Les pirates ne cessent de redoubler d’ingéniosité pour déployer leurs logiciels malveillants. Cette fois-ci, un groupe de hackers a tenté de braquer une banque à l’aide d’un petit appareil à 10 euros transformé en arme de cyberattaque. Un rare exemple d’attaque hybride avancée.

Une attaque d’une rare sophistication a récemment été découverte par le Groupe-IB. Le groupe de hackers UNC2891, plus connu sous le nom de LightBasin, a un mini appareil bon marché pour contourner les défenses de sécurité d’une banque afin d’y effectuer des retraits frauduleux.

Le micro-ordinateur monocarte et discret avait été connecté physiquement au commutateur réseau des distributeurs automatiques (ATM). Le but ? Créer un canal invisible vers le réseau interne de la banque pour que les hackers puissent déployer des portes dérobées et la braquer à distance.

Un Raspberry Pi 4G utilisé pour cyberbraquer une banque

LightBasin n’en est pas à son coup d’essai. Le groupe de hackers est surtout connu pour attaquer les systèmes bancaires, rappellent nos confrères de BleepingComputer. Mais cette fois-ci, il a été encore plus loin en transformant un Raspberry Pi en cheval de Troie pour cyberbraquer une banque.

Grâce à sa connexion Internet via la 4G, le Raspberry Pi a permis aux hackers de garder un accès distant permanent au réseau interne de la banque, tout en contournant les pare-feux. Il hébergeait la porte dérobée open source TinyShell – déjà utilisée auparavant par LightBasin pour pirater des systèmes de télécommunications –, servant à créer un canal de contrôle  distant via les données mobiles. Ensuite, les attaquants ont réussi à atteindre le serveur de surveillance réseau, qui communiquait largement avec le centre de données de la banque, puis vers le serveur de messagerie, accessible directement depuis Internet, assurant ainsi leur persistance même après la suppression du Raspberry Pi. Leur grande furtivité a été permise par deux éléments : ils ont nommé leurs portes dérobées « lightdm » pour imiter un gestionnaire légitime, et ils ont masqué leurs activités en superposant des systèmes de fichiers alternatifs sur les chemins des processus malveillants. L’enquête a montré que le serveur de surveillance du réseau bancaire envoyait des signaux au Raspberry Pi toutes les 600 secondes, confirmant son rôle clé dans l’attaque.

Lire aussi – Les hackers ont une nouvelle méthode pour pirater votre PC, personne n’est à l’abri

Group-IB affirme que l’objectif final des hackers était de déployer leur rookit, Caketap, un logiciel malveillant permettant de falsifier les vérifications des cartes bancaires et autoriser des transactions frauduleuses que la banque bloquerait normalement. Mais le plan de LightBasin a été déjoué. Malgré l’échec de la manœuvre, cet événement reste un rare, mais significatif, exemple d’attaque hybride avancée, combinant accès physique à une agence bancaire et accès à distance, ainsi que plusieurs techniques d’anti-forensic pour la furtivité.