卡巴斯基实验室的研究人员认为，恶意攻击者可通过专门的搜索引擎和特定关键字搜索联网ATM机，然后组成僵尸网络。

ATM机的“固有”弱点

卡巴斯基研究员Olga Kochetova和Alexey Osipov上周在罗马尼亚首都布加勒斯特举办的DefCamp安全会议上解释称，ATM机每天都存有大量现金，网络犯罪分子瞄准ATM机不足为奇。虽然有的攻击者直接实施物理入侵，也有攻击者则偏好利用ATM的软件漏洞让机器自动“吐钞”。

ATM机运行的软件存在漏洞，这一点不可否认。许多ATM机仍在运行过时的软件，例如Windows XP，这就意味着它们易遭遇黑客攻击。

另外，银行通常不会更新ATM机，这也给恶意软件和其它攻击创造了可乘之机。ATM机的内部安全性差，保护现金的链条部分并没有单独受到保护，这就意味着某一部分被利用都可能使整个链条受牵连。

ATM变僵尸网络的多种方式

恶意攻击者能访问ATM上运行的软件，以此控制钱箱并提现。但是，访问一台设备也可能会让攻击者攻击银行的整个ATM机系统，攻击者可通过多种方式实现该目的：

对ATM实施物理访问，并在其中安装恶意设备；

攻击监控银行ATM机的电脑；

甚至发起供应链攻击（从厂商或维修人员在ATM机上安装的固件入手）。

研究人员解释称，攻击者获取了ATM机的访问权便能在其中一台机器上安装设备，并向网络中的所有机器发送看似来自中央指挥中心的命令。 攻击者之后可使用空白卡或其它任何卡，提取网络中的任何一台ATM机上的现金。

研究人员表示这种方法可行，其原因在于所有银行ATM机通常连接到平面网络（Flat Network），这就意味着网络中的任何一台机器能看到其它联网机器。因此，一旦攻击者将恶意设备植入一台联网ATM机中，攻击者便能远程控制多台机器。这是中间人攻击的典型例子。再将恶意设备从ATM中取出，所有证据便会消失无踪。

迄今为止尚未发现此类僵尸网络，这还只是一种可能性，但此前出现过信息窃取程序感染银行网络的案例。卡巴斯基研究员Kochetova指出，这可以被视为一类ATM僵尸网络，因为所有设备均会遭遇感染，攻击者可以远程收集其中的数据。世界各地的攻击者有可能会使用现金提取恶意软件发起攻击，而不使用嗅探器。

攻击者还可能从ATM中取出VPN驱动，并通过该驱动连接到银行的网络，且不会被任何人发现。此类VPN设备无需依靠主机便能运作，因此攻击者能在自己的电脑上使用。

ATM可被Shodan引擎搜索

研究人员还指出，另一个渗透ATM网络的有效方式是：使用专门的搜索引擎（例如Shodan）发现网络上的设备。虽然银行通常声称ATM未联网，但如果使用的关键词或词组正确，攻击者能轻易找到这些设备。通过Shodan搜索发现存在漏洞的物联网设备、不安全的数据库和其它联网设备比较常见，但是，搜索ATM机的现象之前未出现过。

一旦发现在线ATM机，恶意攻击者可能会开始检查开放的端口，并设法攻击存在已知漏洞的机器。这样一来，攻击者可以在ATM机上安装信息窃取恶意软件或组成僵尸网络。

感染银行内部的工作站，并延伸至整个网络（包括ATM机）是攻击者使用的另一种攻击技术，例如Cobalt黑客组织。

诸如CCleaner和NotPetya在内的攻击证明供应链攻击可能会影响全球。卡巴斯基实验室的研究人员表示，ATM机也可能会遭遇此类攻击。为了成功实施攻击，攻击者会攻击桌面模板（Golden Image：用来在ATM机上安装操作系统和所有运行的软件）。

研究人员Osipov表示已经发现攻击者通过被感染的U盘（技术人员连接到设备的U盘）在ATM机上安装普通的恶意软件。如果使用被感染的“Golden Image”，技术人员甚至不会察觉。他还指出，如果服务提供商被当成攻击途径，也会出现无人觉察的情况。

ATM僵尸网络：一边吐钱一边挖矿

ATM机僵尸网络还可能被用来进行加密货币挖矿活动。Kochetova指出，每台ATM机都相当于一台电脑，这就意味着，攻击者利用漏洞就可以发起攻击。这与感染监控摄像头构成物联网僵尸网络一样。