In un nuovo rapporto di Mandiant, i ricercatori hanno presentato ulteriori prove dell’attività di LightBasin, un gruppo di hacker motivati finanziariamente che si sono concentrati sulle frodi con carte di credito compromettendo sistemi cruciali.
Il nuovo rootkit di LightBasin è un modulo del kernel Unix denominato “Caketap” che viene distribuito su server che eseguono il sistema operativo Oracle Solaris.
Una volta caricato, Caketap nasconde le connessioni di rete, i processi e i file durante l’installazione di diversi hook nelle funzioni di sistema per ricevere comandi e configurazioni remoti.
I comandi osservati dagli analisti sono i seguenti:
- Aggiungi il modulo CAKETAP all’elenco dei moduli caricati
- Modificare la stringa del segnale per l’hook getdents64
- Aggiungi un filtro di rete (formato p)
- Rimuovere un filtro di rete
- Imposta il thread corrente TTY in modo che non venga filtrato dall’hook getdents64
- Imposta tutti i TTY in modo che vengano filtrati dall’hook getdents64
L’obiettivo finale di Caketap è quello di intercettare i dati di verifica delle carte bancarie e del PIN dai server degli switch ATM violati e quindi utilizzare i dati rubati per facilitare le transazioni non autorizzate.
Come funziona questo metodo pe rubare dati
I messaggi intercettati da Caketap sono destinati al Payment Hardware Security Module (HSM), un dispositivo hardware antimanomissione utilizzato nel settore bancario per generare, gestire e convalidare chiavi crittografiche per PIN, strisce magnetiche e chip EMV.
Caketap manipola i messaggi di verifica della carta per interrompere il processo, interrompe quelli che corrispondono a carte bancarie fraudolente e genera invece una risposta valida.
In una seconda fase, salva i messaggi validi che corrispondono a PAN (Primary Account Numbers) non fraudolenti internamente e li invia all’HSM in modo che le transazioni di routine dei clienti non siano interessate e le operazioni di impianto rimangano nascoste.
“Riteniamo che CAKETAP sia stato sfruttato da UNC2891 (LightBasin) come parte di un’operazione più ampia per utilizzare con successo carte bancarie fraudolente per eseguire prelievi di contanti non autorizzati dai terminali ATM di diverse banche“, spiega il rapporto di Mandiant.
Altri strumenti utilizzati includono Slapstick, Tinyshell, Steelhound, Steelcorgi, Wingjook, Wingcrack, Binbash, Wiperight e Mignogcleaner.