O grupo de hacking UNC2891, também conhecido como LightBasin, utilizou um Raspberry Pi equipado com 4G escondido na rede de um banco para contornar as defesas de segurança em um ataque recentemente descoberto.
O computador de placa única foi fisicamente conectado ao switch de rede dos ATMs, criando um canal invisível para dentro da rede interna do banco, permitindo que os atacantes se movessem lateralmente e implantassem backdoors.
De acordo com a Group-IB, que descobriu a intrusão enquanto investigava atividades suspeitas na rede, o objetivo do ataque era falsificar autorizações de ATM e realizar saques fraudulentos.
Apesar de LightBasin não ter conseguido, o incidente é um raro exemplo de um ataque híbrido avançado (acesso físico+remoto) que empregou várias técnicas anti-forenses para manter um alto grau de furtividade.
O grupo em questão é notório por atacar sistemas bancários, como destacado no relatório de 2022 da Mandiant apresentando o então novo rootkit do kernel Unix "Caketap", criado para rodar em sistemas Oracle Solaris usados no setor financeiro.
Caketap manipula as respostas do Payment Hardware Security Module (HSM), especificamente as mensagens de verificação de cartão, para autorizar transações fraudulentas que de outra forma seriam bloqueadas pelos sistemas do banco.
Ativo desde 2016, LightBasin também atacou com sucesso sistemas de telecomunicações por anos, utilizando o backdoor open-source TinyShell para mover tráfego entre redes e roteá-lo através de estações móveis específicas.
No caso mais recente, LightBasin ganhou acesso físico a uma agência bancária, seja por conta própria ou subornando um funcionário desonesto que os ajudou a instalar um Raspberry Pi com um modem 4G no mesmo switch de rede que o ATM.
As capacidades de conectividade à internet do dispositivo permitiram que os atacantes mantivessem acesso remoto persistente à rede interna do banco, contornando firewalls de perímetro.
O Raspberry Pi hospedava o backdoor TinyShell, que o atacante usava para estabelecer um canal de comando e controle (C2) de saída via dados móveis.
Nas fases subsequentes do ataque, os atores de ameaças se moveram lateralmente para o Servidor de Monitoramento de Rede, que tinha conectividade extensiva com o data center do banco.
A partir daí, o atacante também se dirigiu ao Servidor de Mail, que tinha acesso direto à internet, permitindo persistência mesmo quando o Raspberry Pi foi descoberto e removido.
Os backdoors usados no movimento lateral foram nomeados como 'lightdm' para imitar o legítimo LightDM display manager encontrado em sistemas Linux, parecendo assim inofensivos.
Outro elemento que contribuiu para o alto grau de furtividade do ataque foi o LightBasin montando sistemas de arquivos alternativos como tmpfs e ext4 sobre os caminhos '/proc/[pid]' dos processos maliciosos, obscurecendo essencialmente os metadados relacionados das ferramentas forenses.
Com base na investigação da Group-IB, descobriu-se que o Servidor de Monitoramento de Rede dentro da rede bancária sinalizava a cada 600 segundos para o Raspberry Pi na porta 929, indicando que o dispositivo servia como um host de pivô.
Os pesquisadores dizem que o objetivo final dos atacantes era implantar o rootkit Caketap, mas esse plano foi frustrado antes que pudesse se materializar.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...