Un grupo de amenazas motivado financieramente conocido como UNC2891 orquestó un ataque sofisticado contra la infraestructura bancaria al instalar físicamente un dispositivo Raspberry Pi equipado con 4G directamente en una red de cajeros automáticos, revelaron los investigadores de seguridad del grupo de IB esta semana.
La campaña representa una rara instancia de ciberdelincuentes que combinan acceso físico con técnicas anti-forenses avanzadas para atacar a los sistemas financieros críticos.
El ataque, que finalmente fue frustrado antes de la finalización, demostró cómo los actores de amenaza están evolucionando más allá de los métodos tradicionales de infiltración digital para explotar las vulnerabilidades físicas en las redes bancarias.
Control de llave
1. Los piratas informáticos usaron una Raspberry Pi con 4G para violar las redes ATM, evitando las defensas.
2. Escondieron malware utilizando un método avanzado de Linux y lo disfrazaron como procesos legítimos.
3. Falló las herramientas forenses estándar; Solo la memoria profunda y el análisis de red expusieron el ataque.
4. Los bancos deben salvaguardar los activos físicos y digitales y emplear técnicas forenses avanzadas.
Los investigadores descubrieron el Raspberry Pi conectado directamente al mismo interruptor de red que un cajero automático, colocando efectivamente el dispositivo dentro del perímetro de red interna del banco.
Backdoor físico establece un acceso persistente
Los atacantes equiparon el Raspberry Pi con un módem 4G, que permite operaciones remotas de comando y control a través de conexiones de datos móviles que evitaban por completo los firewalls perimetrales tradicionales y las defensas de red.
Utilizando una puerta trasera personalizada llamada TinyShell, el dispositivo estableció canales de comunicación de salida a través de dominios DNS dinámicos, proporcionando acceso externo continuo a la red comprometida.
“Este dispositivo se conectó directamente al mismo interruptor de red que el cajero automático, colocándolo efectivamente dentro de la red interna del banco”, Investigadores del Grupo IB anotado en su análisis. La configuración permitió a los atacantes mantener un acceso persistente mientras evitaba la detección a través de sistemas de monitoreo de red convencionales.
Quizás lo más significativo, la investigación reveló el uso de UNC2891 de una técnica antiforense previamente indocumentada que involucra monturas de enlace de Linux para ocultar procesos maliciosos de las herramientas de detección.
Desde entonces, este método ha sido reconocido oficialmente por MITER y catalogado en el marco ATT & CK como técnica T1564.013 (Ocultar artefactos: monturas de enlace).
Los atacantes desplegaron en las puertas traseras disfrazadas de procesos de sistema legítimos llamados “LightDM”, imitando el Administrador de pantalla LightDM estándar que se encuentra en los sistemas Linux.
Sin embargo, estos binarios maliciosos se ubicaron en directorios inusuales que incluyen/tmp/lightdm y /var/snap/.snapd/lightdm, con argumentos de línea de comandos diseñados para parecer legítimos.
Las herramientas de triaje forense estándar no pudieron detectar estos procesos porque los actores de amenaza usaban los montajes de enlace para superponer los directorios de procesos maliciosos con los benignos, lo que hace que las puestas de fondo sean invisibles a los métodos de análisis convencionales.
El objetivo final de la campaña de UNC2891 era implementar Caketap, un sofisticado rootkit diseñado para manipular las respuestas del Módulo de Seguridad de Hardware (HSM) y facilitar los retiros de efectivo de cajeros automáticos fraudulentos.
El malware fue diseñado para interceptar mensajes de verificación de tarjeta y pin, lo que permite transacciones no autorizadas mientras mantenía la aparición de operaciones normales.
El ataque destacó las brechas críticas en los enfoques forenses tradicionales. El triaje inicial no reveló las puertas traseras porque estaban ocultas durante los estados inactivos del sistema, lo que requirió forenses de memoria y monitoreo continuo de redes para descubrir la actividad maliciosa.
Los expertos en seguridad ahora recomiendan implementar varias medidas defensivas: monitorear las llamadas de montaje y el sistema Umount a través de herramientas como AuditD o EBPF, alertar sobre las monturas inusuales /de Proc /(PID), bloquear las ejecuciones de directorios temporales, asegurar la infraestructura de red física e incorporar el análisis de la memoria en los procedimientos de respuesta a incidentes.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
