Se encuentra backdoor oculta en red de cajeros automáticos a través de Raspberry

Iniciado por AXCESS, Julio 31, 2025, 12:29:36 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 31, 2025, 12:29:36 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado un ataque encubierto dirigido a la infraestructura de cajeros automáticos (ATM USA), utilizando un dispositivo Raspberry Pi oculto para vulnerar los sistemas internos del banco.

La intrusión implicó acceso físico, una técnica antiforense poco común, y malware diseñado para evadir los métodos de detección estándar.

Los atacantes obtuvieron acceso físico a la red de cajeros automáticos

Un grupo de amenazas identificado como UNC2891 conectó físicamente un dispositivo Raspberry Pi a un conmutador de red compartido con un cajero automático. Equipado con un módem 4G, el dispositivo permitió a los atacantes acceder remotamente a la red interna del banco a través de datos móviles, eludiendo por completo los firewalls perimetrales.

Los atacantes instalaron una puerta trasera personalizada llamada TINYSHELL, que establecía conexiones salientes a través de un dominio DNS dinámico. Esto proporcionó acceso externo persistente y permitió que el dispositivo se comunicara continuamente con la infraestructura de comando y control (C2).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los analistas forenses de Group-IB detectaron señales periódicas cada 600 segundos, pero no se observaron procesos sospechosos durante el triaje. Esto condujo a una investigación más profunda del comportamiento del sistema en estados de inactividad.

Malware enmascarado como un proceso legítimo del sistema

Un análisis más profundo reveló un componente de malware oculto que se hacía pasar por un proceso legítimo del sistema.

Se encontraron dos instancias del proceso "lightdm" ejecutándose desde ubicaciones inusuales: /tmp/lightdm y /var/snap/.snapd/lightdm. Estos procesos de puerta trasera parecían normales a simple vista, pero en realidad establecían conexiones con la Raspberry Pi y el servidor de correo interno del banco.

La ocultación del malware se basó en una técnica ahora reconocida en MITRE ATT&CK como T1564.013. Al abusar de los montajes de enlace de Linux, los atacantes ocultaron la puerta trasera de los listados de procesos, haciéndolo invisible para la mayoría de las herramientas de triaje forense.

Objetivos de manipulación del servidor de conmutación de cajeros automáticos y del HSM

UNC2891 pretendía comprometer el servidor de conmutación de cajeros automáticos para implementar un rootkit conocido como CAKETAP, diseñado para falsificar las respuestas de autorización de los módulos de seguridad de hardware y facilitar retiros fraudulentos en cajeros automáticos.

Aunque los atacantes fueron finalmente detenidos antes de completar su objetivo, la investigación reveló varios hallazgos clave.

Habían mantenido el acceso tanto a través del dispositivo Raspberry Pi como del servidor de correo del banco, utilizando un dominio DNS dinámico para ocultar los cambios en la infraestructura y evitar interrupciones.

El servidor de monitorización de red, que conectaba con prácticamente todos los sistemas del centro de datos, servía como punto de pivote crucial, permitiendo el movimiento lateral en el entorno interno.

Fuente:
Infosecurity
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario