En el mundo de la ciberseguridad, los ataques más eficaces no siempre son los más sofisticados tecnológicamente, sino los más ingeniosos. Y un reciente ejemplo de ello ha sido el perpetrado por el grupo de cibercriminales UNC2891 —que lleva activo desde al menos 2016 y ha sido vinculado a múltiples ataques contra bancos y sistemas de telecomunicaciones en todo el mundo—: un reciente intento de robo bancario que combinó el acceso físico con ataques remotos.La operación giró en torno a una diminuta pero útil herramienta: una Raspberry Pi equipada con un módem 4G, conectada estratégicamente dentro de la red interna de un banco no revelado con sede en la región Asia-Pacífico. Aunque el intento ha terminado siendo frustrado, revela un nivel de planificación asombroso.¿Cómo comenzó todo?UNC2891 logró colocar una Raspberry Pi 4 —de tan solo 35 dólares, acompañada de un módem 4G de unos 140 dólares— directamente en el mismo switch de red que conectaba un cajero automático (ATM) del banco. Esta colocación estratégica permitió a los atacantes eludir completamente los cortafuegos perimetrales y obtener acceso directo al corazón de la red bancaria.La manera en que consiguieron el acceso físico sigue sin estar clara, aunque se sospecha que pudieron haber sobornado a empleados o contratado 'runners' para instalar discretamente el dispositivo. Una vez conectado, el dispositivo comenzó a operar como una puerta trasera invisible con conexión a Internet móvil, ofreciendo un canal de comando y control (C2) cifrado y difícil de rastrear mediante dominios de DNS dinámico.Por otro lado, la razón por la que recurrieron a un módem 4G está mucho más clara: les permitía comunicarse remotamente a través de redes móviles, sin depender de la infraestructura de red del banco. Así, incluso si el tráfico saliente estuviera monitorizado o filtrado, los atacantes mantenían un canal externo seguro y discreto. En Genbeta Lo único que les faltaba a las Raspberry Pi para equipararlas a un PC acaba de salir al mercado Infiltración y persistencia: una red dentro de la redAdemás de la Raspberry Pi, el grupo utilizó un malware personalizado llamado TinyShell, una puerta trasera de código abierto modificada para conectarse mediante proxy HTTP cifrado. El objetivo: moverse lateralmente dentro de la red hasta llegar al servidor de conmutación de ATM, donde planeaban instalar un rootkit llamado CakeTap.Este rootkit es capaz de interceptar y falsificar respuestas de los módulos de seguridad de hardware (HSM) que verifican tarjetas y PINs. De haber tenido éxito, UNC2891 podría haber autorizado retiros fraudulentos directamente desde los cajeros automáticos, sin activar alarmas.La persistencia fue asegurada infectando también el servidor de correo del banco, que tenía conectividad directa a Internet. Incluso después de que el dispositivo Raspberry Pi fue descubierto y retirado, el grupo logró mantener el acceso a través de este servidor comprometido.Evasión y detecciónUno de los aspectos más notables del ataque fue el uso de técnicas 'antiforenses'. El grupo enmascaró sus procesos maliciosos usando nombres de binarios legítimos de Linux, como 'lightdm', e incluso ejecutaban estos procesos con argumentos que simulaban una actividad legítima (como lightdm --session child 11 19). Además, emplearon una técnica poco común llamada bind mounts, que redirige rutas de archivos en Linux para ocultar información a las herramientas forenses.El ataque fue finalmente detectado gracias al comportamiento anómalo del servidor de monitorización de red, que emitía señales de beaconing cada 600 segundos hacia la Raspberry Pi, usando el puerto 929. Esto llamó la atención de los analistas de Group-IB, que identificaron una cadena de conexiones sospechosas entre la Raspberry Pi, el servidor de monitoreo y el servidor de correo.Capturando la memoria del sistema durante una de estas comunicaciones, se descubrió la verdadera naturaleza de los procesos 'lightdm', lo que permitió a los investigadores interrumpir el ataque antes de que se implantara el rootkit CakeTap.Vía | Ars TechnicaImagen | Marcos Merino mediante IAEn Genbeta | Un hacker explica cómo irrumpieron en los sistemas del Santander y Ticketmaster: un PC infectado en Ucrania fue la clave (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Este grupo hacker coló una Raspberry Pi de 35 dólares en un banco para robar en toda su red de cajeros. Cerca estuvieron de lograrlo fue publicada originalmente en Genbeta por Marcos Merino .