديدًا متزايدًا لأمن المعاملات المالية.
تركز التحذيرات بشكل خاص على عائلة البرمجيات الخبيثة المعروفة باسم “بلوتوس” (Ploutus)، والتي تستهدف أجهزة الصراف الآلي عن طريق إساءة استخدام بروتوكول “امتدادات الخدمات المالية” (XFS). هذا البروتوكول هو واجهة البرمجيات التي تتحكم في سلوك مكونات الأجهزة في جهاز الصراف الآلي، مثل وحدة صرف النقود.
في عملية السحب العادية، يرسل التطبيق الخاص بجهاز الصراف الآلي أوامر XFS للحصول على موافقة البنك. ومع ذلك، تسمح برمجية “بلوتوس” للمتسلل بإصدار أوامر مباشرة لوحدة الصراف الآلي، وتجاوز عملية المصادقة الرسمية.
برمجية بلوتوس: تهديد متزايد لأجهزة الصراف الآلي
لاحظ محللون من مكتب التحقيقات الفيدرالي (FBI) هذا النشاط المتزايد أثناء تجميع مؤشرات الاختراق والتفاصيل التقنية لمساعدة المؤسسات على الاستجابة. ووفقًا للتقرير، وقعت أكثر من 700 حادثة من حوادث “الجاكبوتينج” التي تسببت في خسائر تزيد عن 20 مليون دولار منذ عام 2020، وشكل عام 2025 نسبة كبيرة منها.
على عكس الاحتيال الذي يهدف لسرقة بيانات البطاقات، فإن هجمات “بلوتوس” تستهدف جهاز الصراف الآلي نفسه. يمكن لهذه البرمجية صرف النقود دون الحاجة إلى بطاقة بنكية، أو حساب للعميل، أو موافقة من البنك، مما يجعل عملية سحب الأموال تتم في غضون دقائق.
ومع ذلك، قد لا يتم اكتشاف هذه الهجمات إلا عندما يقل رصيد النقد في الجهاز، وغالبًا ما يبدأ المهاجمون بفتح واجهة جهاز الصراف الآلي باستخدام مفاتيح عامة متاحة بسهولة.
آلية الإصابة والتحكم بالجهاز
بمجرد الحصول على الوصول المادي للجهاز، قد يقوم المهاجمون بسحب القرص الصلب، وتوصيله بجهاز كمبيوتر آخر، ونسخ البرمجية الخبيثة، ثم إعادة تثبيتها وإعادة تشغيل الجهاز. بدلاً من ذلك، قد يقومون باستبدال القرص الصلب بآخر خارجي يحمل البرمجية الخبيثة، وأحيانًا يتم ذلك بالتزامن مع توصيل موزع USB أو لوحة مفاتيح خارجية.
نظرًا لأن العديد من أجهزة الصراف الآلي تعمل بنظام التشغيل ويندوز، يمكن تكييف هذا الأسلوب بسهولة عبر مختلف مصنعي الأجهزة مع تغييرات بسيطة في الكود. تتفاعل البرمجية الخبيثة مباشرة مع الأجهزة عبر بروتوكول XFS، مما يعني أنها قد تعمل حتى لو كان الجهاز غير متصل بالشبكة، وبالتالي تبقى إنذارات الشبكة صامتة.
مؤشرات الاختراق وتوصيات الأمان
للحفاظ على مكانها وإخفاء نشاطها، يُنصح بالبحث عن ملفات تنفيذية غير متوقعة مثل Newage.exe, NCRApp.exe, WinMonitor.exe, أو sdelete.exe. كما يجب التحقق من وجود مجلدات جديدة تحت مسارات مثل C:UsersSSAuto1AppDataLocalP، وأدوات تحكم عن بعد غير مصرح بها مثل AnyDesk أو TeamViewer. بالإضافة إلى ذلك، يجب مراقبة خدمات بدء التشغيل التلقائي في سجل ويندوز (registry autoruns) أو الخدمات المخصصة بأسماء عامة مثل “ATM Service” أو “Dispenser Service”.
يوصي مكتب التحقيقات الفيدرالي بتغيير الأقفال القياسية، وإضافة مستشعرات للعبث (tamper sensors) وتغطية الكاميرات، وتمكين تشفير الأقراص والحماية القائمة على قائمة بيضاء للأجهزة (hardware device whitelisting).
كما ينصح بالتحقق من توافق كل جهاز صراف آلي مع صورة ذهبية موثوقة (gold image) وهاشات أساسية (baseline hashes)، وتشغيل تدقيق ويندوز موجه (targeted Windows auditing) لتتبع إدخال أجهزة USB، وكتابة الملفات، وإنشاء العمليات، ومسح سجلات الأحداث (Event IDs 6416, 4663, 4688, 1102). بعد ذلك، يجب الإبلاغ عن أي اشتباه في هجمات “الجاكبوتينج” إلى مكتب التحقيقات الفيدرالي المحلي أو مركز الجرائم الإلكترونية (IC3).