El actor de amenaza de motivación financiera conocido como UNC2891 Se ha observado que se dirige a la infraestructura automática de cajeros automáticos (ATM) utilizando una Raspberry PI equipada con 4G como parte de un ataque encubierto.
El ataque ciberfísico involucró al adversario aprovechando su acceso físico para instalar el dispositivo Raspberry Pi y hacer que se conecte directamente al mismo interruptor de red que el ATM, colocándolo efectivamente dentro de la red del banco objetivo, dijo el grupo de IB. Actualmente no se sabe cómo se obtuvo este acceso.
«El Raspberry Pi estaba equipado con un módem 4G, permitiendo el acceso remoto sobre los datos móviles», dijo el investigador de seguridad Nam Le Phuong en un informe del miércoles.
«Utilizando la puerta trasera TinyShell, el atacante estableció un canal de comando y control (C2) saliente a través de un dominio DNS dinámico. Esta configuración permitió un acceso externo continuo a la red de cajeros automáticos, evitando completamente los firewalls perimetrales y las defensas de la red tradicionales».
UNC2891 fue documentado por primera vez por Mandiant, propiedad de Google, en marzo de 2022, vinculando al grupo con ataques dirigidos a las redes de conmutación de cajeros automáticos para llevar a cabo retiros de efectivo no autorizados en diferentes bancos utilizando tarjetas fraudulentas.
El centro de la operación era un módulo de kernel rootkit denominado Caketap que está diseñado para ocultar conexiones de red, procesos y archivos, así como mensajes de verificación de tarjetas y pines de intercepción y falsificación de los módulos de seguridad de hardware (HSMS) para habilitar el fraude financiero.
Se evalúa que el equipo de piratería compartir superposiciones tácticas con otro actor de amenaza llamado UNC1945 (también conocido como LightBasin), que se identificó previamente a proveedores de servicios administrados y objetivos sorprendentes dentro de las industrias de consultoría financiera y profesional.
Al describir al actor de amenazas como que posee un amplio conocimiento de los sistemas basados en Linux y UNIX, Group-IB dijo que su análisis descubrió puertas traseras llamadas «LightDM» en el servidor de monitoreo de red de la víctima que están diseñados para establecer conexiones activas al Raspberry Pi y el servidor de correo interno.
El ataque es significativo para el abuso de los montajes de enlace para ocultar la presencia de la puerta trasera de los listados de procesos y evadir la detección.
El objetivo final de la infección, como se ve en el pasado, es implementar la raíz de Caketap en el servidor de conmutación de ATM y facilitar los retiros fraudulentos de efectivo de ATM. Sin embargo, la compañía singapurense dijo que la campaña fue interrumpida antes de que el actor de amenaza pudiera infligir cualquier daño grave.
«Incluso después de que se descubrió y eliminó la Raspberry Pi, el atacante mantuvo el acceso interno a través de una puerta trasera en el servidor de correo», dijo el grupo-IB. «El actor de amenaza aprovechó un dominio DNS dinámico para el comando y el control».