Redazione RHC : 31 Luglio 2025 14:50
E’ stato segnalato da Group-IB che un Raspberry Pi con supporto 4G e’ stato sfruttato dal gruppo di pirati informatici UNC2891, conosciuto anche con il nome di LightBasin, al fine di superare le misure di sicurezza e accedere alla rete della banca. Attraverso la connessione allo stesso switch di rete del bancomat, il computer a scheda singola ha creato un varco nella rete interna della banca, permettendo ai malfattori di operare in modo laterale ed installare delle backdoor.
I ricercatori, che hanno individuato la violazione durante l’esame di operazioni sospette sul sistema informatico della banca, hanno rilevato che l’attacco era finalizzato ad alterare l’autorizzazione dei terminali di prelievo automatico e ad effettuare operazioni di ritiro di denaro.
Sebbene l’attacco LightBasin sia fallito, i ricercatori sottolineano che l’incidente è un raro esempio di attacco ibrido avanzato (che combina accesso fisico e remoto) che ha utilizzato anche più metodi anti-forensi. Il gruppo LightBasin, attivo dal 2016, non è il primo ad attaccare i sistemi bancari. Ad esempio, già nel 2022, gli esperti di Mandiant avevano segnalato l’allora nuovo rootkit Unix Caketap, creato per funzionare sui sistemi Oracle Solaris utilizzati nel settore finanziario.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I ricercatori hanno quindi concluso che l’obiettivo finale di Caketap era quello di intercettare i dati di verifica delle carte di credito e i PIN dai server degli sportelli bancomat hackerati e poi utilizzare tali informazioni per effettuare transazioni non autorizzate. I messaggi intercettati da Caketap erano destinati a un Payment Hardware Security Module (HSM), un dispositivo hardware antimanomissione utilizzato nel settore bancario per creare, gestire e convalidare chiavi crittografiche per PIN, bande magnetiche e chip EMV.
Nell’attacco scoperto da Group-IB, i partecipanti a LightBasin hanno ottenuto l’accesso fisico a una filiale bancaria anonima, autonomamente o corrompendo un dipendente, che ha aiutato gli hacker a installare un Raspberry Pi con un modem 4G sullo stesso switch di rete del bancomat. Ciò ha permesso agli aggressori di mantenere un accesso remoto costante alla rete interna della banca, bypassando i firewall.
Sul Raspberry Pi era installata una backdoor TinyShell, che l’aggressore ha utilizzato per creare un canale di comunicazione con il server di comando e controllo tramite una rete mobile. Nelle fasi successive dell’attacco, gli aggressori si sono spostati sul Network Monitoring Server, che aveva ampie possibilità di connettersi al data center della banca.
Da lì, gli aggressori si sono spostati su un server di posta che aveva accesso diretto a Internet e che è rimasto presente sulla rete dell’organizzazione anche dopo che il Raspberry Pi è stato scoperto e rimosso. Le backdoor LightDM utilizzate dagli aggressori, imitavano gli accessi legittimi sui sistemi Linux. Un altro elemento che ha contribuito all’elevato grado “stealth” è stato il montaggio di file system alternativi (tmpfs ed ext4) sui percorsi /proc/[pid] dei processi dannosi. Ciò ha permesso di nascondere i metadati associati agli strumenti forensi.
Secondo i ricercatori, l’obiettivo finale degli aggressori era quello di distribuire il rootkit Caketap, ma il piano è stato sventato quando l’attacco è stato scoperto.
RedazioneUn’analisi condotta negli ultimi mesi aveva evidenziato come l’evoluzione dei sistemi di intelligenza artificiale stesse raggiungendo un punto critico per la sicurezza informatica, con capacità r...
Gli aggressori stanno attivamente sfruttando una falla critica nel sistema di protezione delle applicazioni web FortiWeb (WAF) prodotto da Fortinet, che potrebbe essere utilizzata come mezzo per condu...
Su uno dei più noti forum russi per la compravendita di vulnerabilità e strumenti offensivi, il thread è arrivato come una normale inserzione commerciale, ma il contenuto è tutt’altro che banale...
Shanghai, 11 novembre 2025 – Un nuovo studio condotto dallo Shanghai Artificial Intelligence Laboratory, in collaborazione con la Shanghai Jiao Tong University, la Renmin University of China e la Pr...
Dal 12 novembre 2025, l’AGCOM ha riportato che in linea con l’art. 13-bis del decreto Caivano (dl123/2023), 47 siti per adulti raggiungibili dall’Italia avrebbero dovuto introdurre un sistema di...
