Se ha observado que un actor de amenaza de motivación financiera conocido como UNC2891 está dirigido a la infraestructura automática de cajeros (ATM) utilizando PI de frambuesa equipados con 4G como parte de un ataque secreto.
Los ataques ciberfísicos implicaron explotar el acceso físico para instalar dispositivos Raspberry Pi, conectarse directamente al mismo interruptor de red que el ATM, y colocarlos efectivamente dentro de la red del banco objetivo. Actualmente, no sé cómo se obtuvo este acceso.
«El Raspberry Pi está equipado con un módem 4G, que permite el acceso remoto a los datos móviles», dijo el investigador de seguridad Nam Le Phuong en un informe el miércoles.
«Utilizando las puertas traseras TinyShell, el atacante estableció un canal de comando y control de salida (C2) a través de un dominio DNS dinámico. Esta configuración permitió un acceso externo continuo a la red ATM, pasando por completo los firewalls perimetrales y las defensas de la red tradicionales».
UNC2891 fue documentado por primera vez en marzo de 2022 por Mandiant propiedad de Google, vinculando grupos con ataques dirigidos a las redes de conmutación ATM, utilizando tarjetas fraudulentas para realizar retiros fraudulentos en efectivo en diferentes bancos.
En el corazón de la operación se llamaba RootKit de los módulos del núcleo, diseñado para ocultar conexiones de red, procesos, archivos e interceptar y falsificar mensajes de validación del Módulo de Seguridad de Hardware (HSM).
El equipo de piratería fue evaluado para compartir la superposición táctica con otro actor de amenaza UNC1945 (también conocido como LightBasin).
Al describir a los actores de amenaza como un amplio conocimiento de los sistemas basados en Linux y Unix, el grupo-IB dijo que analizó una puerta trasera llamada «LightDM» en los servidores de monitoreo de red de las víctimas diseñados para establecer conexiones activas con Raspberry Pi y servidores de correo interno.
Este ataque es importante para unir el abuso de montura para ocultar la presencia de puertas traseras de la lista de procesos y evitar la detección.
Como se ve en el pasado, el objetivo final de la infección es implementar Caketap RootKit en los servidores de cambio de ATM para promover los retiros de efectivo de ATM no autorizados. Sin embargo, la compañía singapurense dijo que la campaña se confundió antes de que los actores de amenaza causaron daños graves.
«Incluso después de que se descubrió y eliminó la Raspberry Pi, el atacante mantuvo el acceso interno a través de la puerta trasera en el servidor de correo», dijo el grupo-IB. «Los actores de amenaza aprovecharon el dominio dinámico DNS de comando y control».
Source link
