Ein finanziell motivierter Bedrohungsakteur wurde dabei beobachtet, wie er ein bisher unbekanntes Rootkit für Oracle Solaris-Systeme einsetzt, um Geldautomaten-Netzwerke zu kompromittieren und mit gefälschten Karten unberechtigte Bargeldabhebungen bei verschiedenen Banken vorzunehmen.
Das Threat Intelligence- und Incident Response-Unternehmen Mandiant verfolgt die Gruppe unter dem Namen UNC2891. Einige der Taktiken, Techniken und Verfahren der Gruppe weisen Überschneidungen mit denen eines anderen Clusters mit dem Namen UNC1945 auf.
Die von den Akteuren inszenierten Einbrüche beinhalten „ein hohes Maß an OPSEC und nutzen sowohl öffentliche als auch private Malware, Dienstprogramme und Skripte, um Beweise zu beseitigen und Reaktionsmaßnahmen zu behindern“, so die Forscher von Mandiant in einem neuen Bericht, der diese Woche veröffentlicht wurde.
Noch besorgniserregender ist, dass sich die Angriffe in einigen Fällen über mehrere Jahre erstreckten. Während dieser Zeit blieb der Akteur unentdeckt, indem er ein Rootkit namens CAKETAP einsetzte, das dazu dient, Netzwerkverbindungen, Prozesse und Dateien zu verschleiern.
Mandiant, das in der Lage war, forensische Speicherdaten von einem der angegriffenen ATM-Switch-Server wiederherzustellen, stellte fest, dass eine Variante des Kernel-Rootkits mit speziellen Funktionen ausgestattet war, die es ihm ermöglichten, Karten- und PIN-Verifizierungsnachrichten abzufangen und die gestohlenen Daten zu nutzen, um betrügerische Bargeldabhebungen an Geldautomaten durchzuführen.
Außerdem werden zwei Backdoors namens SLAPSTICK und TINYSHELL eingesetzt, die beide UNC1945 zugeschrieben werden und dazu dienen, dauerhaften Fernzugriff auf unternehmenskritische Systeme zu erlangen sowie Shells auszuführen und Dateien über rlogin, telnet oder SSH zu übertragen.
„Entsprechend der Vertrautheit der Gruppe mit Unix- und Linux-Systemen benannte und konfigurierte UNC2891 ihre TINYSHELL-Backdoors oft mit Werten, die sich als legitime Dienste ausgaben, die von Ermittlern übersehen werden könnten, wie systemd (SYSTEMD), name service cache daemon (NCSD) und der Linux at daemon (ATD)“, so die Forscher.
Darüber hinaus wurden in den Angriffsketten eine Vielzahl von Malware und öffentlich zugänglichen Dienstprogrammen eingesetzt, darunter –
STEELHOUND – Eine Variante des STEELCORGI In-Memory-Droppers, der dazu verwendet wird, eine eingebettete Nutzlast zu entschlüsseln und neue Binärdateien zu verschlüsseln
WINGHOOK – Ein Keylogger für Linux und Unix-basierte Betriebssysteme, der die Daten in einem verschlüsselten Format aufzeichnet
WINGCRACK – Ein Dienstprogramm, das den von WINGHOOK erzeugten verschlüsselten Inhalt parst
WIPERIGHT – Ein ELF-Dienstprogramm, das auf Linux- und Unix-Systemen die Log-Einträge zu einem bestimmten Benutzer löscht
MIGLOGCLEANER – Ein ELF-Dienstprogramm, das auf Linux- und Unix-Systemen Protokolle löscht oder bestimmte Zeichenfolgen aus den Protokollen entfernt
„[UNC2891] nutzt seine Fähigkeiten und Erfahrungen, um die geringere Sichtbarkeit und die Sicherheitsmaßnahmen, die in Unix- und Linux-Umgebungen oft vorhanden sind, voll auszunutzen“, so die Forscher. „Einige der Überschneidungen zwischen UNC2891 und UNC1945 sind zwar bemerkenswert, aber nicht schlüssig genug, um die Eindringlinge einer einzigen Bedrohungsgruppe zuzuordnen“.