A estos de Kaspersky, como les agrada hablar de robos a cajeros automáticos, son expertos en el hackeo de los mismos, mmmm no será que… no mejor evito comentar. La verdad es que ellos como expertos en seguridad les interesa investigar los métodos y formas de robo, para asesorar a sus clientes del cómo evitar el hackeo de sus cajeros.
En el SAS 2017 que es el evento más importante donde se tratan temas de ciberseguridad, los expertos de Kaspersky Lab Golovanov e Igor Saumenkov hablaron de tres casos interesantes.
1. ATMitch: malware por control remoto
La primera forma es el ataque con un malware de forma remota, cuando los forenses del banco llegaron a revisar el cajero, este se encontraba vacío, aparte de que estaba vacío de dinero, estaba vacío de malware y de evidencias, nada, absolutamente nada que probara que fue robado, la única señal que encontraron que les pareció extraña, fue un archivo kl.txt, inmediatamente los forenses pensaron en Kaspersky, por lo que inmediatamente se pusieron en contacto con ellos y de esta manera fue como inicio la investigación.
Los investigadores de Kaspersky iniciaron creando una regla de acuerdo al contenido del archivo Kl.txt. la regla era YARA (YARA es una herramienta de investigación de malware); básicamente, hicieron una petición de búsqueda en depósitos públicos de malware. Lo usaron para tratar de encontrar la muestra de malware original y, un día después, obtuvieron resultados: un DLL llamado tv.dll que por aquel entonces se había detectado un par de veces (una vez en Rusia y otra en Kazajistán). Eso bastó para resolver el problema.
Hay dos formas de infectar un cajero con malware: insertando un dispositivo USB con malware (eso conlleva tener la clave para abrir el bastidor del cajero) o infectando la máquina de forma remota, todo tras haber comprometido la red del banco.
Si el cajero no está protegido contra el malware y no emplea listas blancas, un hacker puede hacer que el malware envíe comandos al cajero y que este expenda dinero. El ataque podría repetirse hasta que el dinero del cajero se agote.
Los expertos de Kaspersky se pudieron a investigar a fondo el DLL esto les permitió realizar ingeniería inversa del ataque y entender cómo se llevó a cabo dicho ataque y esto es lo que averiguaron:
El ataque tuvo éxito porque los atacantes utilizaron la vulnerabilidad conocida pero no parcheada y penetraron en los servidores del banco. Aquí podamos darnos cuenta que actualizar el software es de suma importancia.
Los atacantes usaron un programa de código abierto y herramientas disponibles públicamente para infectar los ordenadores del banco, pero el malware que crearon se escondía en la memoria de los ordenadores, no en sus discos duros, ventaja para no dejar rastros, de esta manera el ataque sería muy difícil de detectar (era prácticamente invisible para las soluciones de seguridad).
[pullquote-left]Cuando los sistemas se reiniciaron casi todas las pistas del malware desaparecieron.[/pullquote-left]Ya infectado el sistema, los atacantes establecieron una conexión con su servidor de mando y control, lo que les permitió instalar remotamente software en los cajeros automáticos.
El malware en cuestión, ATMitch, se instaló y se ejecutó en el cajero directamente desde el banco mediante herramientas de control remoto. Todo este proceso pareció una actualización legítima, por lo tanto, ningún sistema de seguridad instalado se dio cuenta. Tras ello, el malware empezó a buscar un archivo llamado command.txt que contenía los comandos de control del cajero. Por ejemplo, “O” es para “abrir el dispensador de efectivo”.
A partir de aquí es cuando el malware empieza a trabajar e inmediatamente después los asaltantes empiezan su labor. El malware empieza con un comando para solicitar la cantidad de dinero de la que dispone el cajero seguido de un comando para dispensar cierto número de billetes. Cuando se enviaba el comando, llegaba uno de los asaltantes al cajero a cogerlo el dinero y marcharse.
Un apunte importante: ATMitch podía instalarse en la gran mayoría de cajeros existentes, el único requisito es que sea compatible con librerías XFS y muchos lo son.
Analizador de comandos del software malicioso
Detalle
Mostramos algo del detalle de la operación del robo
El equipo forense del banco fueron capaces, después de un cuidadoso análisis forense del disco duro del cajero automático, en recuperar archivos que contenían los registros siguientes:
C: \ Windows \ Temp \ kl.txtC: \ logfile.txt
Además, su habilidad les permitió encontrar los nombres de dos ejecutables eliminados. Por desgracia, no eran archivos recuperables:
C: \ ATM \ a.exe!C: \ ATM \ IJ.EXE
Dentro de los archivos de registro, se encontraron los siguientes fragmentos de texto sin formato:
[Date – Time][%d %m %Y – %H : %M : %S] > Entering process dispense.
[%d %m %Y – %H : %M : %S] > Items from parameters converted successfully. 4 40
[%d %m %Y – %H : %M : %S] > Unlocking dispenser, result is 0
[%d %m %Y – %H : %M : %S] > Catch some money, bitch! 4000000
[%d %m %Y – %H : %M : %S] > Dispense success, code is 0
Como se menciono con anterioridad, en base a la información del archivo de registro que crea las reglas YARA tiene que encontrar una muestra, en este caso: MD5 cef6c2aa78ff69d894903e41a3308452. Esta muestra se ha encontrado en dos ocasiones (de Kazajstán y Rusia).
En si el comando que se ejecuto fue el siguiente:
‘O’ – Open dispenser‘D’ – Dispense
‘I’ – Init XFS
‘U’ – Unlock XFS
‘S’ – Setup
‘E’ – Exit
‘G’ – Get Dispenser id
‘L’ – Set Dispenser id
‘C’ – Cancel
Después de la ejecución, ATMitch escribe los resultados de este comando al archivo de registro y elimina «command.txt» del disco duro del cajero automático.
2. Bl@ckb0x_m@g1k: un truco simple e inteligente
Este caso es un caso de mucha paciencia, empieza también con una petición del banco a los laboratorios de Kaspersky, de igual manera los registros del cajero se encontraban limpios, el disco duro intacto y las cámaras no grabaron nada porque el ladrón las cubrió
Kaspersky solicito al banco llevara el cajero a sus laboratorios, al desmontar el cajero en los laboratorios, encontraron algo increíble, un adaptador Bluetooth conectado al USB del cajero. Y en el disco duro había drivers para un teclado Bluetooth.
A partir de estas evidencias fue fácil determinar cuál fue el modus operandis, Alguien instaló un adaptador Bluetooth en el cajero y esperó tres meses para que se limpiaran los registros. Entonces, el delincuente volvió con un teclado Bluetooth, cubrió las cámaras de seguridad, usó el teclado para reiniciar el cajero en modo de servicio y, finalmente, ejecutó la operación de servicio para vaciar el dispensador. Eso es todo, ¿fácil no crees?
3. El taladro (de esos de verdad)
En febrero de este año, muchos bancos acudieron a Kaspersky. «El banco detectaba que le estaban sacando dinero y no encontraban nada de malware. Lo que había era un agujero del tamaño de una pelota de golf que estaba en la parte frontal del cajero automático, tapado con un sticker»,
No es una técnica muy sofisticada, pero funciona. Los criminales acceden a través del agujero a un cable «que es el que transmite las órdenes al cajero acerca de lo que tiene que hacer». Una vez pirateado el terminal, la máquina de hacer dinero se materializa ante los ojos del atracador.
Lo más intrigante de todo es que tampoco es necesario contar con un equipo de última generación: «Con un sencillo dispositivo de 14 euros, que lo puedes hacer tú mismo en casa con una Raspberry Pi, puedes mandar directamente la orden», o de plano con una laptop se puede realizar dicho trabajo
Fuente: Kaspersky, 20 minutos, Securelist
era un foro sobre seguridad o una invitación abierta a todos los que se crean capaces de usar alguno de estos métodos para posteriormente venderles seguridad?
Hacer públicos los modos de ataque previene a las víctimas, es lo mas normal, además ¿como planeas defenderte de un ataque si no sabes en que consiste el ataque?
creo que es una buena práctica compartir la info completa, cualquier entidad bancaria cuenta con personal de IT y seguridad informática, y su labor aparte de mantener el sistema funcionando sin fallos es informarse acerca de los nuevos métodos y vulnerabilidades que surjan, si una entidad resulta atacada y vulnerada es porque no está haciendo un buen trabajo informándose…
hay que tener en cuenta que estos métodos ya los conocen los bancos y es muy difícil que alguien los lleve a cabo, es más informativo de lo que se hizo, el ingenio de los atacantes y como diciendo «si se te paso por la cabeza, ya lo sabemos»