Un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d'une banque pour contourner les défenses de sécurité dans le cadre d'une nouvelle attaque. L'ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées. Group-IB a partagé une analyse approfondie de l'intrusion bancaire en plusieurs étapes : implantation d'un Raspberry Pi dans un distributeur automatique, contournement du montage lié, DNS C2 dynamique et CAKETAP.Raspberry Pi est une série de petits ordinateurs monocarte (SBC) développés au Royaume-Uni par la Fondation Raspberry Pi en collaboration avec Broadcom. Le Raspberry Pi a été initialement créé pour faciliter l'enseignement de l'informatique dans les écoles, mais il a gagné en popularité pour de nombreuses autres utilisations en raison de son faible coût, de sa taille compacte et de sa flexibilité. Il est désormais utilisé dans des domaines tels que l'automatisation industrielle, la robotique, la domotique, les appareils IoT et les projets amateurs.
Les produits de la société vont des simples microcontrôleurs aux ordinateurs que la société commercialise comme étant suffisamment puissants pour être utilisés comme PC à usage général. Les ordinateurs sont construits autour d'un système sur puce conçu sur mesure et offrent des fonctionnalités telles que la sortie vidéo/audio HDMI, des ports USB, une connexion réseau sans fil, des broches GPIO et jusqu'à 16 Go de RAM. Le stockage est généralement assuré par des cartes microSD.
Récemment, un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d'une banque pour contourner les défenses de sécurité dans le cadre d'une nouvelle attaque. L'ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées.
Selon Group-IB, qui a découvert l'intrusion en enquêtant sur des activités suspectes sur le réseau, l'objectif de l'attaque était d'usurper l'autorisation des distributeurs automatiques de billets et d'effectuer des retraits frauduleux d'argent liquide. Bien que LightBasin ait échoué dans cette entreprise, cet incident est un exemple rare d'attaque hybride avancée (accès physique + accès à distance) qui a utilisé plusieurs techniques anti-forensiques pour maintenir un haut degré de discrétion.
Ce groupe de pirates particulier est connu pour ses attaques contre les systèmes bancaires, comme l'a souligné Mandiant dans un rapport de 2022 présentant le nouveau rootkit Unix « Caketap », créé pour fonctionner sur les systèmes Oracle Solaris utilisés dans le secteur financier. Caketap manipule les réponses du module de sécurité matérielle de paiement (HSM), en particulier les messages de vérification des cartes, afin d'autoriser des transactions frauduleuses que les systèmes bancaires bloqueraient autrement.
Actif depuis 2016, LightBasin a également attaqué avec succès des systèmes de télécommunication pendant des années, en utilisant la porte dérobée open source TinyShell pour déplacer le trafic entre les réseaux et le router via des stations mobiles spécifiques.
Aucune information sur le Raspberry Pi n'est encore dévoilée, cependant, la dernière génération du Raspberry Pi, le Raspberry Pi 5 de 16 Go de RAM, est maintenant le plus rapide et le plus efficace, et est capable de gérer un grands modèles de langage de 13 milliards de paramètres, comme LLama 2-13B. Mais l'annonce de cette version a suscité un vif débat sur la question de savoir le mémoire vive dont un utilisateur du microcontrôleur a vraiment besoin. Des critiques ont notamment affirmé que le Raspberry Pi s'éloigne de sa mission originale.
Voici l'analyse approfondie du Group-IB concernant l'incident :
Analyse de l'intrusion bancaire UNC2891 en plusieurs étapes
Lorsqu'on enquête sur des cyberintrusions, on se concentre souvent sur les charges utiles, les mouvements latéraux ou l'impact. Mais dans de nombreux cas réels, l'accès initial reste un angle mort tant dans la recherche publique que dans l'analyse interne post-incident. Cette analyse dévoile une approche unique et furtive utilisée par un groupe d'acteurs malveillants motivés par l'appât du gain pour compromettre des infrastructures bancaires critiques. Il révèle une technique anti-forensique jusqu'alors inconnue (désormais reconnue dans MITRE ATT&CK), la présence d'une porte dérobée invisible dans les listes de processus et un cas rare de compromission physique du réseau à l'aide de matériel intégré.
Porte dérobée physique installée dans le réseau des distributeurs automatiques de billets
L'un des éléments les plus inhabituels de cette affaire était l'utilisation par l'attaquant d'un accès physique pour installer un appareil Raspberry Pi. Cet appareil était connecté directement au même commutateur réseau que le distributeur automatique de billets, ce qui le plaçait effectivement à l'intérieur du réseau interne de la banque. Le Raspberry Pi était...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
