Los especialistas de Group-IB han documentado una campaña de ataque híbrido sin precedentes ejecutada por el grupo de amenaza persistente avanzada UNC2891, conocido como LightBasin. Esta operación representa un ejemplo excepcional de cómo los ciberdelincuentes combinan técnicas de penetración física con acceso remoto sofisticado para comprometer sistemas bancarios críticos.
Metodología de Infiltración: Raspberry Pi como Puerta Trasera
La estrategia de ataque demostró un nivel de planificación extraordinario. Los atacantes lograron acceso físico directo a las instalaciones bancarias, posiblemente mediante ingeniería social o colaboración interna. El elemento central de la operación fue un dispositivo Raspberry Pi equipado con conectividad 4G, estratégicamente conectado al mismo switch de red que servía a los cajeros automáticos.
Esta configuración permitió a LightBasin establecer un canal de comunicación persistente que evadía completamente los sistemas de seguridad perimetral, incluyendo firewalls y sistemas de detección de intrusiones. El dispositivo funcionaba como un punto de acceso permanente a la red interna, invisible para los controles de seguridad tradicionales.
Implementación del Backdoor TinyShell
Sobre la plataforma Raspberry Pi, los atacantes desplegaron el backdoor TinyShell, una herramienta de acceso remoto que aprovecha la conectividad móvil para mantener comunicación constante con la infraestructura comprometida. Esta técnica garantizaba persistencia en el entorno objetivo independientemente de las medidas de seguridad de red implementadas.
El uso de conectividad 4G representa una evolución significativa en las tácticas de los grupos APT, ya que elimina la dependencia de la infraestructura de red del objetivo y proporciona un canal de comando y control altamente resiliente.
Técnicas Avanzadas de Evasión y Anti-Forense
LightBasin demostró capacidades técnicas excepcionales mediante la implementación de múltiples técnicas de ocultación. Los componentes maliciosos fueron denominados «lightdm» para imitar el gestor de pantalla legítimo de sistemas Linux, una táctica de camuflaje que dificulta la detección durante auditorías de seguridad rutinarias.
La técnica más sofisticada involucró el montaje de sistemas de archivos alternativos (tmpfs y ext4) sobre las rutas /proc/[pid] de procesos maliciosos. Este método oscurece efectivamente los metadatos de las herramientas forenses digitales, complicando significativamente los esfuerzos de investigación y análisis post-incidente.
Perfil de la Amenaza: Historial de LightBasin
Activo desde 2016, LightBasin se ha especializado en operaciones contra el sector financiero global. Su arsenal incluye el rootkit Unix Caketap, identificado por investigadores de Mandiant en 2022, específicamente diseñado para sistemas Oracle Solaris en entornos bancarios.
Caketap está engineered para interceptar datos críticos de tarjetas bancarias y códigos PIN directamente de servidores de ATM comprometidos, dirigiéndose específicamente a comunicaciones destinadas a Payment Hardware Security Modules (HSM), los dispositivos de seguridad responsables de la gestión criptográfica en transacciones financieras.
Movimiento Lateral y Escalación de Privilegios
Una vez establecido el punto de apoyo inicial, LightBasin ejecutó una campaña de movimiento lateral metódicamente planificada. El servidor de monitoreo de red se convirtió en el primer objetivo intermedio, aprovechando sus conexiones privilegiadas al centro de datos bancario.
Posteriormente, los atacantes comprometieron el servidor de correo electrónico con conectividad directa a Internet, estableciendo un canal de comunicación de respaldo. Esta redundancia operacional aseguró la persistencia del acceso incluso después del descubrimiento y eliminación del dispositivo Raspberry Pi inicial.
Objetivos Finales y Mitigación del Incidente
El objetivo último de la operación era el despliegue del rootkit Caketap para manipular sistemas de autorización de ATM y facilitar extracciones fraudulentas de efectivo. Sin embargo, la intervención oportuna del equipo de seguridad de la información frustró estos planes antes de que pudieran materializarse las pérdidas financieras.
Este incidente subraya la evolución continua de las amenazas cibernéticas y la necesidad crítica de implementar estrategias de seguridad multicapa que integren tanto controles técnicos como físicos. Las organizaciones financieras deben considerar la seguridad física como un componente integral de su postura de ciberseguridad, implementando controles de acceso rigurosos y monitoreo continuo de dispositivos conectados a infraestructura crítica.
