Un hacker motivé par des raisons financières a été observé en train de déployer un rootkit inconnu jusqu’à présent, ciblant les systèmes Oracle Solaris, dans le but de compromettre les réseaux de commutation des distributeurs automatiques de billets (ATM) et d’effectuer des retraits d’argent non autorisés dans différentes banques à l’aide de cartes frauduleuses.
La société Mandiant, spécialisée dans le renseignement sur les menaces et la réponse aux incidents, suit ce groupe sous le nom de UNC2891, dont certaines tactiques, techniques et procédures se recoupent avec celles d’un autre groupe baptisé UNC1945.
Les intrusions mises en scène par l’acteur impliquent « un haut degré d’OPSEC et s’appuient sur des logiciels malveillants, des utilitaires et des scripts publics et privés pour supprimer les preuves et entraver les efforts de réponse« , ont déclaré les chercheurs de Mandiant dans un nouveau rapport publié cette semaine.
Plus inquiétant encore, les attaques se sont étendues sur plusieurs années dans certains cas, pendant lesquelles l’acteur n’a pas été détecté en profitant d’un rootkit appelé CAKETAP, qui est conçu pour dissimuler les connexions réseau, les processus et les fichiers.
Mandiant, qui a pu récupérer des données d’analyse de la mémoire de l’un des serveurs de commutation de guichets automatiques victimes, a noté qu’une variante du rootkit du noyau était dotée de fonctionnalités spécialisées qui lui permettaient d’intercepter les messages de vérification des cartes et des codes PIN et d’utiliser les données volées pour effectuer des retraits d’espèces frauduleux à partir de terminaux de guichets automatiques.
Deux portes dérobées, SLAPSTICK et TINYSHELL, attribuées à l’UNC1945, sont également utilisées pour obtenir un accès à distance permanent à des systèmes critiques, ainsi que pour exécuter des shells et transférer des fichiers via rlogin, telnet ou SSH.
« Conformément à la familiarité du groupe avec les systèmes Unix et Linux, UNC2891 a souvent nommé et configuré ses portes dérobées TINYSHELL avec des valeurs qui se font passer pour des services légitimes susceptibles d’être ignorés par les enquêteurs, tels que systemd (SYSTEMD), name service cache daemon (NCSD) et Linux at daemon (ATD) », soulignent les chercheurs.
En outre, les chaînes d’attaque ont été repérées à l’aide d’une variété de logiciels malveillants et d’utilitaires disponibles publiquement, notamment les suivants :
- STEELHOUND – Une variante du dropper en mémoire STEELCORGI, utilisée pour décrypter une charge utile intégrée et chiffrer de nouveaux binaires.
- WINGHOOK – Un enregistreur de frappe pour les systèmes d’exploitation basés sur Linux et Unix qui capture les données dans un format codé.
- WINGCRACK – Utilitaire utilisé pour analyser le contenu codé généré par WINGHOOK.
- WIPERIGHT – Utilitaire ELF qui efface les entrées de journal relatives à un utilisateur spécifique sur les systèmes basés sur Linux et Unix.
- MIGLOGCLEANER – Utilitaire ELF qui efface les journaux ou supprime certaines chaînes des journaux sur les systèmes basés sur Linux et Unix.
« [UNC2891] utilise ses compétences et son expérience pour tirer pleinement parti de la visibilité réduite et des mesures de sécurité qui sont souvent présentes dans les environnements Unix et Linux« , ont déclaré les chercheurs. « Bien que certains chevauchements entre UNC2891 et UNC1945 soient notables, ce n’est pas assez concluant pour attribuer les intrusions à un seul groupe de menaces. »
