Alcuni giorni fa รจ stato sventato un sofisticato tentativo di furto presso una banca che ha visto il gruppo hacker UNC2891, noto anche come LightBasin, utilizzare un Raspberry Pi dotato di modem 4G nascosto fisicamente nella rete degli ATM. L’obiettivo era quello di sfruttare il piccolo controller per aggirare le difese dell’istituto, muoversi nella rete interna e tentare dei prelievi fraudolenti di contante.
Cybercriminali collegano Raspberry Pi allo switch di una rete ATM
La scoperta dell’attacco รจ stata fatta dagli esperti di Group-IB durante un’indagine su delle attivitร sospette nella rete della banca. Gli hacker sono riusciti ad avere accesso fisico ad una filiale e hanno collegato il Raspberry Pi ad uno switch della rete ATM. Il dispositivo fungeva da canale invisibile verso l’esterno, sfruttando la connettivitร mobile 4G per mantenere l’accesso remoto e superare i firewall perimetrali della banca.
Il piccolo computer ospitava la backdoor TinyShell, utilizzata per creare un canale di comando e controllo verso l’esterno tramite la rete mobile. Dopo l’installazione i cybercriminali hanno tentato di muoversi nel network, arrivando fino al server di monitoraggio della rete interna e da lรฌ al server di posta elettronica con accesso diretto a Internet. Anche dopo la scoperta e la rimozione del Raspberry Pi, i criminali erano riusciti a mantenere una certa persistenza sulla rete grazie a backdoor camuffate come processi standard di Linux.
Il rootkit Caketap
La tecnica usata, un attacco ibrido che combina accesso fisico e remoto, si sarebbe distinta anche per le strategie anti-forensic adottate. Tra queste ultime ci sarebbe stato poi il montaggio del filesystem sui processi malevoli per nascondere i dati alle analisi degli esperti.
Secondo gli investigatori, il vero obiettivo degli criminali era l’installazione del rootkit Caketap giร noto per manipolare i messaggi di verifica delle carte e consentire transazioni fraudolente. L’intervento degli esperti ha perรฒ sventato il colpo prima che potesse essere portato a termine.
Per restare sempre aggiornato seguici su Google News!
