
Un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d'une banque pour contourner les défenses de sécurité dans le cadre d'une nouvelle attaque. L'ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées. Group-IB a partagé une analyse approfondie de l'intrusion bancaire en plusieurs étapes : implantation d'un Raspberry Pi dans un distributeur automatique, contournement du montage lié, DNS C2 dynamique et CAKETAP.
Raspberry Pi est une série de petits ordinateurs monocarte (SBC) développés au Royaume-Uni par la Fondation Raspberry Pi en collaboration avec Broadcom. Le Raspberry Pi a été initialement créé pour faciliter l'enseignement de l'informatique dans les écoles, mais il a gagné en popularité pour de nombreuses autres utilisations en raison de son faible coût, de sa taille compacte et de sa flexibilité. Il est désormais utilisé dans des domaines tels que l'automatisation industrielle, la robotique, la domotique, les appareils IoT et les projets amateurs.
Les produits de la société vont des simples microcontrôleurs aux ordinateurs que la société commercialise comme étant suffisamment puissants pour être utilisés comme PC à usage général. Les ordinateurs sont construits autour d'un système sur puce conçu sur mesure et offrent des fonctionnalités telles que la sortie vidéo/audio HDMI, des ports USB, une connexion réseau sans fil, des broches GPIO et jusqu'à 16 Go de RAM. Le stockage est généralement assuré par des cartes microSD.
Récemment, un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d'une banque pour contourner les défenses de sécurité dans le cadre d'une nouvelle attaque. L'ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées.
Selon Group-IB, qui a découvert l'intrusion en enquêtant sur des activités suspectes sur le réseau, l'objectif de l'attaque était d'usurper l'autorisation des distributeurs automatiques de billets et d'effectuer des retraits frauduleux d'argent liquide. Bien que LightBasin ait échoué dans cette entreprise, cet incident est un exemple rare d'attaque hybride avancée (accès physique + accès à distance) qui a utilisé plusieurs techniques anti-forensiques pour maintenir un haut degré de discrétion.
Ce groupe de pirates particulier est connu pour ses attaques contre les systèmes bancaires, comme l'a souligné Mandiant dans un rapport de 2022 présentant le nouveau rootkit Unix « Caketap », créé pour fonctionner sur les systèmes Oracle Solaris utilisés dans le secteur financier. Caketap manipule les réponses du module de sécurité matérielle de paiement (HSM), en particulier les messages de vérification des cartes, afin d'autoriser des transactions frauduleuses que les systèmes bancaires bloqueraient autrement.
Actif depuis 2016, LightBasin a également attaqué avec succès des systèmes de télécommunication pendant des années, en utilisant la porte dérobée open source TinyShell pour déplacer le trafic entre les réseaux et le router via des stations mobiles spécifiques.
Aucune information sur le Raspberry Pi n'est encore dévoilée, cependant, la dernière génération du Raspberry Pi, le Raspberry Pi 5 de 16 Go de RAM, est maintenant le plus rapide et le plus efficace, et est capable de gérer un grands modèles de langage de 13 milliards de paramètres, comme LLama 2-13B. Mais l'annonce de cette version a suscité un vif débat sur la question de savoir le mémoire vive dont un utilisateur du microcontrôleur a vraiment besoin. Des critiques ont notamment affirmé que le Raspberry Pi s'éloigne de sa mission originale.
Voici l'analyse approfondie du Group-IB concernant l'incident :
Analyse de l'intrusion bancaire UNC2891 en plusieurs étapes
Lorsqu'on enquête sur des cyberintrusions, on se concentre souvent sur les charges utiles, les mouvements latéraux ou l'impact. Mais dans de nombreux cas réels, l'accès initial reste un angle mort tant dans la recherche publique que dans l'analyse interne post-incident. Cette analyse dévoile une approche unique et furtive utilisée par un groupe d'acteurs malveillants motivés par l'appât du gain pour compromettre des infrastructures bancaires critiques. Il révèle une technique anti-forensique jusqu'alors inconnue (désormais reconnue dans MITRE ATT&CK), la présence d'une porte dérobée invisible dans les listes de processus et un cas rare de compromission physique du réseau à l'aide de matériel intégré.
Porte dérobée physique installée dans le réseau des distributeurs automatiques de billets
L'un des éléments les plus inhabituels de cette affaire était l'utilisation par l'attaquant d'un accès physique pour installer un appareil Raspberry Pi. Cet appareil était connecté directement au même commutateur réseau que le distributeur automatique de billets, ce qui le plaçait effectivement à l'intérieur du réseau interne de la banque. Le Raspberry Pi était équipé d'un modem 4G, permettant un accès à distance via les données mobiles.
À l'aide de la porte dérobée TINYSHELL, l'attaquant a établi un canal de commande et de contrôle (C2) sortant via un domaine DNS dynamique. Cette configuration a permis un accès externe continu au réseau ATM, contournant complètement les pare-feu périmétriques et les défenses réseau traditionnelles.
L'analyse réseau a révélé des signaux cachés
Malgré l'emplacement discret de l'appareil, une analyse approfondie du serveur de surveillance du réseau a révélé plusieurs comportements inhabituels. Notamment, des signaux sortants étaient émis toutes les 600 secondes et des tentatives de connexion répétées étaient effectuées vers le Raspberry Pi sur le port 929. Cependant, aucun identifiant de processus (PID) correspondant ni aucun processus suspect n'ont été trouvés pendant la phase de triage.
Cela a soulevé une question importante pour les enquêteurs : les outils de triage forensique capturent-ils l'état des processus pendant les états de veille ou d'inactivité du système ? L'absence de processus suspects pendant le triage a conduit à la nécessité d'une enquête plus approfondie sur la manière dont les états du système pourraient affecter la collecte de données.
Pour répondre à cette question, l'équipe a déployé un script personnalisé. Ce script a été conçu pour capturer les connexions socket toutes les secondes pendant une période de 10 minutes, afin de garantir un examen détaillé de toute activité réseau cachée ou dépendante du temps.
Défis forensique dans la découverte de la porte dérobée
Bien qu'une connexion était visible, aucun identifiant de processus (PID) correspondant n'a pu être trouvé, ce qui a éveillé des soupçons quant à l'utilisation d'un rootkit ou d'une technique anti-médico-légale. L'absence de toute preuve dans la liste des processus a encore renforcé les inquiétudes, incitant les enquêteurs à capturer un vidage de mémoire pour une analyse plus approfondie.
Déguisement du processus de porte dérobée
Deux processus suspects sont apparus lors de l'examen de la mémoire :
Code : | Sélectionner tout |
lightdm --session 11 19
À première vue, le processus semblait légitime. Mais son emplacement était inhabituel :
Code : | Sélectionner tout |
1 2 3 4 | /tmp/lightdm (PID 8239) /var/snap/.snapd/lightdm (PID 8914) |
Le processus de porte dérobée est délibérément dissimulé par l'acteur malveillant à l'aide d'un masquage de processus. Plus précisément, le fichier binaire est nommé "lightdm", imitant le gestionnaire d'affichage LightDM légitime que l'on trouve couramment sur les systèmes Linux. Pour renforcer la supercherie, le processus est exécuté avec des arguments de ligne de commande ressemblant à des paramètres légitimes, par exemple
lightdm –session child 11 19 — afin d'échapper à la détection et de tromper les analystes forensiques lors des enquêtes post-compromission. Ces portes dérobées établissaient activement des connexions à la fois avec le Raspberry Pi et le serveur de messagerie interne.
Pourquoi cela n'a-t-il pas été détecté lors du triage ?
Malgré des analyses répétées, le triage forensique standard n'a pas permis de révéler la porte dérobée, car l'attaquant a utilisé des montages bind Linux pour masquer les processus de la porte dérobée aux outils de détection conventionnels, une technique qui n'avait pas été documentée dans les rapports publics sur les menaces à l'époque. Cette méthode a depuis été officiellement ajoutée au cadre MITRE ATT&CK sous le nom T1564.013 – Hide Artifacts: Bind Mounts.
Code : | Sélectionner tout |
1 2 | tmpfs on /proc/8239 type tmpfs (rw,nosuid,nodev) /dev/vda1 on /proc/8914 type ext4 (rw,relatime,errors=remount-ro,data=ordered) |
Objectifs de UNC2891
L'enquête de Group-IB a révélé que la cible finale était le serveur de commutation ATM, dans le but de déployer CAKETAP, un rootkit conçu pour manipuler les réponses HSM, et d'usurper les messages d'autorisation afin de faciliter les retraits frauduleux d'argent aux distributeurs automatiques. Heureusement, la campagne des auteurs de la menace a été interrompue avant qu'ils ne puissent atteindre leur objectif.
Résumé de l'incident
Dans ce cas, le serveur de surveillance du réseau a servi de point pivot, avec une connectivité à presque tous les serveurs du centre de données. Une fois compromis, il a permis à l'acteur malveillant d'accéder latéralement à l'ensemble de l'environnement interne.
Les observations clés du Group-IB sont les suivantes :
- Le serveur de messagerie disposait d'une connexion Internet directe, ce qui en faisait un point d'ancrage permanent.
- Même après la découverte et la suppression du Raspberry Pi, l'attaquant a conservé un accès interne grâce à une porte dérobée sur le serveur de messagerie.
- L'acteur malveillant a utilisé un domaine DNS dynamique pour le commandement et le contrôle :
- Cette méthode a masqué la propriété et l'activité du domaine.
- Elle permettait une rotation rapide des adresses IP ou un changement d'infrastructure, réduisant ainsi les perturbations en cas de blocage ou de saisie d'une adresse IP.
Ce chemin d'accès multi-pivot, combinant le contrôle physique, réseau et infrastructurel, a rendu le confinement particulièrement difficile et souligne la sophistication des opérations de UNC2891.
Recommandations en matière de détection et de défense
Group-IB recommande les mesures suivantes afin de détecter ou de prévenir des attaques similaires :
- Surveiller les appels système mount et umount (via auditd, eBPF, etc.).
- Alerter si /proc/[pid] est mounted to tmpfs or external filesystems.
- Bloquer ou alerter sur les binaires s'exécutant à partir des chemins /tmp ou .snapd.
- Sécuriser physiquement les ports de commutation et l'infrastructure connectée à l'ATM.
- Capturer les images mémoire en plus du disque lors de la réponse à un incident.
Voici les conclusions du Group-IB à la suite de cet incident :
Nos recherches rappellent clairement que :
- Les outils de triage forensique ne suffisent pas à eux seuls : vous avez besoin d'une analyse forensique de la mémoire et du réseau.
- Les rootkits et les fonctionnalités obscures de Linux, telles que les montages bind, peuvent efficacement contourner les procédures traditionnelles de réponse aux incidents.
- Les vecteurs d'accès physiques et logiques doivent tous deux faire partie des modèles de menace pour les infrastructures bancaires.
Fondée en 2003 et basée à Singapour, Group-IB est l'un des principaux créateurs de technologies de cybersécurité destinées à enquêter, prévenir et lutter contre la criminalité numérique. La lutte contre la cybercriminalité est inscrite dans l'ADN de l'entreprise, qui développe ses capacités technologiques pour défendre les entreprises et les citoyens et soutenir les opérations des forces de l'ordre.
Source : Group-IB
Et vous ?


Voir aussi :



Vous avez lu gratuitement 920 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.