• Catégories
    • Toutes les catégories
    • Planète Warez
      Présentations
      Aide & Commentaires
      Réglement & Annonces
      Tutoriels
    • IPTV
      Généraliste
      Box
      Applications
      VPN
    • Torrent & P2P
    • Direct Download et Streaming
    • Autour du Warez
    • High-tech : Support IT
      Windows, Linux, MacOS & autres OS
      Matériel & Hardware
      Logiciel & Software
      Smartphones & Tablettes
      Graphismes
      Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
      Tutoriels informatiques
    • Culture
      Actualités High-Tech
      Cinéma & Séries
      Sciences
      Musique
      Jeux Vidéo
    • Humour & Insolite
    • Discussions générales
    • Espace détente
    • Les cas désespérés
  • Récent
  • Populaire
  • Résolu
  • Non résolu
Réduire

Planète Warez
,
  • Politique
  • Règlement
  • À propos
  • Annonces
  • Faire un don
  • Feedback
  • Team
  • Tutoriels
  • Bug Report
  • Wiki
    • Light
    • Default
    • Ubuntu
    • Lightsaber
    • R2d2
    • Padawan
    • Dim
    • FlatDark
    • Invaders
    • Metallic
    • Millennium
    • Leia
    • Dark
    • DeathStar
    • Starfighter
    • X-Wing
    • Sith Order
    • Galactic
ko-fi

Des pirates informatiques implantent un Raspberry Pi 4G dans le réseau bancaire lors d'un braquage de distributeur automatique qui a échoué

Planifier Épinglé Verrouillé Déplacé Actualités High-Tech
1 Messages 1 Publieurs 30 Vues
    • Du plus ancien au plus récent
    • Du plus récent au plus ancien
    • Les plus votés
Répondre
  • Répondre à l'aide d'un nouveau sujet
Se connecter pour répondre
Ce sujet a été supprimé. Seuls les utilisateurs avec les droits d'administration peuvent le voir.
  • Raccoonundefined Hors-ligne
    Raccoonundefined Hors-ligne
    Raccoon Admin Seeder I.T Guy Windowsien Apple User Gamer GNU-Linux User Team
    écrit dernière édition par
    #1

    Des pirates informatiques implantent un Raspberry Pi 4G dans le réseau bancaire lors d’un braquage de distributeur automatique qui a échoué, un rapport fournit une analyse approfondie de l’intrusion bancaire

    Un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d’une banque pour contourner les défenses de sécurité dans le cadre d’une nouvelle attaque. L’ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées. Group-IB a partagé une analyse approfondie de l’intrusion bancaire en plusieurs étapes : implantation d’un Raspberry Pi dans un distributeur automatique, contournement du montage lié, DNS C2 dynamique et CAKETAP.

    Raspberry Pi est une série de petits ordinateurs monocarte (SBC) développés au Royaume-Uni par la Fondation Raspberry Pi en collaboration avec Broadcom. Le Raspberry Pi a été initialement créé pour faciliter l’enseignement de l’informatique dans les écoles, mais il a gagné en popularité pour de nombreuses autres utilisations en raison de son faible coût, de sa taille compacte et de sa flexibilité. Il est désormais utilisé dans des domaines tels que l’automatisation industrielle, la robotique, la domotique, les appareils IoT et les projets amateurs.

    Les produits de la société vont des simples microcontrôleurs aux ordinateurs que la société commercialise comme étant suffisamment puissants pour être utilisés comme PC à usage général. Les ordinateurs sont construits autour d’un système sur puce conçu sur mesure et offrent des fonctionnalités telles que la sortie vidéo/audio HDMI, des ports USB, une connexion réseau sans fil, des broches GPIO et jusqu’à 16 Go de RAM. Le stockage est généralement assuré par des cartes microSD.

    Récemment, un rapport a révélé que le groupe de pirates UNC2891, également connu sous le nom de LightBasin, a utilisé un Raspberry Pi équipé de la 4G caché dans le réseau d’une banque pour contourner les défenses de sécurité dans le cadre d’une nouvelle attaque. L’ordinateur monocarte était physiquement connecté au commutateur réseau du distributeur automatique de billets, créant ainsi un canal invisible vers le réseau interne de la banque, ce qui a permis aux attaquants de se déplacer latéralement et de déployer des portes dérobées.

    Selon Group-IB, qui a découvert l’intrusion en enquêtant sur des activités suspectes sur le réseau, l’objectif de l’attaque était d’usurper l’autorisation des distributeurs automatiques de billets et d’effectuer des retraits frauduleux d’argent liquide. Bien que LightBasin ait échoué dans cette entreprise, cet incident est un exemple rare d’attaque hybride avancée (accès physique + accès à distance) qui a utilisé plusieurs techniques anti-forensiques pour maintenir un haut degré de discrétion.

    Ce groupe de pirates particulier est connu pour ses attaques contre les systèmes bancaires, comme l’a souligné Mandiant dans un rapport de 2022 présentant le nouveau rootkit Unix « Caketap », créé pour fonctionner sur les systèmes Oracle Solaris utilisés dans le secteur financier. Caketap manipule les réponses du module de sécurité matérielle de paiement (HSM), en particulier les messages de vérification des cartes, afin d’autoriser des transactions frauduleuses que les systèmes bancaires bloqueraient autrement.

    Actif depuis 2016, LightBasin a également attaqué avec succès des systèmes de télécommunication pendant des années, en utilisant la porte dérobée open source TinyShell pour déplacer le trafic entre les réseaux et le router via des stations mobiles spécifiques.

    Aucune information sur le Raspberry Pi n’est encore dévoilée, cependant, la dernière génération du Raspberry Pi, le Raspberry Pi 5 de 16 Go de RAM, est maintenant le plus rapide et le plus efficace, et est capable de gérer un grands modèles de langage de 13 milliards de paramètres, comme LLama 2-13B. Mais l’annonce de cette version a suscité un vif débat sur la question de savoir le mémoire vive dont un utilisateur du microcontrôleur a vraiment besoin. Des critiques ont notamment affirmé que le Raspberry Pi s’éloigne de sa mission originale.

    Voici l’analyse approfondie du Group-IB concernant l’incident :

    Analyse de l’intrusion bancaire UNC2891 en plusieurs étapes

    Lorsqu’on enquête sur des cyberintrusions, on se concentre souvent sur les charges utiles, les mouvements latéraux ou l’impact. Mais dans de nombreux cas réels, l’accès initial reste un angle mort tant dans la recherche publique que dans l’analyse interne post-incident. Cette analyse dévoile une approche unique et furtive utilisée par un groupe d’acteurs malveillants motivés par l’appât du gain pour compromettre des infrastructures bancaires critiques. Il révèle une technique anti-forensique jusqu’alors inconnue (désormais reconnue dans MITRE ATT&CK), la présence d’une porte dérobée invisible dans les listes de processus et un cas rare de compromission physique du réseau à l’aide de matériel intégré.

    Porte dérobée physique installée dans le réseau des distributeurs automatiques de billets

    L’un des éléments les plus inhabituels de cette affaire était l’utilisation par l’attaquant d’un accès physique pour installer un appareil Raspberry Pi. Cet appareil était connecté directement au même commutateur réseau que le distributeur automatique de billets, ce qui le plaçait effectivement à l’intérieur du réseau interne de la banque. Le Raspberry Pi était équipé d’un modem 4G, permettant un accès à distance via les données mobiles.

    À l’aide de la porte dérobée TINYSHELL, l’attaquant a établi un canal de commande et de contrôle (C2) sortant via un domaine DNS dynamique. Cette configuration a permis un accès externe continu au réseau ATM, contournant complètement les pare-feu périmétriques et les défenses réseau traditionnelles.

    L’analyse réseau a révélé des signaux cachés

    Malgré l’emplacement discret de l’appareil, une analyse approfondie du serveur de surveillance du réseau a révélé plusieurs comportements inhabituels. Notamment, des signaux sortants étaient émis toutes les 600 secondes et des tentatives de connexion répétées étaient effectuées vers le Raspberry Pi sur le port 929. Cependant, aucun identifiant de processus (PID) correspondant ni aucun processus suspect n’ont été trouvés pendant la phase de triage.

    Cela a soulevé une question importante pour les enquêteurs : les outils de triage forensique capturent-ils l’état des processus pendant les états de veille ou d’inactivité du système ? L’absence de processus suspects pendant le triage a conduit à la nécessité d’une enquête plus approfondie sur la manière dont les états du système pourraient affecter la collecte de données.

    Pour répondre à cette question, l’équipe a déployé un script personnalisé. Ce script a été conçu pour capturer les connexions socket toutes les secondes pendant une période de 10 minutes, afin de garantir un examen détaillé de toute activité réseau cachée ou dépendante du temps.

    Défis forensique dans la découverte de la porte dérobée

    Bien qu’une connexion était visible, aucun identifiant de processus (PID) correspondant n’a pu être trouvé, ce qui a éveillé des soupçons quant à l’utilisation d’un rootkit ou d’une technique anti-médico-légale. L’absence de toute preuve dans la liste des processus a encore renforcé les inquiétudes, incitant les enquêteurs à capturer un vidage de mémoire pour une analyse plus approfondie.

    Déguisement du processus de porte dérobée

    Deux processus suspects sont apparus lors de l’examen de la mémoire :

    lightdm --session 11 19

    À première vue, le processus semblait légitime. Mais son emplacement était inhabituel :

    1  /tmp/lightdm (PID 8239)
2
3
4  /var/snap/.snapd/lightdm (PID 8914)</pre></td></tr></tbody></table>

    Le processus de porte dérobée est délibérément dissimulé par l’acteur malveillant à l’aide d’un masquage de processus. Plus précisément, le fichier binaire est nommé “lightdm”, imitant le gestionnaire d’affichage LightDM légitime que l’on trouve couramment sur les systèmes Linux. Pour renforcer la supercherie, le processus est exécuté avec des arguments de ligne de commande ressemblant à des paramètres légitimes, par exemple

    lightdm –session child 11 19 — afin d’échapper à la détection et de tromper les analystes forensiques lors des enquêtes post-compromission. Ces portes dérobées établissaient activement des connexions à la fois avec le Raspberry Pi et le serveur de messagerie interne.

    Pourquoi cela n’a-t-il pas été détecté lors du triage ?

    Malgré des analyses répétées, le triage forensique standard n’a pas permis de révéler la porte dérobée, car l’attaquant a utilisé des montages bind Linux pour masquer les processus de la porte dérobée aux outils de détection conventionnels, une technique qui n’avait pas été documentée dans les rapports publics sur les menaces à l’époque. Cette méthode a depuis été officiellement ajoutée au cadre MITRE ATT&CK sous le nom T1564.013 – Hide Artifacts: Bind Mounts.

    1  tmpfs on /proc/8239 type tmpfs (rw,nosuid,nodev)
2  /dev/vda1 on /proc/8914 type ext4 (rw,relatime,errors=remount-ro,data=ordered)

    Objectifs de UNC2891

    L’enquête de Group-IB a révélé que la cible finale était le serveur de commutation ATM, dans le but de déployer CAKETAP, un rootkit conçu pour manipuler les réponses HSM, et d’usurper les messages d’autorisation afin de faciliter les retraits frauduleux d’argent aux distributeurs automatiques. Heureusement, la campagne des auteurs de la menace a été interrompue avant qu’ils ne puissent atteindre leur objectif.

    Résumé de l’incident

    Dans ce cas, le serveur de surveillance du réseau a servi de point pivot, avec une connectivité à presque tous les serveurs du centre de données. Une fois compromis, il a permis à l’acteur malveillant d’accéder latéralement à l’ensemble de l’environnement interne.

    Les observations clés du Group-IB sont les suivantes :

    • Le serveur de messagerie disposait d’une connexion Internet directe, ce qui en faisait un point d’ancrage permanent.

    • Même après la découverte et la suppression du Raspberry Pi, l’attaquant a conservé un accès interne grâce à une porte dérobée sur le serveur de messagerie.

    • L’acteur malveillant a utilisé un domaine DNS dynamique pour le commandement et le contrôle :

      • Cette méthode a masqué la propriété et l’activité du domaine.
      • Elle permettait une rotation rapide des adresses IP ou un changement d’infrastructure, réduisant ainsi les perturbations en cas de blocage ou de saisie d’une adresse IP.

    Ce chemin d’accès multi-pivot, combinant le contrôle physique, réseau et infrastructurel, a rendu le confinement particulièrement difficile et souligne la sophistication des opérations de UNC2891.

    Recommandations en matière de détection et de défense

    Group-IB recommande les mesures suivantes afin de détecter ou de prévenir des attaques similaires :

    • Surveiller les appels système mount et umount (via auditd, eBPF, etc.).
    • Alerter si /proc/[pid] est mounted to tmpfs or external filesystems.
    • Bloquer ou alerter sur les binaires s’exécutant à partir des chemins /tmp ou .snapd.
    • Sécuriser physiquement les ports de commutation et l’infrastructure connectée à l’ATM.
    • Capturer les images mémoire en plus du disque lors de la réponse à un incident.

    Voici les conclusions du Group-IB à la suite de cet incident :

    Nos recherches rappellent clairement que :

    • Les outils de triage forensique ne suffisent pas à eux seuls : vous avez besoin d’une analyse forensique de la mémoire et du réseau.
    • Les rootkits et les fonctionnalités obscures de Linux, telles que les montages bind, peuvent efficacement contourner les procédures traditionnelles de réponse aux incidents.
    • Les vecteurs d’accès physiques et logiques doivent tous deux faire partie des modèles de menace pour les infrastructures bancaires.

    À propos de Group-IB

    Fondée en 2003 et basée à Singapour, Group-IB est l’un des principaux créateurs de technologies de cybersécurité destinées à enquêter, prévenir et lutter contre la criminalité numérique. La lutte contre la cybercriminalité est inscrite dans l’ADN de l’entreprise, qui développe ses capacités technologiques pour défendre les entreprises et les citoyens et soutenir les opérations des forces de l’ordre.

    Source : Group-IB et developpez.com

    1 réponse Dernière réponse
    :amen:
    3






©2025 planete-warez.net
L'actualité Warez & underground en continu
Icône café Faire un don
Politique   RGPD  @dev  Sudonix
    • Se connecter
    • Vous n'avez pas de compte ? S'inscrire
    • Connectez-vous ou inscrivez-vous pour faire une recherche.
    • Premier message
      Dernier message
    0
    • Catégories
      • Toutes les catégories
      • Planète Warez
        Présentations
        Aide & Commentaires
        Réglement & Annonces
        Tutoriels
      • IPTV
        Généraliste
        Box
        Applications
        VPN
      • Torrent & P2P
      • Direct Download et Streaming
      • Autour du Warez
      • High-tech : Support IT
        Windows, Linux, MacOS & autres OS
        Matériel & Hardware
        Logiciel & Software
        Smartphones & Tablettes
        Graphismes
        Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
        Tutoriels informatiques
      • Culture
        Actualités High-Tech
        Cinéma & Séries
        Sciences
        Musique
        Jeux Vidéo
      • Humour & Insolite
      • Discussions générales
      • Espace détente
      • Les cas désespérés
    • Récent
    • Populaire
    • Résolu
    • Non résolu