Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 31 Luglio 2025 14:50
E’ stato segnalato da Group-IB che un Raspberry Pi con supporto 4G e’ stato sfruttato dal gruppo di pirati informatici UNC2891, conosciuto anche con il nome di LightBasin, al fine di superare le misure di sicurezza e accedere alla rete della banca. Attraverso la connessione allo stesso switch di rete del bancomat, il computer a scheda singola ha creato un varco nella rete interna della banca, permettendo ai malfattori di operare in modo laterale ed installare delle backdoor.
I ricercatori, che hanno individuato la violazione durante l’esame di operazioni sospette sul sistema informatico della banca, hanno rilevato che l’attacco era finalizzato ad alterare l’autorizzazione dei terminali di prelievo automatico e ad effettuare operazioni di ritiro di denaro.
Sebbene l’attacco LightBasin sia fallito, i ricercatori sottolineano che l’incidente è un raro esempio di attacco ibrido avanzato (che combina accesso fisico e remoto) che ha utilizzato anche più metodi anti-forensi. Il gruppo LightBasin, attivo dal 2016, non è il primo ad attaccare i sistemi bancari. Ad esempio, già nel 2022, gli esperti di Mandiant avevano segnalato l’allora nuovo rootkit Unix Caketap, creato per funzionare sui sistemi Oracle Solaris utilizzati nel settore finanziario.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I ricercatori hanno quindi concluso che l’obiettivo finale di Caketap era quello di intercettare i dati di verifica delle carte di credito e i PIN dai server degli sportelli bancomat hackerati e poi utilizzare tali informazioni per effettuare transazioni non autorizzate. I messaggi intercettati da Caketap erano destinati a un Payment Hardware Security Module (HSM), un dispositivo hardware antimanomissione utilizzato nel settore bancario per creare, gestire e convalidare chiavi crittografiche per PIN, bande magnetiche e chip EMV.
Nell’attacco scoperto da Group-IB, i partecipanti a LightBasin hanno ottenuto l’accesso fisico a una filiale bancaria anonima, autonomamente o corrompendo un dipendente, che ha aiutato gli hacker a installare un Raspberry Pi con un modem 4G sullo stesso switch di rete del bancomat. Ciò ha permesso agli aggressori di mantenere un accesso remoto costante alla rete interna della banca, bypassando i firewall.
Sul Raspberry Pi era installata una backdoor TinyShell, che l’aggressore ha utilizzato per creare un canale di comunicazione con il server di comando e controllo tramite una rete mobile. Nelle fasi successive dell’attacco, gli aggressori si sono spostati sul Network Monitoring Server, che aveva ampie possibilità di connettersi al data center della banca.
Da lì, gli aggressori si sono spostati su un server di posta che aveva accesso diretto a Internet e che è rimasto presente sulla rete dell’organizzazione anche dopo che il Raspberry Pi è stato scoperto e rimosso. Le backdoor LightDM utilizzate dagli aggressori, imitavano gli accessi legittimi sui sistemi Linux. Un altro elemento che ha contribuito all’elevato grado “stealth” è stato il montaggio di file system alternativi (tmpfs ed ext4) sui percorsi /proc/[pid] dei processi dannosi. Ciò ha permesso di nascondere i metadati associati agli strumenti forensi.
Secondo i ricercatori, l’obiettivo finale degli aggressori era quello di distribuire il rootkit Caketap, ma il piano è stato sventato quando l’attacco è stato scoperto.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
