Raspberry Pi y cajeros: un miniordenador permitió a hackers penetrar en tres bancos y burlar los códigos PIN
Group-IB revela cómo durante años atacaron cajeros automáticos combinando hackeos técnicos con una red logística para recoger el efectivo.
Los especialistas de Group-IB presentaron un análisis detallado de la campaña de varios años UNC2891, que mostró cuán ingeniosas siguen siendo las tácticas de ataque contra las redes de cajeros automáticos. En el centro de la investigación estuvo una placa compacta Raspberry Pi, con la cual los atacantes accedieron a la infraestructura de dos bancos indonesios. Sin embargo, se comprobó que el acceso físico al cajero fue solo una parte de un extenso operativo criminal diseñado para controlar el proceso desde el compromiso de equipos hasta el retiro de fondos en efectivo a través de una red de prestanombres.
Según Group-IB, UNC2891 realizó tres intrusiones separadas: en febrero de 2022 contra un banco, en noviembre de 2023 contra otro y luego volvió al primero en julio de 2024. En todos los episodios se utilizó el mismo paquete STEELCORGI, lo que permitió relacionar los incidentes entre sí. En la primera intrusión los atacantes controlaron más de 30 sistemas, lo que garantizó una presencia prolongada en la infraestructura de la organización.
El informe muestra que la intervención técnica fue solo una parte del esquema general. El grupo reclutaba activamente a personas para retirar dinero, publicando anuncios en motores de búsqueda y en canales anónimos. El envío del equipo para trabajar con tarjetas clonadas se organizaba mediante servicios postales, y el proceso de extracción de fondos se controlaba de forma remota — a través de TeamViewer o instrucciones verbales de los coordinadores.
Un elemento clave del conjunto de ataque fue el módulo malicioso CAKETAP — un rootkit modificado que interceptaba y alteraba los mensajes dentro de la lógica del cajero, eludiendo la verificación de los PIN introducidos. Además, CAKETAP intervenía en las respuestas ARQC provenientes de los módulos de hardware HSM, lo que permitía usar tarjetas falsificadas como si fueran auténticas. Frente al uso activo del acceso físico, esa combinación permitió al grupo operar casi sin ser detectado.
La persistencia en la infraestructura se aseguraba mediante un conjunto de programas desarrollados a medida. TINYSHELL — establecía conexiones ocultas con el servidor de control a través de DNS dinámico; SLAPSTICK — recopilaba credenciales usando la biblioteca PAM previamente implantada; SUN4ME — construía el mapa de la red interna y detectaba los equipos de interés; canales de comunicación alternativos se proporcionaban mediante tunelización DNS, conexiones OpenVPN y canales HTTPS protegidos.
Para ocultar la presencia se empleaban herramientas como LOGBLEACH y MIGLOGCLEANER, que permitían eliminar rastros de los registros. Scripts init adicionales y archivos de servicio de systemd arrancaban puertas traseras tras el reinicio. La visibilidad de los módulos maliciosos se reducía mediante suplantación de nombres de sistema comunes y el uso de técnicas con montaje en /proc, lo que dificultaba el análisis.
Group-IB relaciona los tres episodios entre sí gracias a claves criptográficas idénticas incrustadas en STEELCORGI. Esa repetición de artefactos clave en distintos periodos apunta a un mismo equipo que ha actuado durante varios años y dispone de los recursos necesarios para mantener la infraestructura, la logística y el control remoto de la red de prestanombres.
Los analistas subrayan que la reducción de incidentes sonoros con cajeros no implica la desaparición de la amenaza. El caso UNC2891 muestra que el foco se ha desplazado hacia esquemas combinados en los que el acceso físico se combina con una profunda preparación técnica, y la cadena de extracción de fondos está planificada con tanto cuidado como los mecanismos maliciosos en el lado del banco.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla