Hackers están vaciando cajeros automáticos con una perforación y $15 de equipo

Investigadores de la firma de seguridad rusa Kaspersky detallaron el lunes un nuevo ataque de vaciado de cajeros automáticos, que mezcla la inteligencia digital con una forma muy precisa de penetración física. El equipo de Kaspersky incluso ha realizado ingeniería inversa y ha demostrado el ataque, utilizando sólo un simulador de potencia portátil y un gadget casero de $15 USD que inyecta comandos maliciosos para activar el dispensador de efectivo de la máquina. Y aunque no revelaron el fabricante de cajeros automáticos de los bancos afectados, advierten que los ladrones ya han utilizado el ataque de perforación en Rusia y Europa, y que la técnica todavía podría dejar cajeros automáticos alrededor del mundo vulnerables a que vacíen sus cajas de dinero en efectivo en cuestión de minutos.

“Queríamos saber: ¿Hasta qué punto se puede controlar el interior del cajero automático con un taladro y un cable conectado? Resulta que podemos hacer lo que sea “, dice el investigador de Kaspersky, Igor Soumenkov, quien presentó la investigación en la cumbre anual de Kaspersky Analyst. “El dispensador obedecerá y dispensará dinero, y todo se puede hacer con una microcomputadora muy simple”.

A taladrar…

Para Kaspersky, el misterio de los cajeros automáticos perforados comenzó el pasado otoño, cuando un cliente bancario les mostró un cajero vacío cuya única evidencia de manipulación era un agujero del tamaño de una pelota de golf junto al teclado. Para ocultar la precisa cirugía, los ladrones habían cubierto el punto de entrada con una calcomanía. Eventualmente, los investigadores supieron de cerca de una docena de atentados ATM similares. Y cuando la policía arrestó al sospechoso en uno de los casos, encontraron una computadora portátil, junto con un cable que aparentemente había pasado por el agujero del PIN Pad. “Sólo una computadora portátil, un cableado y un agujero en el cajero automático, eso es todo”, dice Soumenkov.

Los investigadores de Kaspersky ya tenían el mismo modelo de cajero automático en su laboratorio de pruebas, que ha sido usado ampliamente desde los años noventa. Retiraron el panel frontal para encontrar un puerto serie que hubiera estado accesible desde el agujero de los ladrones. Se conectaba a un cable que corría a través del bus interno de todos los componentes, desde la computadora que controla su interfaz de usuario hasta el dispensador de efectivo. Entonces los investigadores pasaron cinco semanas completas con un osciloscopio y un analizador lógico, descodificando el protocolo de comunicaciones internas del ATM de señales eléctricas. Encontraron que el único cifrado de la máquina era un cifrado XOR débil que podían romperse fácilmente, y que no había autenticación real entre los módulos de la máquina.

En términos prácticos, esto significa que cualquier parte del ATM podría enviar órdenes a cualquier otra parte, permitiendo que un atacante falsifique órdenes al dispensador, dándoles la apariencia de venir de la computadora del propio ATM.

Eventualmente, los investigadores fueron capaces de construir su propio dispositivo capaz de enviar comandos de expulsión de efectivo a través de ese puerto expuesto. Su dispositivo compacto, mucho más pequeño que la computadora portátil del sospechoso arrestado, consistía sólo de una placa de pruebas, un microcontrolador Atmega del tipo comúnmente encontrado en las microcomputadoras Arduino, algunos condensadores, un adaptador y una batería de 9 voltios. En total, se necesitó menos de $15 USD de equipo.

En sus pruebas, los investigadores encontraron que su herramienta podía activar el dispensador de efectivo en cuestión de segundos de conectarse, y luego arrojar tantos billetes como quisieran. El único límite a la velocidad del ataque es cuando la computadora del cajero automático “notaba” que el dispensador estaba actuando de forma independiente y se reiniciaba. Pero los investigadores dicen que podrían extraer miles de dólares antes de que se reinicie el sistema y luego podrían simplemente repetir su ataque, sacando más dinero de la máquina hasta vaciarla.

La solución no es tan sencilla…

Kaspersky dice que ha alertado al fabricante de cajeros vulnerables de la técnica, pero no hay solución fácil para el problema: el software de las unidades no se puede actualizar de forma remota. Una solución, dicen los investigadores de Kaspersky, requerirá la sustitución de hardware en los cajeros automáticos para agregar más medidas de autenticación o, en su defecto, añadir medidas físicas de seguridad, como controles de acceso y cámaras de vigilancia, que impidan a los ladrones atreverse a una incursión en persona en las máquinas .

Los investigadores de Kaspersky dicen que la técnica de perforación representa un camino más simple y más furtivo a las entrañas de un cajero automático que un malware. Romper la red de un banco requiere habilidades de intrusión de red mucho más sofisticadas, mientras que abrir el panel de la máquina para plantar malware o conectar una herramienta directamente al dispensador de efectivo activa una alarma. Perforar un agujero en la parte frontal de la máquina, en este caso, no dispara ninguna alerta.

Los ataques físicos a los cajeros automáticos son, en cierto sentido, un problema sin solución. Los expertos en seguridad informática han advertido desde hace mucho tiempo que ninguna computadora debe ser considerada segura si un atacante toma el control físico de la misma. Pero el cifrado débil y la falta de autenticación entre los componentes hacen que los cajeros automáticos sean particularmente vulnerables a los ataques físicos: el acceso a cualquier parte de la máquina insegura, Kaspersky describe, significa acceso a todo. Y para las computadoras que se quedan sin protección en una calle oscura en medio de la noche, llenas de dinero, un poco más esfuerzo en su seguridad digital podría valer la pena la inversión.

Leave a Reply