ARTDEPARTMENT
ARTDEPARTMENT
En el mundo de la ciberseguridad, los ataques más eficaces no siempre son los más sofisticados tecnológicamente, sino los más ingeniosos. Y un flamante ejemplo de ello ha sido el perpetrado por el comunidad de cibercriminales UNC2891 —que lleva activo desde al menos 2016 y ha sido vinculado a múltiples ataques contra bancos y sistemas de telecomunicaciones en todo el mundo—: un flamante intento de robo bancario que combinó el comunicación físico con ataques remotos.
La operación giró en torno a una diminuta pero útil aparejo: una Raspberry Pi equipada con un módem 4G, conectada estratégicamente interiormente de la red interna de un faja no revelado con sede en la región Asia-Pacífico. Aunque el intento ha terminado siendo frustrado, revela un nivel de planificación asombroso.
UNC2891 logró colocar una Raspberry Pi 4 —de tan solo 35 dólares, acompañada de un módem 4G de unos 140 dólares— directamente en el mismo switch de red que conectaba un cajero espontáneo (ATM) del faja. Esta colocación estratégica permitió a los atacantes eludir completamente los cortafuegos perimetrales y obtener comunicación directo al corazón de la red bancaria.
La guisa en que consiguieron el comunicación físico sigue sin estar clara, aunque se sospecha que pudieron suceder sobornado a empleados o contratado 'runners' para instalar discretamente el dispositivo. Una vez conectado, el dispositivo comenzó a trabajar como una puerta trasera invisible con conexión a Internet móvil, ofreciendo un canal de comando y control (C2) criptográfico y difícil de rastrear mediante dominios de DNS dinámico.
Por otro costado, la razón por la que recurrieron a un módem 4G está mucho más clara: les permitía comunicarse remotamente a través de redes móviles, sin servir de la infraestructura de red del faja. Así, incluso si el tráfico saliente estuviera monitorizado o filtrado, los atacantes mantenían un canal extranjero seguro y discreto.
Encima de la Raspberry Pi, el comunidad utilizó un malware personalizado llamado TinyShell, una puerta trasera de código despejado modificada para conectarse mediante proxy HTTP criptográfico. El objetivo: moverse lateralmente interiormente de la red hasta salir al servidor de conmutación de ATM, donde planeaban instalar un rootkit llamado CakeTap.
Este rootkit es capaz de interceptar y falsificar respuestas de los módulos de seguridad de hardware (HSM) que verifican tarjetas y PINs. De suceder tenido éxito, UNC2891 podría suceder acreditado retiros fraudulentos directamente desde los cajeros automáticos, sin activar alarmas.
La persistencia fue asegurada infectando asimismo el servidor de correo del faja, que tenía conectividad directa a Internet. Incluso luego de que el dispositivo Raspberry Pi fue descubierto y retirado, el comunidad logró perdurar el comunicación a través de este servidor comprometido.
Uno de los aspectos más notables del ataque fue el uso de técnicas 'antiforenses'. El comunidad enmascaró sus procesos maliciosos usando nombres de binarios legítimos de Linux, como 'lightdm', e incluso ejecutaban estos procesos con argumentos que simulaban una actividad legítima (como lightdm --session child 11 19). Encima, emplearon una técnica poco popular indicación bind mounts, que redirige rutas de archivos en Linux para ocultar información a las herramientas forenses.
El ataque fue finalmente detectado gracias al comportamiento anormal del servidor de monitorización de red, que emitía señales de beaconing cada 600 segundos alrededor de la Raspberry Pi, usando el puerto 929. Esto llamó la atención de los analistas de Group-IB, que identificaron una cautiverio de conexiones sospechosas entre la Raspberry Pi, el servidor de monitoreo y el servidor de correo.
Capturando la memoria del sistema durante una de estas comunicaciones, se descubrió la verdadera naturaleza de los procesos 'lightdm', lo que permitió a los investigadores interrumpir el ataque ayer de que se implantara el rootkit CakeTap.
Vía | Ars Technica
Imagen | Marcos Merino mediante IA
En Genbeta | Un hacker explica cómo irrumpieron en los sistemas del Santander y Ticketmaster: un PC infectado en Ucrania fue la secreto
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.