Ερευνητές ασφαλείας που ακολουθούν τη δραστηριότητα της ομάδα hacking LightBasin, ανακάλυψαν ένα νέο rootkit Unix, που χρησιμοποιείται για την κλοπή τραπεζικών δεδομένων ATM και τη διεξαγωγή δόλιων συναλλαγών.
Δείτε επίσης: GhostEmperor: Xρησιμοποιούν νέο rootkit Windows 10 σε επιθέσεις
Η συγκεκριμένη ομάδα έχει παρατηρηθεί πρόσφατα να στοχεύει εταιρείες τηλεπικοινωνιών με προσαρμοσμένα εμφυτεύματα, ενώ το 2020 εντοπίστηκε να στοχεύει διαχειριζόμενους παρόχους υπηρεσιών και τους πελάτες τους.
Σε μια νέα έκθεση από τη Mandiant, οι ερευνητές παρουσιάζουν περαιτέρω στοιχεία της δραστηριότητας της LightBasin, εστιάζοντας στην απάτη με τραπεζικές κάρτες και την παραβίαση κρίσιμων συστημάτων.
Το νέο rootkit της LightBasin, είναι μια λειτουργική μονάδα πυρήνα Unix με το όνομα “Caketap” που αναπτύσσεται σε διακομιστές που εκτελούν το λειτουργικό σύστημα Oracle Solaris.
Όταν φορτωθεί, το Caketap αποκρύπτει συνδέσεις δικτύου, διεργασίες και αρχεία ενώ εγκαθιστά πολλά hooks στις λειτουργίες του συστήματος για λήψη απομακρυσμένων εντολών και διαμορφώσεων.
Δείτε ακόμα: Οι απάτες με κρυπτονομίσματα μέσω ATM πολλαπλασιάζονται στις ΗΠΑ
Ο απώτερος στόχος του Caketap είναι να υποκλέψει δεδομένα επαλήθευσης τραπεζικών καρτών και PIN από παραβιασμένους διακομιστές μεταγωγής ATM και στη συνέχεια να χρησιμοποιήσει τα κλεμμένα δεδομένα για να διευκολύνει μη εξουσιοδοτημένες συναλλαγές.
Τα μηνύματα που υποκλέπτονται από το Caketap προορίζονται για το Payment Hardware Security Module (HSM), μια συσκευή υλικού ανθεκτική στην παραβίαση που χρησιμοποιείται στον τραπεζικό κλάδο για τη δημιουργία, τη διαχείριση και την επικύρωση κρυπτογραφικών κλειδιών για PIN, μαγνητικές λωρίδες και τσιπ EMV.
Το Caketap χειρίζεται τα μηνύματα επαλήθευσης της κάρτας για να διακόψει τη διαδικασία, σταματά εκείνα που μοιάζουν με δόλιες τραπεζικές κάρτες και δημιουργεί μια έγκυρη απάντηση.
Σε μια δεύτερη φάση, αποθηκεύει εσωτερικά έγκυρα μηνύματα που ταιριάζουν με μη δόλια PAN (Primary Account Numbers) και τα στέλνει στο HSM, έτσι ώστε οι συνήθεις συναλλαγές πελατών να μην επηρεάζονται και οι λειτουργίες εμφύτευσης να παραμένουν κρυφές.
Δείτε επίσης: Χάκερ παραβιάζει ATM χρησιμοποιώντας μόνο ένα κινητό
«Πιστεύουμε ότι το CAKETAP αξιοποιήθηκε από την UNC2891 (LightBasin) ως μέρος μιας μεγαλύτερης επιχείρησης για την επιτυχή χρήση δόλιων τραπεζικών καρτών για την εκτέλεση μη εξουσιοδοτημένων αναλήψεων μετρητών από τερματικά ATM σε πολλές τράπεζες», εξηγεί η έκθεση της Mandiant.
