Nuevo rootkit de Unix utilizado para robar datos bancarios de cajeros

Los analistas de amenazas que siguen la actividad de LightBasin, un grupo de piratas informáticos motivado financieramente, informan del descubrimiento de un rootkit de Unix previamente desconocido que se utiliza para robar datos bancarios de cajeros automáticos y realizar transacciones fraudulentas.

Recientemente, se ha observado que el grupo particular de adversarios se dirige a las empresas de telecomunicaciones con implantes personalizados, mientras que en 2020, fueron vistos comprometiendo a los proveedores de servicios administrados y victimizando a sus clientes .

En un nuevo informe de Mandiant, los investigadores presentan más pruebas de la actividad de LightBasin, centrándose en el fraude con tarjetas bancarias y el compromiso de sistemas cruciales.

Aprovechando sus datos bancarios

El nuevo rootkit de LightBasin es un módulo del kernel de Unix llamado "Caketap" que se implementa en servidores que ejecutan el sistema operativo Oracle Solaris.

Cuando se carga, Caketap oculta las conexiones de red, los procesos y los archivos mientras instala varios enlaces en las funciones del sistema para recibir comandos y configuraciones remotas.

Los comandos observados por los analistas son los siguientes:

- Agregue el módulo CAKETAP nuevamente a la lista de módulos cargados
- Cambiar la cadena de señal para el gancho getdents64
- Agregar un filtro de red (formato p)
- Eliminar un filtro de red
- Configure el hilo TTY actual para que no sea filtrado por el gancho getdents64
- Configure todos los TTY para que sean filtrados por el enlace getdents64
- Muestra la configuración actual

El objetivo final de Caketap es interceptar la tarjeta bancaria y los datos de verificación del PIN de los servidores conmutadores de cajeros automáticos violados y luego usar los datos robados para facilitar transacciones no autorizadas.

Los mensajes interceptados por Caketap están destinados al Payment Hardware Security Module (HSM), un dispositivo de hardware resistente a la manipulación utilizado en la industria bancaria para generar, administrar y validar claves criptográficas para PIN, bandas magnéticas y chips EMV.

Caketap manipula los mensajes de verificación de la tarjeta para interrumpir el proceso, detiene los que coinciden con tarjetas bancarias fraudulentas y, en su lugar, genera una respuesta válida.

En una segunda fase, guarda internamente los mensajes válidos que coinciden con los PAN (Números de cuenta primarios) no fraudulentos y los envía al HSM para que las transacciones rutinarias de los clientes no se vean afectadas y las operaciones de implante permanezcan sigilosas.

"Creemos que UNC2891 (LightBasin) aprovechó CAKETAP como parte de una operación más grande para usar con éxito tarjetas bancarias fraudulentas para realizar retiros de efectivo no autorizados de terminales de cajeros automáticos en varios bancos", explica  el informe de Mandiant .

Otras herramientas vinculadas al actor en ataques anteriores incluyen Slapstick, Tinyshell, Steelhound, Steelcorgi, Wingjook, Wingcrack, Binbash, Wiperight y Mignogcleaner, todas las cuales Mandiant confirmó que todavía están implementadas en ataques LightBasin.


Orientación sofisticada

LightBasin es un actor de amenazas altamente hábil que aprovecha la seguridad relajada en los sistemas Unix y Linux de misión crítica que a menudo se tratan como intrínsecamente seguros o se ignoran en gran medida debido a su oscuridad.

Aquí es precisamente donde los adversarios como LightBasic prosperan, y Mandiant espera que continúen capitalizando la misma estrategia operativa.

En cuanto a la atribución, los analistas detectaron algunas superposiciones con el grupo de amenazas UNC1945, pero aún no tienen vínculos concretos para sacar conclusiones seguras en ese frente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta