El grupo cibercriminal conocido como UNC2891 ha sido detectado atacando infraestructuras de cajeros automáticos (ATM) mediante el uso de una Raspberry Pi equipada con 4G, como parte de una intrusión encubierta.
El ataque combinó técnicas físicas y digitales, donde los atacantes aprovecharon el acceso físico para instalar el dispositivo Raspberry Pi y conectarlo directamente al mismo switch de red que el cajero automático, logrando así insertarse en la red interna del banco, según informó Group-IB. Actualmente se desconoce cómo lograron el acceso físico.
La Raspberry Pi llevaba un módem 4G que otorgaba acceso remoto vía red móvil. Utilizando la puerta trasera TINYSHELL, el atacante estableció un canal de comando y control (C2) externo mediante un dominio Dynamic DNS, eludiendo los firewalls perimetrales y las defensas tradicionales de la red.
UNC2891 fue documentado por primera vez en marzo de 2022, y se le asoció con ataques a redes de conmutación de cajeros automáticos, realizando extracciones ilegales de dinero en varios bancos utilizando tarjetas fraudulentas.
La pieza central de la operación es un rootkit a nivel de kernel bautizado como CAKETAP, diseñado para ocultar conexiones de red, procesos, archivos y también interceptar y manipular mensajes de verificación de tarjetas y PIN procedentes de los módulos de seguridad hardware (HSM), facilitando así el fraude financiero.
El grupo muestra similitudes tácticas con el actor de amenazas UNC1945 (también llamado LightBasin), anteriormente identificado como responsable de comprometer proveedores de servicios gestionados y atacar organizaciones de los sectores financiero y consultoría.
Según el análisis de Group-IB, en el servidor de monitorización de la víctima se encontraron puertas traseras denominadas “lightdm”, que servían para establecer conexiones activas con la Raspberry Pi y el servidor interno de correo.
Destaca, además, el uso malicioso de “bind mounts” para ocultar la presencia de los backdoors en los listados de procesos y evadir detección.
Aunque la finalidad era implantar el rootkit CAKETAP en el servidor de conmutación de cajeros automáticos y facilitar retiros ilícitos, la campaña fue interrumpida antes de causar daños significativos.
Sin embargo, aun después de descubrir y retirar la Raspberry Pi, los atacantes mantuvieron acceso a través de una puerta trasera en el servidor de correo, aprovechando el dominio Dynamic DNS para mantener el control C2.