Аналитики компании Mandiant, следящие за активностью хак-группы LightBasin, обнаружили ранее неизвестный Unix-руткит, который используется для кражи данных из банкоматов и проведения мошеннических транзакций.

Напомню, что о группировке LightBasin известно уже несколько лет. В прошлом году эксперты компании CrowdStrike посвятили активности хакером большой отчет, в котором рассказывали, что злоумышленники скомпрометировали как минимум 13 неназванных телекоммуникационных компаний и сохраняли присутствие в их системах, чтобы воровать информацию об абонентах и метаданные вызовов.

Считается, что LightBasin активна как минимум с 2016 года и в основном атакует серверы Linux и Solaris, хотя при необходимости хакеры могут взаимодействовать и с Windows-машинами. Помимо атак на телекомы, ранее группа была замечена в компрометации поставщиков управляемых услуг и последующем преследовании их клиентов.

Как теперь сообщает Mandiant, участники LightBasin также уделяют немало внимания мошенничеству с банковскими картами и компрометации критических систем. В частности, обнаруженный руткит представляет собой модуль ядра Unix под названием Caketap, который развертывается на серверах, работающих под управлением Oracle Solaris.

При загрузке Caketap скрывает сетевые подключения, процессы и файлы, устанавливая несколько хуков в для получения удаленных команд и конфигураций. Среди команд, которые удалось заметить аналитикам, были следующие:

  • добавление CAKETAP в список загруженных модулей;
  • изменение сигнальной строки для хука getdents64;
  • добавление сетевого фильтра (format p);
  • удаление сетевого фильтра;
  • установка TTY таким образом, чтобы он не фильтровался хуком getdents64;
  • настройка фильтрации всех TTY с помощью хука getdents64;
  • отображение текущей конфигурации.

Исследователи пишут, что конечная цель Caketap — перехват данных проверки банковской карты и PIN-кода со взломанных серверов банкоматов и последующее использование этой информации для несанкционированных транзакций.

Сообщения, которые перехватывает Caketap, предназначены для Payment Hardware Security Module (HSM), защищенного от несанкционированного доступа аппаратного устройства, используемого в банковской сфере для создания, управления и валидации криптографических ключей PIN-кодов, магнитных полос и чипов EMV.

Caketap манипулирует сообщениями верификации, вмешивается в процесс, останавливает те, сообщения, которые соответствуют мошенническим картам, и вместо этого генерирует действительный ответ. Также малварь сохраняет настоящие сообщения, которые соответствуют немошенническим PAN (Primary Account Number) и передает их HSM, чтобы не влиять на обычные транзакции клиентов и замаскировать вмешательство.

«Мы полагаем, что CAKETAP используется UNC2891 (LightBasin) в рамках крупной операции по эксплуатации мошеннических банковских карт для несанкционированного снятия наличных в банкоматах нескольких банков», — резюмируют исследователи.

 

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии