Un nouveau rootkit a été détecté dans la nature, ciblant les systèmes Oracle Solaris et visant à Distributeurs automatiques de billets. Selon la recherche et l'analyse de Mandiant, les soi-disant acteurs de la menace UNC2891 ont lancé des intrusions de rootkit qui semblaient être motivées par des raisons financières, dans certains cas, s'étendant sur plusieurs années au cours desquelles l'acteur était resté largement non détecté.
La rootkit lui-même est connu sous le nom de CAKETAP. L'une des variantes du rootkit a été observée manipulant des messages transitant par un réseau de commutation ATM victimes.
"Une variante des messages manipulés par CAKETAP transitant par un guichet automatique de la victime (AU M) réseau de commutation. On pense que cela a été exploité dans le cadre d'une opération plus vaste visant à effectuer des retraits d'espèces non autorisés dans plusieurs banques à l'aide de cartes bancaires frauduleuses.," dit Mandiant.
Porte dérobée déployée simultanément avec le rootkit CAKETAP
En fait, l'équipe de recherche avait précédemment observé des intrusions UNC2891 qui faisaient "un usage intensif" d'une porte dérobée basée sur PAM connue sous le nom de SLAPSTICK. La porte dérobée a aidé à mener des campagnes de collecte d'informations d'identification, ainsi que la fourniture de systèmes de porte dérobée aux machines compromises dans les réseaux concernés. Longue histoire courte, SLAPSTICK fournit un accès de porte dérobée persistant aux systèmes infectés avec un mot de passe codé en dur ("magique"), tout en enregistrant les tentatives d'authentification et les mots de passe dans un fichier journal chiffré.
Il est à noter que, bien que les fichiers journaux SLAPSTICK aient souvent été horodatés, Les chercheurs de Mandiant les ont décodés et ont retracé certaines des activités de mouvement latéral de l'acteur grâce à l'utilisation du mot de passe "magique" fourni par la porte dérobée.
Une autre porte dérobée observée dans les attaques de rootkit CAKETAP est TINYSHELL. Cette porte dérobée a appliqué un fichier de configuration crypté externe, avec certaines variantes incluant des fonctionnalités supplémentaires, comme la possibilité de communiquer via un proxy HTTP avec une authentification de base.
Suivre les connaissances du groupe de menaces sur les systèmes basés sur Unix et Linux, ils ont souvent nommé et configuré les portes dérobées TINYSHELL avec des valeurs cachées comme des services légitimes que les chercheurs en sécurité pourraient manquer, comme systemd, démon de cache du service de noms, et Linux au démon.
En savoir plus sur le rootkit CAKETAP?
Selon le rapport de Mandiant, CAKETAP est un rootkit de module de noyau déployé sur une infrastructure de serveur clé exécutant Oracle Solaris. En termes de capacités du rootkit, il peut dissimuler les connexions réseau, processus, et les fichiers. En outre, il peut se retirer de la liste des modules chargés lors de l'initialisation, mettant également à jour le last_module_id avec le module précédemment chargé pour masquer sa présence.
"Un crochet est installé dans la fonction ipcl_get_next_conn, ainsi que plusieurs fonctions dans le ipmodule. Cela permet à CAKETAP de filtrer toutes les connexions qui correspondent à une adresse IP ou un port configuré par un acteur (local ou à distance)," ajoute le rapport.
Cette variante spécifique a également implémenté une fonctionnalité d'accrochage supplémentaire qui pourrait intercepter des messages spécifiques liés à la vérification de la carte et du code PIN pour effectuer des transactions non autorisées à l'aide de fausses cartes bancaires.. Ladite fonctionnalité d'accrochage pourrait manipuler les messages de vérification et rejouer les messages de vérification des broches.
"Sur la base des conclusions de l'enquête de Mandiant, nous pensons que CAKETAP a été exploité par UNC2891 dans le cadre d'une opération plus large visant à utiliser avec succès des cartes bancaires frauduleuses pour effectuer des retraits d'espèces non autorisés à partir de terminaux de guichets automatiques dans plusieurs banques," le rapport conclu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: