El actor de amenaza de motivación financiera conocido como UNC2891 Se ha observado que se dirige a la infraestructura cibernética de cajeros automáticos (ATM) utilizando una Raspberry PI equipada con 4G como parte de un ataque encubierto.
El ataque ciberfísico involucró al adversario aprovechando su acercamiento físico para instalar el dispositivo Raspberry Pi y hacer que se conecte directamente al mismo interruptor de red que el ATM, colocándolo efectivamente interiormente de la red del parcialidad objetivo, dijo el especie de IB. Actualmente no se sabe cómo se obtuvo este acercamiento.
“El Raspberry Pi estaba equipado con un módem 4G, permitiendo el acercamiento remoto sobre los datos móviles”, dijo el investigador de seguridad Nam Le Phuong en un mensaje del miércoles.
“Utilizando la puerta trasera TinyShell, el atacante estableció un canal de comando y control (C2) saliente a través de un dominio DNS dinámico. Esta configuración permitió un acercamiento extranjero continuo a la red de cajeros automáticos, evitando completamente los firewalls perimetrales y las defensas de la red tradicionales”.
UNC2891 fue documentado por primera vez por Mandiant, propiedad de Google, en marzo de 2022, vinculando al especie con ataques dirigidos a las redes de conmutación de cajeros automáticos para padecer a angla retiros de efectivo no autorizados en diferentes bancos utilizando tarjetas fraudulentas.
El centro de la operación era un módulo de kernel rootkit denominado Caketap que está diseñado para ocultar conexiones de red, procesos y archivos, así como mensajes de comprobación de tarjetas y pines de intercepción y falsificación de los módulos de seguridad de hardware (HSMS) para habilitar el fraude financiero.
Se evalúa que el equipo de piratería compartir superposiciones tácticas con otro actor de amenaza llamado UNC1945 (asimismo conocido como LightBasin), que se identificó previamente a proveedores de servicios administrados y objetivos sorprendentes interiormente de las industrias de consultoría financiera y profesional.
Al describir al actor de amenazas como que posee un amplio conocimiento de los sistemas basados en Linux y UNIX, Group-IB dijo que su observación descubrió puertas traseras llamadas “LightDM” en el servidor de monitoreo de red de la víctima que están diseñados para establecer conexiones activas al Raspberry Pi y el servidor de correo interno.
El ataque es significativo para el atropello de los montajes de enlace para ocultar la presencia de la puerta trasera de los listados de procesos y evitar la detección.
El objetivo final de la infección, como se ve en el pasado, es implementar la raíz de Caketap en el servidor de conmutación de ATM y favorecer los retiros fraudulentos de efectivo de ATM. Sin bloqueo, la compañía singapurense dijo que la campaña fue interrumpida ayer de que el actor de amenaza pudiera infligir cualquier daño oneroso.
“Incluso a posteriori de que se descubrió y eliminó la Raspberry Pi, el atacante mantuvo el acercamiento interno a través de una puerta trasera en el servidor de correo”, dijo el grupo-IB. “El actor de amenaza aprovechó un dominio DNS dinámico para el comando y el control”.
