Et nyt rootkit er blevet opdaget i naturen, målrette Oracle Solaris-systemer og sigte mod Pengeautomater. Ifølge Mandiant forskning og analyse, de såkaldte UNC2891-trusselsaktører iværksatte rootkit-indtrængen, der så ud til at være økonomisk motiverede, i nogle tilfælde strakte sig over flere år, hvorigennem skuespilleren stort set var forblevet uopdaget.
Den rootkit selv er kendt som CAKETAP. En af rootkittets varianter er blevet observeret i at manipulere meddelelser, der overfører et ofres ATM-omstillingsnetværk.
"En variant af CAKETAP-manipulerede meddelelser, der overfører en automatautomat til et ofre (Pengeautomat) skifte netværk. Det menes, at dette blev udnyttet som en del af en større operation for at udføre uautoriserede kontanthævninger i flere banker ved hjælp af svigagtige bankkort," sagde Mandiant.
Bagdør implementeret samtidigt med CAKETAP Rootkit
Faktisk, forskerholdet havde tidligere observeret UNC2891-indtrængen, der gjorde "udstrakt brug" af en PAM-baseret bagdør kendt som SLAPSTICK. Bagdøren hjalp med at udføre legitimationsindsamlingskampagner, samt at levere bagdørssystemer til kompromitterede maskiner i berørte netværk. Kort fortalt, SLAPSTICK giver vedvarende bagdørsadgang til inficerede systemer med en hårdkodet adgangskode ("magisk"), samtidig med at godkendelsesforsøg og adgangskoder logges i en krypteret logfil.
Det er bemærkelsesværdigt, at, selvom SLAPSTICK-logfiler ofte blev tidsstemplet, Mandante forskere afkodede dem og sporede nogle af skuespillerens laterale bevægelsesaktiviteter gennem brugen af den bagdør-leverede "magiske" adgangskode.
En anden bagdør observeret i CAKETAP rootkit-angrebene er TINYSHELL. Denne bagdør anvendte en ekstern krypteret konfigurationsfil, med nogle varianter inklusive ekstra funktionalitet, såsom muligheden for at kommunikere gennem en HTTP-proxy med grundlæggende godkendelse.
Efter trusselsgruppens viden om Unix og Linux-baserede systemer, de navngav og konfigurerede ofte TINYSHELL-bagdørene med værdier skjult som legitime tjenester, som sikkerhedsforskere kunne gå glip af, ligesom systemd, navneservice cache-dæmon, og Linux på daemon.
Mere om CAKETAP Rootkit?
Ifølge Mandiants rapport, CAKETAP er et kernemodul-rootkit, der er installeret på nøgleserverinfrastruktur, der kører Oracle Solaris. Med hensyn til rootkittets muligheder, det kan skjule netværksforbindelser, processer, og filer. Endvidere, den kan fjerne sig selv fra listen over indlæste moduler under initialisering, også opdatere last_module_id med det tidligere indlæste modul for at skjule dets tilstedeværelse.
"En hook er installeret i funktionen ipcl_get_next_conn, samt flere funktioner i ipmodulet. Dette gør det muligt for CAKETAP at bortfiltrere alle forbindelser, der matcher en aktørkonfigureret IP-adresse eller port (lokalt eller eksternt),”Tilføjede rapporten.
Denne specifikke variant implementerede også en ekstra hooking-funktionalitet, der kunne opsnappe specifikke meddelelser relateret til kort- og pin-bekræftelse for at udføre uautoriserede transaktioner med falske bankkort. Den nævnte tilslutningsfunktion kunne manipulere bekræftelsesmeddelelser og genafspille pinbekræftelsesmeddelelser.
"Baseret på Mandiants undersøgelsesresultater, vi mener, at CAKETAP blev udnyttet af UNC2891 som en del af en større operation til med succes at bruge svigagtige bankkort til at udføre uautoriserede kontanthævninger fra pengeautomater i flere banker,”Konkluderede rapporten.