Un ataque encubierto a la infraestructura de cajeros automáticos ha sido detectado, revelando el uso de un dispositivo Raspberry Pi como punto de entrada para comprometer los sistemas internos de un banco.

Acceso físico permitió ingresar a la red de cajeros

El grupo de amenazas identificado como UNC2891 logró conectarse físicamente a un switch de red compartido con un cajero automático, instalando discretamente un Raspberry Pi equipado con un módem 4G. Esto les permitió acceder remotamente a la red interna del banco mediante datos móviles, eludiendo por completo los firewalls perimetrales.

Los atacantes desplegaron una puerta trasera personalizada llamada TINYSHELL, que se conectaba a servidores externos mediante un dominio DNS dinámico, manteniendo así acceso persistente desde el exterior.

Malware camuflado como proceso legítimo del sistema

El análisis forense reveló que el malware estaba disfrazado como un proceso legítimo del sistema Linux. Se detectaron dos instancias sospechosas del proceso “lightdm” ejecutándose desde ubicaciones inusuales: /tmp/lightdm y /var/snap/.snapd/lightdm. Estos procesos en apariencia normales se conectaban en secreto con el Raspberry Pi y el servidor de correo interno del banco.

Los atacantes utilizaron una técnica reconocida por MITRE ATT&CK como T1564.013, abusando de los bind mounts de Linux para ocultar los procesos maliciosos, haciéndolos invisibles para la mayoría de las herramientas forenses convencionales.

Objetivo: Servidor de conmutación de cajeros y manipulación de HSM

El objetivo principal de UNC2891 era comprometer el servidor de switching de cajeros automáticos e instalar un rootkit llamado CAKETAP, diseñado para falsificar respuestas de autorización desde los módulos de seguridad hardware (HSM) y facilitar retiros fraudulentos de efectivo.

Aunque el ataque fue detenido antes de completarse, la investigación reveló que los atacantes habían mantenido acceso tanto a través del Raspberry Pi como del servidor de correo del banco. Además, emplearon DNS dinámico para ocultar cambios en su infraestructura y evitar la interrupción del ataque. Un servidor de monitoreo de red comprometido sirvió como punto de pivote para desplazarse lateralmente dentro del centro de datos.

Recomendaciones de detección y respuesta

El equipo de Group-IB emitió las siguientes recomendaciones para prevenir ataques similares:

• Monitorear llamadas al sistema mount y unmount con herramientas como auditd o eBPF
• Generar alertas cuando se monten /proc/[pid] en sistemas de archivos temporales o externos
• Bloquear o monitorear binarios que se ejecuten desde los directorios /tmp o .snapd
• Asegurar físicamente los puertos de switches conectados a cajeros automáticos u otros sistemas críticos
• Capturar imágenes de memoria, además del disco, durante una respuesta a incidentes

Este caso destaca cómo el acceso físico, combinado con técnicas avanzadas en Linux y malware residente en memoria, puede vulnerar incluso infraestructuras con defensas robustas. Las organizaciones que operan con transacciones financieras o infraestructura crítica deben reforzar sus políticas de seguridad física, protección de endpoints y procedimientos de respuesta ante incidentes.

Fuente: https://www.infosecurity-magazine.com/news/backdoor-atm-network-raspberry-pi