Αναλυτές απειλών που ακολουθούν τη δραστηριότητα της LightBasin, μιας ομάδας χάκερ με οικονομικά κίνητρα, αναφέρουν την ανακάλυψη ενός μέχρι τότε άγνωστου rootkit Unix που χρησιμοποιείται για την κλοπή τραπεζικών δεδομένων ATM και τη διεξαγωγή δόλιων συναλλαγών.
Η συγκεκριμένη ομάδα αντιπάλων έχει παρατηρηθεί πρόσφατα να στοχεύει εταιρείες τηλεπικοινωνιών με προσαρμοσμένα εμφυτεύματα, ενώ το 2020 εντοπίστηκαν να διακυβεύουν διαχειριζόμενους παρόχους υπηρεσιών και να θυματοποιούν τους πελάτες τους.
Σε μια νέα έκθεση της Mandiant, οι ερευνητές παρουσιάζουν περαιτέρω στοιχεία της δραστηριότητας του LightBasin, εστιάζοντας στην απάτη με τραπεζικές κάρτες και τον συμβιβασμό κρίσιμων συστημάτων.
Χρησιμοποιώντας τα τραπεζικά σας δεδομένα
Το νέο rootkit του LightBasin είναι μια λειτουργική μονάδα πυρήνα Unix που ονομάζεται “Caketap” που αναπτύσσεται σε διακομιστές που εκτελούν το λειτουργικό σύστημα Oracle Solaris.
Όταν φορτωθεί, το Caketap αποκρύπτει συνδέσεις δικτύου, διεργασίες και αρχεία ενώ εγκαθιστά πολλά άγκιστρα στις λειτουργίες του συστήματος για λήψη απομακρυσμένων εντολών και διαμορφώσεων.
Οι εντολές που παρατηρούνται από τους αναλυτές είναι οι εξής:
- Προσθήκη της μονάδας CAKETAP πίσω στη λίστα φορτωμένων μονάδων
- Αλλαγή της συμβολοσειράς σήματος για το άγκιστρο getdents64
- Προσθήκη φίλτρου δικτύου (μορφή p)
- Αφαίρεση φίλτρου δικτύου
- Ορίστε το τρέχον νήμα TTY σε μη φιλτραρισμένο από το άγκιστρο getdents64
- Ρυθμίστε όλα τα TTY για φιλτράρισμα από το άγκιστρο getdents64
- Εμφανίζει την τρέχουσα διαμόρφωση
Ο απώτερος στόχος του Caketap είναι να υποκλέψει δεδομένα επαλήθευσης τραπεζικών καρτών και PIN από παραβιασμένους διακομιστές μεταγωγέα ATM και στη συνέχεια να χρησιμοποιήσει τα κλεμμένα δεδομένα για να διευκολύνει τις μη εξουσιοδοτημένες συναλλαγές.
Τα μηνύματα που υποκλαπούν από την Caketap προορίζονται για το Payment Hardware Security Module (HSM), μια συσκευή υλικού ανθεκτική στην παραβίαση που χρησιμοποιείται στον τραπεζικό κλάδο για τη δημιουργία, τη διαχείριση και την επικύρωση κρυπτογραφικών κλειδιών για PIN, μαγνητικές λωρίδες και τσιπ EMV.
Το Caketap χειρίζεται τα μηνύματα επαλήθευσης της κάρτας για να διακόψει τη διαδικασία, σταματά εκείνα που ταιριάζουν με δόλιες τραπεζικές κάρτες και δημιουργεί μια έγκυρη απάντηση.
Σε μια δεύτερη φάση, αποθηκεύει εσωτερικά έγκυρα μηνύματα που ταιριάζουν με μη δόλια PAN (Primary Account Numbers) και τα στέλνει στο HSM, έτσι ώστε οι συνήθεις συναλλαγές πελατών να μην επηρεάζονται και οι λειτουργίες εμφύτευσης να παραμένουν κρυφές.
«Πιστεύουμε ότι το CAKETAP αξιοποιήθηκε από το UNC2891 (LightBasin) ως μέρος μιας ευρύτερης επιχείρησης για την επιτυχή χρήση δόλιων τραπεζικών καρτών για την εκτέλεση μη εξουσιοδοτημένων αναλήψεων μετρητών από τερματικά ATM σε πολλές τράπεζες», εξηγεί η έκθεση της Mandiant.