Investigador realizó una demostración de ataque remoto a cajeros automáticos

LAS VEGAS – Con el uso de software de fabricación casera  y valiéndose de la explotación de un enorme agujero de seguridad en el mecanismo de autenticación utilizado para actualizar el firmware en cajeros automáticos (ATMs), un investigador de seguridad vulnero un cajero automático fabricado por Triton y Tranax y plantó un rootkit que entregaba dinero en efectivo según lo solicitará. 

Barnaby Jack, director de investigación en los laboratorios de IOActive, uso una computadora portátil con un software especialmente diseñado llamado "Dillinger" (el nombre de un famoso ladrón de bancos) para sobrescribir el sistema operativo de la máquina y así obtener el control total de la ATM y enviar comandos para otorgar efectivo bajo demanda. 

Dentro de la conferencia de seguridad Black Hat, Jack demostró dos diferentes ataques contra los cajeros automáticos que están basados en Windows CE, el primero fue un ataque físico mediante una clave maestra comprada en Internet  y una unidad USB para sobrescribir el firmware de la máquina; el segundo fue un ataque a distancia que aprovecha  una falla en la forma que los cajeros automáticos validan las actualizaciones de firmware. 

No proporcionó ningún detalle técnico que permita a alguien reproducir las técnicas de ataque, pero sugirió que un hacker con la suficiente experiencia podría explotar estas debilidades si los fabricantes de cajeros automáticos siguen creando software con agujeros de seguridad. 

Aunque los ataques fueron demostrados en los cajeros automáticos de Tranax y Tritón, Jack advirtió que sus ataques podrían realizarse contra una amplia variedad de otras marcas de cajeros automáticos e hizo un llamado al sector de servicios financieros para invertir en las revisiones de código, las auditorías blackbox y en pruebas de penetración. 

"Existen muchos vectores de ataque además de este agujero en los cajeros automáticos ", advirtió Jack, señalando que muchos cajeros automáticos se encuentran protegidos por una clave maestra que se pueden comprar por 10.78 dólares en cientos de sitios web. "Con esta clave maestra, puedo caminar hasta un cajero insolado y tener acceso a los puertos USB  [y] SD / CF. En algunos casos, la apertura y la inserción de mi llave USB fue más rápido que la instalación de un skimmer", dijo. 

El ataque más impresionante, usó la herramienta Dillinger para la realización de intrusiones  a distancia, se llevó a cabo a través de un equipo portátil conectado a la ATM. Puso en marcha una explotación contra una vulnerabilidad  que elude la autenticación en la función de monitoreo remoto de la ATM (esta opción está activada de forma predeterminada en todos los cajeros automáticos) y permitió al hacker recuperar la configuración del ATM, contraseñas maestras, los datos de la recepción y la ubicación y nombre de la empresa anfitriona del cajero. 

La herramienta de Dillinger vino con una interfaz gráfica de usuario que incluye características para "recuperar la pista de los datos", o simplemente "Ganar el premio mayor". Al dar un clic en el botón de premio mayor el cajero comprometido comenzó a arrojar dinero en efectivo bajo demanda. 

"Si alguien inserta una tarjeta en la máquina, puede capturar y guardar los datos de forma remota", dijo Jack, explicando que su rootkit se ejecuta en un dispositivo oculto en el fondo. El rootkit incluso crea un menú emergente oculto que puede ser activado por una secuencia de teclas especiales. Las funciones de menú incluyen instrucciones para "prescindir del efectivo de cada cassette", "imprimir las estadísticas de las cuentas pendientes," y "¡salir!" 

Después de su plática, Jack sugirió a los fabricantes de este tipo de máquinas que otorguen actualizaciones a las cerraduras físicas o una clave única para cada uno de los cajeros automáticos. También recomendó el uso firmas que se ejecuten al nivel del núcleo para bloquear este vector de ataque. 

Para mitigar los ataques a distancia, Jack dijo que los fabricantes de cajeros automáticos deben deshabilitar la función predeterminada de monitoreo remoto en las máquinas.