Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Группировка LightBasin использует Unix-руткит для кражи данных банкоматов

18/03/22

ATM

ИБ-специалисты, отслеживающие деятельность финансово мотивированной группировки хакеров LightBasin, обнаружили новый Unix-руткит, который используется для кражи данных банкоматов и проведения мошеннических транзакций.

Как сообщили исследователи из компании Mandiant, новый руткит LightBasin представляет собой модуль ядра Unix под названием Caketap, который устанавливается на серверах под управлением операционной системы Oracle Solaris. Caketap скрывает сетевые подключения, процессы и файлы, а также устанавливает несколько хуков в системные функции для получения удаленных команд и конфигураций.

Специалисты обнаружили следующие команды:

  • Добавить модуль CAKETAP обратно в список загруженных модулей.
  • Изменить сигнальную строку для хука getdents64.
  • Добавить сетевой фильтр (формат p).
  • Удалить сетевой фильтр
  • Установить TTY текущего потока так, чтобы он не фильтровался хуком getdents64.
  • Настроить фильтрацию всех TTY с помощью хука getdents64.
  • Отображать текущую конфигурацию.

Главная задача Caketap — перехватить данные проверки банковской карты и PIN-кода со взломанных серверов коммутации банкоматов, а затем использовать украденные данные для облегчения проведения несанкционированных транзакций.

Сообщения, перехваченные Caketap, предназначены для защищенного от несанкционированного доступа аппаратного устройства Payment Hardware Security Module (HSM), используемого в банковской сфере для создания, управления и проверки криптографических ключей для PIN-кодов, магнитных полос и чипов EMV.

«Мы считаем, что CAKETAP был использован UNC2891 (LightBasin) в рамках более крупной операции по успешному использованию мошеннических банковских карт для несанкционированного снятия наличных в банкоматах в нескольких банках», — отметили в Mandiant.

Помимо Caketap группировка также использует в своих атаках такие инструменты, как Slapstick, Tinyshell, Steelhound, Steelcorgi, Wingjook, Wingcrack, Binbash, Wiperight и Mignogcleaner.

Темы:Банки и финансыУгрозыруткиты
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...