📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie o projeto e divulgue suas redes! Clique aqui
O grupo de hackers da UNC2891, também conhecido como LightBasin, usou um Raspberry Pi equipado com 4G escondido na rede de um banco para ignorar as defesas de segurança em um ataque recém-descoberto.
O computador de placa única estava fisicamente conectada ao interruptor da rede ATM, criando um canal invisível na rede interna do banco, permitindo que os invasores se movam lateralmente e implantassem backdoors.
De acordo com o Grupo-IB, que descobriu a intrusão ao investigar atividades suspeitas na rede, o objetivo do ataque era falsificar a autorização do ATM e realizar retiradas fraudulentas em dinheiro.
Enquanto o LightBasin falhou nisso, o incidente é um exemplo raro de um ataque híbrido avançado (acesso físico+remoto) que empregava várias técnicas anti-forenses para manter um alto grau de furtividade.
O grupo em particular é notório por atacar os sistemas bancários, como Mandiant destacou em um relatório de 2022 que apresentava o então novo Unix Kernel Rootkit "Caketap", criado para executar os sistemas Oracle Solaris usados no setor financeiro.
O CAKETAP manipula as respostas do Módulo de Segurança de Hardware de Pagamento (HSM), especificamente as mensagens de verificação do cartão, para autorizar transações fraudulentas que os sistemas do banco bloqueariam.
Ativo desde 2016, a LightBasin também atacou com sucesso os sistemas de telecomunicações por anos, usando o backdoor de fonte aberta Tinyshell para mover o tráfego entre as redes e percorrer-lo através de estações móveis específicas.
Framboesa $ i
No caso mais recente, o LightBasin ganhou acesso físico a uma agência bancária por conta própria ou subornando um funcionário desonesto que os ajudou a instalar um Raspberry Pi com um modem 4G no mesmo comutador de rede que o caixa eletrônico.
Os recursos de conectividade da Internet de saída do dispositivo permitiram aos invasores manter o acesso remoto persistente à rede interna do banco enquanto ignorava os firewalls do perímetro.
O Raspberry Pi hospedou o backdoor Tinyshell, que o invasor aproveitou para estabelecer um canal de comando e controle de saída (C2) por meio de dados móveis.
Nas fases subsequentes do ataque, os atores de ameaças se moveram lateralmente para o servidor de monitoramento de rede, que tinha uma extensa conectividade ao data center do banco.
Visão geral do The LightBasin Ataquesource: Grupo-IB
A partir daí, o invasor também girou para o servidor de correio, que tinha acesso direto à Internet, e permitiu a persistência, mesmo quando o Raspberry Pi foi descoberto e removido.
Os backdoors usados no movimento lateral foram nomeados como 'LightDM' para imitar o legítimo gerente de tela LightDM encontrado nos sistemas Linux, parecendo, portanto, inócuoso.
Outro elemento que contribuiu para o alto grau de furtividade do ataque foi os sistemas de arquivos alternativos de montagem de lâmpada, como TMPFs e EXT4, sobre os caminhos '/proc/[pid]' dos processos maliciosos, obscurecendo essencialmente os metadados relacionados das ferramentas forenses.
Com base na investigação do Grupo-IB, o servidor de monitoramento de rede dentro da rede bancária foi encontrado com folhagem a cada 600 segundos no Raspberry Pi na porta 929, indicando que o dispositivo serviu como host pivot.
Os pesquisadores dizem que o objetivo final dos atacantes era implantar o Caketap Rootkit, mas esse plano foi frustrado antes que pudesse se concretizar.
O relatório da placa Deck Cisos realmente usa
Os CISOs sabem que obter a adesão da placa começa com uma visão clara e estratégica de como a segurança da nuvem gera valor comercial.
Este deck de relatório gratuito e editável do conselho ajuda os líderes de segurança a apresentar riscos, impactos e prioridades em termos comerciais claros. Transforme as atualizações de segurança em conversas significativas e tomada de decisão mais rápida na sala de reuniões.
Baixe o modelo para começar hoje
O computador de placa única estava fisicamente conectada ao interruptor da rede ATM, criando um canal invisível na rede interna do banco, permitindo que os invasores se movam lateralmente e implantassem backdoors.
De acordo com o Grupo-IB, que descobriu a intrusão ao investigar atividades suspeitas na rede, o objetivo do ataque era falsificar a autorização do ATM e realizar retiradas fraudulentas em dinheiro.
Enquanto o LightBasin falhou nisso, o incidente é um exemplo raro de um ataque híbrido avançado (acesso físico+remoto) que empregava várias técnicas anti-forenses para manter um alto grau de furtividade.
O grupo em particular é notório por atacar os sistemas bancários, como Mandiant destacou em um relatório de 2022 que apresentava o então novo Unix Kernel Rootkit "Caketap", criado para executar os sistemas Oracle Solaris usados no setor financeiro.
O CAKETAP manipula as respostas do Módulo de Segurança de Hardware de Pagamento (HSM), especificamente as mensagens de verificação do cartão, para autorizar transações fraudulentas que os sistemas do banco bloqueariam.
Ativo desde 2016, a LightBasin também atacou com sucesso os sistemas de telecomunicações por anos, usando o backdoor de fonte aberta Tinyshell para mover o tráfego entre as redes e percorrer-lo através de estações móveis específicas.
Framboesa $ i
No caso mais recente, o LightBasin ganhou acesso físico a uma agência bancária por conta própria ou subornando um funcionário desonesto que os ajudou a instalar um Raspberry Pi com um modem 4G no mesmo comutador de rede que o caixa eletrônico.
Os recursos de conectividade da Internet de saída do dispositivo permitiram aos invasores manter o acesso remoto persistente à rede interna do banco enquanto ignorava os firewalls do perímetro.
O Raspberry Pi hospedou o backdoor Tinyshell, que o invasor aproveitou para estabelecer um canal de comando e controle de saída (C2) por meio de dados móveis.
Nas fases subsequentes do ataque, os atores de ameaças se moveram lateralmente para o servidor de monitoramento de rede, que tinha uma extensa conectividade ao data center do banco.
Visão geral do The LightBasin Ataquesource: Grupo-IB
A partir daí, o invasor também girou para o servidor de correio, que tinha acesso direto à Internet, e permitiu a persistência, mesmo quando o Raspberry Pi foi descoberto e removido.
Os backdoors usados no movimento lateral foram nomeados como 'LightDM' para imitar o legítimo gerente de tela LightDM encontrado nos sistemas Linux, parecendo, portanto, inócuoso.
Outro elemento que contribuiu para o alto grau de furtividade do ataque foi os sistemas de arquivos alternativos de montagem de lâmpada, como TMPFs e EXT4, sobre os caminhos '/proc/[pid]' dos processos maliciosos, obscurecendo essencialmente os metadados relacionados das ferramentas forenses.
Com base na investigação do Grupo-IB, o servidor de monitoramento de rede dentro da rede bancária foi encontrado com folhagem a cada 600 segundos no Raspberry Pi na porta 929, indicando que o dispositivo serviu como host pivot.
Os pesquisadores dizem que o objetivo final dos atacantes era implantar o Caketap Rootkit, mas esse plano foi frustrado antes que pudesse se concretizar.
O relatório da placa Deck Cisos realmente usa
Os CISOs sabem que obter a adesão da placa começa com uma visão clara e estratégica de como a segurança da nuvem gera valor comercial.
Este deck de relatório gratuito e editável do conselho ajuda os líderes de segurança a apresentar riscos, impactos e prioridades em termos comerciais claros. Transforme as atualizações de segurança em conversas significativas e tomada de decisão mais rápida na sala de reuniões.
Baixe o modelo para começar hoje
#samirnews #samir #news #boletimtec #hackers #planta #4g #raspberry #pi #na #rede #de #bancos #em #assalto #atencional #fracassado
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário