- Los piratas informáticos instalaron un 4G Raspberry Pi dentro del interruptor de cajero automático de un banco para obtener acceso a la red
- El dispositivo se disfrazó y comunicó cada 600 segundos, evitando los sistemas de detección típicos
- El malware usó nombres falsos de Linux y directorios oscuros para mezclar con una actividad legítima del sistema
Un grupo criminal recientemente intentó una intrusión inusual y sofisticada, en la infraestructura de cajeros automáticos de un banco desplegando una Raspberry PI habilitada para 4G.
Un informe de Group-IB reveló que el dispositivo se instaló encubierta en un interruptor de red utilizado por el sistema ATM, colocándolo dentro del entorno bancario interno.
El grupo detrás de la operación, UNC2891, explotó este punto de acceso físico para eludir por completo las defensas del perímetro digital, ilustrando cómo el compromiso físico aún puede superar la protección basada en software.
Explotar el acceso físico a las defensas digitales de omitir
El Raspberry Pi sirvió como punto de entrada encubierto con capacidades de conectividad remota a través de su módem 4G, lo que permitió el acceso persistente de comando y control desde fuera de la red de la institución, sin activar alertas típicas de protección de firewall o punto final.
“Uno de los elementos más inusuales de este caso fue el uso del acceso físico por parte del atacante para instalar un dispositivo Raspberry PI”, escribió el especialista en forense digital y respuesta de incidentes de Group-ib, Nam Le Phuong.
“Este dispositivo se conectó directamente al mismo interruptor de red que el cajero automático, colocándolo efectivamente dentro de la red interna del banco”.
Utilizando datos móviles, los atacantes mantuvieron una presencia de bajo perfil mientras implementaban malware personalizado e iniciaban movimientos laterales dentro de la infraestructura del banco.
Se utilizó una herramienta particular, conocida como TinyShell, para controlar las comunicaciones de la red, lo que permite que los datos pasen invisiblemente en múltiples sistemas internos.
Forensics más tarde reveló que UNC2891 usó un enfoque en capas para la ofuscación.
Los procesos de malware se llamaron “LightDM”, imitando los procesos legítimos del sistema Linux.
Estas traseros se extendieron desde directorios atípicos como /TMP, lo que los hace combinar con funciones del sistema benigna.
Además, el grupo utilizó una técnica conocida como monturas de enlace de Linux para ocultar metadatos de proceso de herramientas forenses, un método que no suele ver en ataques activos hasta ahora.
Desde entonces, esta técnica se ha catalogada en el marco Mitre ATT & CK debido a su potencial para eludir la detección convencional.
Los investigadores descubrieron que el servidor de monitoreo del banco se estaba comunicando en silencio con el Raspberry Pi cada 600 segundos, el comportamiento de la red que era sutil y, por lo tanto, no se destacaba inmediatamente como malicioso.
Sin embargo, el análisis de memoria más profundo reveló la naturaleza engañosa de los procesos y que estas comunicaciones se extendieron a un servidor de correo interno con acceso persistente a Internet.
Incluso después de eliminar el implante físico, los atacantes habían mantenido acceso a través de este vector secundario, mostrando una estrategia calculada para garantizar la continuidad.
En última instancia, el objetivo era comprometer el servidor de conmutación de ATM e implementar el Caketap CAKET CAFORE Custom, que puede manipular módulos de seguridad de hardware para autorizar transacciones ilegítimas.
Tal táctica permitiría retiros de efectivo fraudulentos mientras aparece legítimo a los sistemas del banco.
Afortunadamente, la intrusión se detuvo antes de que esta fase pudiera ejecutarse.
Este incidente muestra los riesgos asociados con la creciente convergencia de las tácticas de acceso físico y las técnicas anti-forenses avanzadas.
También revela que más allá de la piratería remota, las amenazas internas o la manipulación física pueden facilitar el robo de identidad y el fraude financiero.
