El actor de amenaza de motivación financiera conocido como UNC2891 Se ha observado que se dirige a la infraestructura cibernética de cajeros automáticos (ATM) utilizando una Raspberry PI equipada con 4G como parte de un ataque encubierto.
El ataque ciberfísico involucró al adversario aprovechando su llegada físico para instalar el dispositivo Raspberry Pi y hacer que se conecte directamente al mismo interruptor de red que el ATM, colocándolo efectivamente interiormente de la red del mesa objetivo, dijo el especie de IB. Actualmente no se sabe cómo se obtuvo este llegada.
«El Raspberry Pi estaba equipado con un módem 4G, permitiendo el llegada remoto sobre los datos móviles», dijo el investigador de seguridad Nam Le Phuong en un documentación del miércoles.
«Utilizando la puerta trasera TinyShell, el atacante estableció un canal de comando y control (C2) saliente a través de un dominio DNS dinámico. Esta configuración permitió un llegada forastero continuo a la red de cajeros automáticos, evitando completamente los firewalls perimetrales y las defensas de la red tradicionales».
UNC2891 fue documentado por primera vez por Mandiant, propiedad de Google, en marzo de 2022, vinculando al especie con ataques dirigidos a las redes de conmutación de cajeros automáticos para sufrir a agarradera retiros de efectivo no autorizados en diferentes bancos utilizando tarjetas fraudulentas.
El centro de la operación era un módulo de kernel rootkit denominado Caketap que está diseñado para ocultar conexiones de red, procesos y archivos, así como mensajes de comprobación de tarjetas y pines de intercepción y falsificación de los módulos de seguridad de hardware (HSMS) para habilitar el fraude financiero.
Se evalúa que el equipo de piratería compartir superposiciones tácticas con otro actor de amenaza UNC1945 (además conocido como LightBasin), que previamente se identificó a los proveedores de servicios administrados y objetivos sorprendentes interiormente de las industrias de consultoría financiera y profesional.
Al describir al actor de amenazas como que posee un amplio conocimiento de los sistemas basados en Linux y UNIX, Group-IB dijo que su prospección descubrió puertas traseras llamadas «LightDM» en el servidor de monitoreo de red de la víctima que están diseñados para establecer conexiones activas al Raspberry Pi y el servidor de correo interno.
El ataque es significativo para el exceso de los montajes de enlace para ocultar la presencia de la puerta trasera de los listados de procesos y esquivar la detección.
El objetivo final de la infección, como se ve en el pasado, es implementar la raíz de Caketap en el servidor de conmutación de ATM y allanar los retiros fraudulentos de efectivo de ATM. Sin bloqueo, la compañía singapurense dijo que la campaña fue interrumpida antaño de que el actor de amenaza pudiera infligir cualquier daño moribundo.
«Incluso luego de que se descubrió y eliminó la Raspberry Pi, el atacante mantuvo el llegada interno a través de una puerta trasera en el servidor de correo», dijo el grupo-IB. «El actor de amenaza aprovechó un dominio DNS dinámico para el comando y el control».
