«Uno de los elementos más inusuales de este caso fue el uso del acceso físico por parte del atacante para instalar un dispositivo Raspberry PI», escribió el especialista en forense digital y respuesta de incidentes de Group-ib, Nam Le Phuong. «Este dispositivo se conectó directamente al mismo interruptor de red que el cajero automático, colocándolo efectivamente dentro de la red interna del banco. El Raspberry Pi estaba equipado con un módem 4G, permitiendo el acceso remoto a través de los datos móviles». Para mantener la persistencia, UNC2891 también comprometió un servidor de correo porque tenía una conectividad constante en Internet. El Raspberry PI y el Backdoor del servidor Mail se comunicarían utilizando el servidor de monitoreo del banco como intermediario. Se eligió el servidor de monitoreo porque tenía acceso a casi todos los servidores dentro del centro de datos. El servidor de monitoreo de red como intermediario entre Raspberry Pi y el servidor de correo. Crédito: Grupo-IB El servidor de monitoreo de red como intermediario entre Raspberry Pi y el servidor de correo. Crédito: el grupo-IB como grupo-IB inicialmente estaba investigando la red del banco, los investigadores notaron algunos comportamientos inusuales en el servidor de monitoreo, incluida una señal de baliza de salida cada 10 minutos e intentos de conexión repetidos para un dispositivo desconocido. Luego, los investigadores utilizaron una herramienta forense para analizar las comunicaciones. La herramienta identificó los puntos finales como una Raspberry Pi y el servidor de correo, pero no pudo identificar los nombres de procesos responsables de la baliza. La herramienta de clasificación forense no puede recopilar el nombre o ID de proceso relevante asociado con el socket. Crédito: Grupo-IB La herramienta de triaje forense no puede recopilar el nombre o ID de proceso relevante asociado con el socket. Crédito: Group-IB Los investigadores capturaron la memoria del sistema cuando se enviaron las balizas. La revisión identificó el proceso como LightDM, un proceso asociado con un administrador de pantalla LightDM de código abierto. El proceso parecía ser legítimo, pero los investigadores lo encontraron sospechoso porque el binario LightDM se instaló en una ubicación inusual. Después de una investigación adicional, los investigadores descubrieron que los procesos de la puerta trasera personalizada se habían disfrazado deliberadamente en un intento de sacar a los investigadores del aroma. Phuong explicó: El proceso de puerta trasera es ofuscado deliberadamente por el actor de amenaza mediante el uso de procesos disfrazado. Específicamente, el binario se llama «LightDM», imitando el LightDM Display Manager legítimo que se encuentra comúnmente en los sistemas Linux. Para mejorar el engaño, el proceso se ejecuta con argumentos de línea de comandos que se asemejan a parámetros legítimos, por ejemplo, LightDM –Session Child 11 19, en un esfuerzo por evadir la detección y engañar a los analistas forenses durante las investigaciones posteriores a la compromiso. Estos traseros estaban estableciendo activamente conexiones tanto al Raspberry Pi como al servidor de correo interno. Como se señaló anteriormente, los procesos se disfrazaron utilizando el soporte de enlace de Linux. Después de ese descubrimiento, Group-IB agregó la técnica al marco Mitre ATT & CK como «T1564.013-Ocultar artefactos: monturas de enlace». El Grupo-EI no dijo dónde se encontraba el equipo de conmutación comprometido o cómo los atacantes lograron plantar la Raspberry Pi. El ataque se detectó y cerró antes de que UNC2891 pudiera lograr su objetivo final de infectar la red de conmutación ATM con la puerta trasera de Caketap.
Deja una respuesta