Se ha detectado un nuevo rootkit en la naturaleza, apuntando a los sistemas Oracle Solaris y apuntando a Cajeros automáticos. Según la investigación y el análisis de Mandiant, los llamados actores de amenazas UNC2891 iniciaron intrusiones de rootkit que parecían estar motivadas financieramente, en algunos casos, durante varios años durante los cuales el actor había permanecido en gran medida desapercibido.
El rootkit en sí mismo se conoce como CAKETAP. Se ha observado que una de las variantes del rootkit manipula mensajes que transitan por la red de conmutación de cajeros automáticos de las víctimas..
“Una variante de los mensajes manipulados de CAKETAP que transitan por un cajero automático de la víctima (Cajero automático) red de conmutación. Se cree que esto se aprovechó como parte de una operación más grande para realizar retiros de efectivo no autorizados en varios bancos utilizando tarjetas bancarias fraudulentas.,Mandiant dijo.
Backdoor implementado simultáneamente con el rootkit CAKETAP
De hecho, el equipo de investigación había observado previamente intrusiones UNC2891 que hacían un "uso extensivo" de una puerta trasera basada en PAM conocida como SLAPSTICK. El backdoor ayudó a realizar campañas de recolección de credenciales, así como proporcionar sistemas de puerta trasera a las máquinas comprometidas en las redes afectadas. Larga historia corta, SLAPSTICK proporciona acceso de puerta trasera persistente a los sistemas infectados con una contraseña codificada ("mágico"), al mismo tiempo que registra los intentos de autenticación y las contraseñas en un archivo de registro cifrado.
Es de destacar que, aunque los archivos de registro de SLAPSTICK a menudo tenían un límite de tiempo, Los investigadores de Mandiant los decodificaron y rastrearon algunas de las actividades de movimiento lateral del actor mediante el uso de la contraseña "mágica" proporcionada por la puerta trasera..
Otra puerta trasera observada en los ataques del rootkit CAKETAP es TINYSHELL. Esta puerta trasera aplicó un archivo de configuración cifrado externo, con algunas variantes que incluyen funcionalidad adicional, como la capacidad de comunicarse a través de un proxy HTTP con autenticación básica.
Siguiendo el conocimiento del grupo de amenazas de los sistemas basados en Unix y Linux, a menudo nombraron y configuraron las puertas traseras TINYSHELL con valores ocultos como servicios legítimos que los investigadores de seguridad podrían pasar por alto, como systemd, demonio de caché de servicio de nombres, y Linux en daemon.
Más sobre el rootkit CAKETAP?
Según el informe de Mandiant, CAKETAP es un rootkit de módulo kernel implementado en una infraestructura de servidor clave que ejecuta Oracle Solaris. En términos de las capacidades del rootkit, puede ocultar conexiones de red, procesos, y archivos. Además, puede eliminarse de la lista de módulos cargados durante la inicialización, también actualizando last_module_id con el módulo previamente cargado para ocultar su presencia.
“Se instala un gancho en la función ipcl_get_next_conn, así como varias funciones en el ipmodule. Esto permite que CAKETAP filtre cualquier conexión que coincida con una dirección IP o puerto configurado por el actor. (local o remoto),"Agregó el informe.
Esta variante específica también implementó una función de enganche adicional que podría interceptar mensajes específicos relacionados con la verificación de tarjetas y PIN para realizar transacciones no autorizadas utilizando tarjetas bancarias falsas.. Dicha funcionalidad de enganche podría manipular mensajes de verificación y reproducir mensajes de verificación de PIN.
“Basado en los hallazgos de la investigación de Mandiant, creemos que el UNC2891 aprovechó CAKETAP como parte de una operación más amplia para usar con éxito tarjetas bancarias fraudulentas para realizar retiros de efectivo no autorizados de terminales de cajero automático en varios bancos," el informe concluido.