O grupo de hackers da UNC2891, também conhecido como LightBasin, usou um Raspberry Pi equipado com 4G escondido na rede de um banco para ignorar as defesas de segurança em um ataque recém-descoberto.
O computador de placa única estava fisicamente conectada ao interruptor da rede ATM, criando um canal invisível na rede interna do banco, permitindo que os invasores se movam lateralmente e implantassem backdoors.
De acordo com Grupo-IBque descobriu a intrusão ao investigar atividades suspeitas na rede, o objetivo do ataque era falsificar a autorização do ATM e realizar retiradas fraudulentas de dinheiro.
Enquanto o LightBasin falhou nisso, o incidente é um exemplo raro de um ataque híbrido avançado (acesso físico+remoto) que empregava várias técnicas anti-forenses para manter um alto grau de furtividade.
O grupo em particular é notório por atacar sistemas bancários, como Mandiant destacou em um relatório de 2022 apresentando o então novo UNIX Kernel Rootkit “Caketap”, Criado para a execução nos sistemas Oracle Solaris usados no setor financeiro.
O CAKETAP manipula as respostas do Módulo de Segurança de Hardware de Pagamento (HSM), especificamente as mensagens de verificação do cartão, para autorizar transações fraudulentas que os sistemas do banco bloqueariam.
Ativo desde 2016, o LightBasin também tem com sucesso Sistemas de telecomunicações atacados Durante anos, o uso do backdoor de código aberto Tinyshell para mover o tráfego entre as redes e percorrer-o através de estações móveis específicas.
Framboesa $ i
No caso mais recente, o LightBasin ganhou acesso físico a uma agência bancária por conta própria ou subornando um funcionário desonesto que os ajudou a instalar um Raspberry Pi com um modem 4G no mesmo comutador de rede que o caixa eletrônico.
Os recursos de conectividade da Internet de saída do dispositivo permitiram aos invasores manter o acesso remoto persistente à rede interna do banco enquanto ignorava os firewalls do perímetro.
O Raspberry Pi hospedou o backdoor Tinyshell, que o invasor aproveitou para estabelecer um canal de comando e controle de saída (C2) por meio de dados móveis.
Nas fases subsequentes do ataque, os atores de ameaças se moveram lateralmente para o servidor de monitoramento de rede, que tinha uma extensa conectividade ao data center do banco.
.jpg)
O relatório da placa Deck Cisos realmente usa
Os CISOs sabem que obter a adesão da placa começa com uma visão clara e estratégica de como a segurança da nuvem gera valor comercial.
Este deck de relatório gratuito e editável do conselho ajuda os líderes de segurança a apresentar riscos, impactos e prioridades em termos comerciais claros. Transforme as atualizações de segurança em conversas significativas e tomada de decisão mais rápida na sala de reuniões.