Si chiama Caketap il nuovo rootkit Unix che i cyber criminali stanno sfruttando per rubare dati bancari dai bancomat. La sua scoperta è avvenuta mentre i ricercatori di Mandiant investigavano sull’attività del gruppo di cybercrime LightBasin, noto anche come UNC1945.
“Il ritrovamento del rootkit Unix Caketap ci fornisce alcune preziose indicazioni. In particolare, due”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Indice degli argomenti
Chi è LightBasin aka UNC1945
Ecco la prima preziosa indicazione che ci fornisce Caketap. “Il gruppo criminale tracciato come LightBasin (aka UNC1945)”, sottolinea Paganini, “continua a evolvere palesandosi come uno degli attori più sofisticati nell’attuale panorama delle minacce. Il gruppo di origine cinese, la cui attività è nota dal 2016, ha mostrato grandi capacità tecniche che gli hanno consentito di colpire operatori mobile come istituzioni finanziarie di tutto il mondo”.
Secondo i ricercatori di CrowdStrike, Caketap ha già compromesso fino a 13 società di telecomunicazioni dal 2019.
L’attore cyber crime compie intrusioni che richiedono “un grado di OPSEC e la possibilità di sfruttare sia il malware pubblico che quello privato, utility e script per rimuovere le prove e ostacolare sforzi di risposta”, hanno illustrato i ricercatori di Mandiant in un nuovo report pubblicato nel corso della settimana.
Cos’è Caketap, il rootkit Unix dei bancomat
La seconda utile informazione che rivela Caketap è la seguente. Continua Paganini: “È un rootkit, pertanto un malware estremamente evasivo, sviluppato per intercettare numeri di carte di credito e PIN da ATM switch servers precedentemente compromessi. La minaccia si distingue per l’elevata capacità di evasione. È molto probabile che il gruppo finanziariamente motivato prenderà di mira aziende in altri settori con minacce sviluppate ad hoc ed estremamente sofisticate e difficili da individuare”.
Caketap sfrutta un set di strumenti altamenti sofisticati. Il rootkit mette nel mirino i sistemi Oracle Solaris con l’obiettivo di compromettere gli switching network dei bancomat.
Attraverso l’attacco agli Automatic Teller Machine (ATM), il rootkit Unix permette di effettuare prelievi fraudolenti dai bancomat, operazioni senza autorizzazione, presso differenti banche usando carte di credito fasulle.
Il vettore d’attacco
Caketap è in grado di nascondere connessioni di rete, processi e file. Mandiant, che è stata in grado di effettuare memory recovery dei dati forensi da uno switch server di un bancomat vittima, ha notato che una variante del kernel rootkit possiede:
- funzionalità specializzate che intercettano messaggi di verifica di carte di credito e PIN;
- usano i dati trafugati per effettuare prelievi fraudulenti dai terminali dei bancomat.
Inoltre, usano due backdoor come Slapstick e TinyShell, attribuiti a UNC1945 e impiegati per ottenere accesso remoto persistente a sistemi mission-critical ed esecuzioni shell e trasferimenti di file via rlogin, telnet o SSH.
La catena d’attacco
L’attacco sta utilizzando una varietà di malware e utilities disponibili pubblicamente. Ecco lo schema:
- SteelHound: una variante dell’in-memory droppe SteelCorgi è utilizzata per decrittare payload embedded e crittografare nuovi binari;
- WingHook: un keylogger per sistemi operativi basati su Linux e Unix che cattura i dati in un formato codificato;
- WingCrack: una utility per analizzare i contenuti codificati generati da WingHook;
- Wiperight: una utility ELF che cancella log entries riguardanti utenti specifici su sistemi dotati di Linux e Unix Os;
- MigLogCleaner: una utility ELF che ripulisce i log o rimuove certe stringhe dai log su stemi equipaggiati con Linux e Unix.
