Se ha observado que el actor de amenazas con motivaciones financieras,
conocido como UNC2891, ha atacado la infraestructura de cajeros automáticos
(ATM) utilizando una Raspberry Pi equipada con 4G como parte de un ataque
encubierto.
Según Group-IB, el ataque ciberfísico implicó que el adversario aprovechara su acceso
físico para instalar el dispositivo Raspberry Pi y conectarlo directamente al
mismo conmutador de red que el cajero automático, colocándolo dentro de la red
del banco objetivo. Actualmente se desconoce cómo se obtuvo este acceso.
«La Raspberry Pi estaba equipada con un módem 4G, lo que permitía el acceso
remoto a través de datos móviles», declaró el investigador de seguridad Nam Le Phuong en el informe.
«Utilizando la puerta trasera TINYSHELL, el atacante estableció un canal de
comando y control (C2) saliente a través de un dominio DNS dinámico. Esta
configuración permitió el acceso externo continuo a la red de cajeros
automáticos, eludiendo por completo los firewalls perimetrales y las
defensas de red tradicionales».
UNC2891 fue documentado por primera vez por Mandiant, propiedad de Google, en marzo de 2022, vinculando al grupo con ataques
dirigidos a redes de conmutación de cajeros automáticos para realizar retiros
de efectivo no autorizados en diferentes bancos con tarjetas fraudulentas.
Un elemento central de la operación era un rootkit de módulo del kernel
denominado CAKETAP, diseñado para ocultar conexiones de red, procesos y
archivos, así como para interceptar y falsificar mensajes de verificación de
tarjetas y PIN de los módulos de seguridad de hardware (HSM) para facilitar el
fraude financiero.
Se estima que el equipo de atacantes comparte solapamientos tácticos con otro
actor de amenazas, UNC1945 (también conocido como LightBasin), previamente
identificado por comprometer a proveedores de servicios gestionados y atacar
objetivos en los sectores financiero y de consultoría profesional.
Group-IB, que describe al actor de amenazas como poseedor de un amplio
conocimiento de sistemas Linux y Unix, afirmó que su análisis descubrió
puertas traseras llamadas «lightdm» en el servidor de monitoreo de red
de la víctima, diseñadas para establecer conexiones activas con la Raspberry
Pi y el servidor de correo interno.
El ataque es significativo por el abuso de los montajes de enlace para ocultar la presencia de la puerta trasera en los listados de procesos y evadir la
detección.
El objetivo final de la infección, como se ha visto en el pasado, es
implementar el rootkit CAKETAP en el servidor de conmutación de cajeros
automáticos y facilitar retiros fraudulentos de efectivo en cajeros
automáticos. Sin embargo, la empresa afirmó que la campaña fue
interrumpida antes de que el actor de amenazas pudiera causar daños graves.
«Incluso después de descubrir y eliminar la Raspberry Pi, el atacante
mantuvo el acceso interno a través de una puerta trasera en el servidor de
correo», declaró Group-IB. El actor de amenazas utilizó un dominio DNS dinámico para
comando y control.
Fuente:
THN