Intento de robo bancario con Raspberry Pi 4G termina frustrado
El grupo de ciberdelincuentes llamado UNC2891, más conocido como LightBasin, ha logrado infiltrar la red interna de un banco empleando un dispositivo diminuto, sencillo, pero peligroso; una Raspberry Pi equipada con conectividad 4G.
Este equipo, que puede caber fácilmente en la palma de tu mano, ha sido instalado de forma encubierta dentro de la infraestructura de la entidad financiera, concretamente en el mismo switch de red que enlazaba los cajeros automáticos.
Con esta acción, los ciberdelincuentes han creado un canal oculto e indetectable que les ha permitido moverse por la red interna con total libertad, además de sortear los sistemas de defensa y desplegar puertas traseras para preparar acciones maliciosas.
Según ha revelado diversas firmas de seguridad informática importantes, que detectaron la intrusión durante una investigación acerca de actividades sospechosas, la finalidad principal era manipular las autorizaciones de los cajeros automáticos para realizar retiros de dinero fraudulentos. Aunque este objetivo no logró concretarse, este ataque ha mostrado un uso avanzado de técnicas anti-forenses para evitar ser detectado.
La trayectoria de este grupo de cibercriminales ya estaba marcada por operaciones contra bancos y otras entidades financieras. En el año 2022, Mandiant ha destapado su creación más peligrosa hasta esa fecha; un rootkit para sistemas basados en Unix llamado “Caketap”, deseñado para funcionar en plataformas Solaris de Oracle.
Este malware es capaz de manipular las respuestas del Módulo de Seguridad de Hardware o HSM, alternado los procesos de verificación de tarjetas y permitiendo transacciones fraudulentas que, en circunstancias normales, los sistemas bancarios habrían bloqueado.
TIC Defense es una empresa que se encarga de proveer servicios y herramientas de ciberseguridad para empresas y corporaciones, las cuales pueden estar en serio peligro de ser atacadas por hackers maliciosos. Nuestro enfoque preventivo y de respuesta rápida aumenta las defensas informáticas de tu compañía y evita que los procesos corporativos se detengan.
El grupo LightBasin, posiblemente activo desde el año 2016, ha demostrado también experiencia en atacar redes de telecomunicaciones. Ha empleado la puerta trasera llamada TiniShell, una herramienta de código abierto que les permite redirigir tráfico entre redes y canalizarlo por medio de estaciones móviles específicas.
En el incidente más reciente, los actores maliciosos obtuvieron acceso físico a la sucursal de una entidad bancaria, ya sea de forma directa o mediante el soborno de un trabajador que colaboró en la instalación del dispositivo.
Gracias al módem 4G integrado, la Rapsberry Pi podía comunicarse podía comunicarse con el exterior sin pasar por los firewalls perimetrales. La herramienta TinyShell se encargaba de establecer un canal completo de comando y control, lo que ha permitido que los ciberdelincuentes mantuvieran el control, incluso a distancia.
Después de obtener el acceso, el grupo se movió lateralmente hacia el servidor encargado de la monitorización de la red, que tenía conexión directa con el centro de datos. Después, consiguieron acceso al servidor de correo, con salida directa a Internet, lo que les ha garantizado persistencia incluso después de que el dispositivo físico fuese descubierto y retirado.
Para poder pasar desapercibidos, disfrazaron sus puertas traseras bajo el nombre de “lightdm” y montaron sistemas de archivos alternativos acerca de rutas críticas, ocultando así lla actividad maliciosa de las herramientas forenses.
