- Os hackers instalaram um 4G Raspberry Pi dentro do Switch ATM de um banco para obter acesso à rede
- O dispositivo foi disfarçado e comunicado a cada 600 segundos, evitando sistemas de detecção típicos
- Malware usou nomes de linux falsos e diretórios obscuros para se misturar à atividade legítima do sistema
Um grupo criminal recentemente tentou uma intrusão incomum e sofisticada, na infraestrutura de caixas eletrônicos de um banco, implantando um Raspberry Pi, habilitado para 4G.
Um relatório de Grupo-IB Revelado que o dispositivo foi instalado secretamente em uma chave de rede usada pelo sistema ATM, colocando -o dentro do ambiente bancário interno.
O grupo por trás da operação, UNC2891, explorou esse ponto de acesso físico para contornar completamente as defesas digitais do perímetro, ilustrando como o compromisso físico ainda pode superar a proteção baseada em software.
Explorando o acesso físico às defesas digitais de ignorar
O Raspberry Pi serviu como um ponto de entrada secreto com recursos de conectividade remota por meio de seu modem 4G, o que permitiu acesso persistente de comando e controle de fora da rede da instituição, sem desencadear alertas de proteção de firewall ou terminal.
“Um dos elementos mais incomuns deste caso foi o uso do acesso físico pelo invasor para instalar um dispositivo Raspberry Pi”, escreveu Nam Le Phuong, especialista em respostas digitais sênior do grupo-IB e especialista em resposta a incidentes.
“Este dispositivo foi conectado diretamente ao mesmo comutador de rede que o caixa eletrônico, colocando -o efetivamente dentro da rede interna do banco”.
Usando dados móveis, os invasores mantiveram uma presença de baixo perfil enquanto implantavam malware personalizado e inicia os movimentos laterais na infraestrutura do banco.
Uma ferramenta específica, conhecida como Tinyshell, foi usada para controlar as comunicações de rede, permitindo que os dados passem invisivelmente em vários sistemas internos.
Mais tarde, forense revelou que a UNC2891 usou uma abordagem em camadas para a ofuscação.
Os processos de malware foram nomeados “LightDM”, imitando processos legítimos do sistema Linux.
Esses backdoors foram executados de diretórios atípicos como /TMP, fazendo -os misturar com funções benignas do sistema.
Além disso, o grupo usou uma técnica conhecida como montagem de ligação ao Linux para ocultar metadados do processo de ferramentas forenses, um método normalmente visto em ataques ativos até agora.
Essa técnica foi catalogada na estrutura ATT e CK de miter devido ao seu potencial de iludir a detecção convencional.
Os investigadores descobriram que o servidor de monitoramento do banco estava se comunicando silenciosamente com o Raspberry Pi a cada 600 segundos, o comportamento da rede que era sutil e, portanto, não se destacou imediatamente como malicioso.
No entanto, a análise de memória mais profunda revelou a natureza enganosa dos processos e que essas comunicações se estendiam a um servidor de correio interno com acesso persistente à Internet.
Mesmo após a remoção do implante físico, os invasores mantiveram o acesso por meio deste vetor secundário, mostrando uma estratégia calculada para garantir a continuidade.
Por fim, o objetivo era comprometer o servidor de comutação de caixa eletrônico e implantar o Caketap de rootkit personalizado, que pode manipular os módulos de segurança de hardware para autorizar transações ilegítimas.
Essa tática permitiria retiradas fraudulentas em dinheiro enquanto parecem legítimas aos sistemas do banco.
Felizmente, a intrusão foi interrompida antes que essa fase pudesse ser executada.
Este incidente mostra os riscos associados à crescente convergência de táticas de acesso físico e técnicas anti-forenses avançadas.
Também revela que, além de hackers remotos, ameaças internas ou adulteração física, podem facilitar o roubo de identidade e a fraude financeira.
Fique conectado